Verschlüsselung und Authentifizierung
Datensicherheit in der Cloud
Etwa die Hälfte der deutschsprachigen Mittelständler sieht gemäß aktuellen Umfragen Cloud Computing weiterhin nicht als vertrauenswürdig an.
Die Hauptsorge ist die Datensicherheit. Die Cloud-Provider bemühen sich daher, die strengen Vorgaben der bundesdeutschen und östereichischen Gesetze, wie das Bundesdatenschutzgesetz umzusetzen und dies nachzuweisen. Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den IT-Grundschutz reichen weit. Aber selbst wenn die technische Umsetzung noch so gut ist - wenn es an der praktischen Umsetzung durch das Personal mangelt, hilft auch die beste Technik nichts. Daher muss das Personal stets geschult werden.
Stand der Technik ist mittlerweile die Ausstattung mit einer Next-Generation Firewall, die auch Applikationen schützt, und mit einem System für Next-Generation Intrusion Detection & Prevention (IDS/IPS), das Netzwerk umfassend schützt. Allerdings bedeutet dies nicht, dass solche fortschrittlichen Systeme, sei es als Appliance oder als Cloud-Service, auch flächendeckend verwendet werden. Marktstudien haben ergeben, dass vor allem mittlere und kleine Unternehmen in diesem Punkt noch sparen.
Authentifizierung
Die Authentifizierung des Nutzers und des Administrators ergänzt Firewall und IPS. Auch Systemverwalter dürfen nicht ohne Weiteres auf die Informationen der Kunden zugreifen, deshalb müssen auch sie sich entsprechend beglaubigen. Das kann durch Zertifikate aus einem anderen, unabhängigen Cloud-Service, das auf einem Token wie etwa einer SmartCard abgelegt sein kann, passieren.
Multi-Faktor-Authentifizierung setzt sich seit 2014 als Cloud-Standard durch. Der Kunde meldet sich mit seinem Passwort an und erhält eine Persönliche Identifikationsnummer (PIN) auf sein mobiles Endgerät geschickt, die er zusätzlich einzugeben hat. Vielfach ist die Authentifizierung mit verbreiteten Verzeichnisdiensten wie etwa Active Directory oder LDAP integriert. Doch der entscheidende Faktor für die Sicherheit von Daten und den Schutz von Nutzern ist die Verschlüsselung.
- Mehr Sicherheit mit Apple-ID
So schützen Sie das Apple-Konto ihres iPhone, iPad oder iPod vor Hackern - Mehr Sicherheit mit Apple-ID
Auf der iCloud-Seite rufen Sie die Account-Einstellungen Ihrer Apple-ID auf. - Mehr Sicherheit mit Apple-ID
In den Einstellungen von iCloud passen Sie Ihre Apple-ID an. - Mehr Sicherheit mit Apple-ID
In den Einstellungen der Apple-ID können Sie die E-Mail-Adressen ändern. - Mehr Sicherheit mit Apple-ID
Nach der Änderung der E-Mail-Adresse müssen Sie die Änderung noch bestätigen. Die Bestätigung wird im Fenster angezeigt. - Mehr Sicherheit mit Apple-ID
In den Account-Einstellungen können Sie die Mehrwege-Authentifizierung für Apple-IDs aktivieren. - Mehr Sicherheit mit Apple-ID
Sie können mehrere vertrauenswürdige Geräte auswählen, zu denen die PIN zur Anmeldung geschickt wird. - Mehr Sicherheit mit Apple-ID
Im letzten Schritt des Assistenten aktivieren Sie die Mehrwege-Authentifizierung für Ihre Apple-ID. - Mehr Sicherheit mit Apple-ID
In den Einstellungen der Apple-ID können Sie jederzeit wieder die Einstellungen ändern.
Vertraulichkeit
Insbesondere dann, wenn in einer Cloud vertrauliche Dokumente lagern, kommt es darauf an, dass der Weg, auf dem solche Dokumente transportiert und ausgetauscht werden, von Anfang bis Ende durch Verschlüsselung geschützt ist. Eine steigende Anzahl von Unternehmen vertraut ihre E-Mails Cloud-Providern an, teils aus Gründen der Sicherheit, teils im Hinblick auf Compliance-Vorgaben, die die Archivierung betreffen. Der E-Mail-Austausch erfolgt noch immer weitgehend unverschlüsselt, obwohl es zahlreiche Methoden gibt, sie durch Verschlüsselung zu schützen.
Um wieviel besorgniserregender ist dann der Austausch von vertraulichen Dokumenten, wenn ihr Transportweg vom Absender-Client zum Cloud-Server und vom Cloud-Server zum Empfänger-Client nicht komplett verschlüsselt ist. Diese End-to-End-Verschlüsselung war bis vor kurzem in der Public Cloud vielfach nicht vorhanden. Doch in der Private, Managed oder Hybrid Cloud ist sie unabdingbar.
Wenn ein Unternehmen die End-to-End-Verschlüsselung einzuführen oder zu mieten beabsichtigt, sollte es folgende Fragen abklären:
Welches ist der passende, optimale Verschlüsselungsalgorithmus: RSA, AES, DES, ECC? Häufig hängt die Antwort vom Anwendungsbereich und dessen Compliance-Vorgaben ab: PCI DSS, FIPS-140, Common Criteria. Idealerweise kann eine Appliance alle Verschlüsselungsalgorithmen verarbeiten.
Womit lässt sich die gewählte Verschlüsselungsmethode physisch implementieren: SmartCard, Token, Dongle, Appliance?
Was muss passieren, wenn auch der Transportweg zu mobilen Endgeräten verschlüsselt werden muss? Hier kann eine SmartCard nicht genutzt werden.
Die vielleicht wichtigste Frage lautet: Reicht es aus, wenn die Verschlüsselung als Software oder Cloud-Service implementiert wird, oder muss der Nutzer doch eine dedizierte Hardware-Appliance (Hardware Security Module, HSM) anschaffen?
Was passiert im Ernstfall, wenn die Schlüssel gestohlen und die Daten entwendet oder kompromittiert worden sind? Dies ist eine Angelegenheit, die a) Sicherheitskopien und Datenwiederherstellung erfordert, aber auch b) die digitale Zerstörung des HSM-Speichers und/oder die sofortige Löschung der Schlüssel. (bw)