Ohne Verschlüsselung geht nichts

Sichere Daten in der Cloud

19.12.2011 von Thorsten Krüger

Wer auf die Vorteile einer Cloud-Infrastruktur zurückgreifen will, sollte seine Daten vor unbefugtem Zugriff schützen, etwa durch Verschlüsselung. Dabei sind Hardware-Security-Module (HSM) mit Hardware-basierendem Schutz der Keys empfehlenswert.

Die Verlagerung der Daten in eine virtuelle Umgebung ist seit Jahren unbestrittener Trend, der sich rasant weiterentwickeln wird. Nach einer Studie der Experton Group für BITKOM von Januar 2011 wird eine Umsatzsteigerung mit Cloud Computing in Deutschland von 1,9 Milliarden Euro in diesem Jahr auf 8,2 Milliarden Euro im Jahr 2015 erwartet. Mehr als 60 Prozent aller Unternehmen planen, Cloud basierende Angebote zu prüfen und Pilotprojekte zu starten. Die Vorteile für Unternehmen liegen in der flexiblen Nutzung der Ressourcen, die auf Abruf bereitgestellt und abgerechnet werden. Der Cloud-Kunde muss sich nicht mehr selbst um seine Infrastruktur kümmern und spart Hardware- und Betriebskosten. Doch ohne die Fähigkeit, virtuell bereitgestellte Daten zu sichern, werden diese Vorteile zu Sicherheitslücken.

Die Sicherheitsanforderungen in der Cloud sind vielfältig; grundsätzlich müssen die vertraulichen Daten zu jeder Zeit vor unbefugten Zugriffen sicher sein und nur autorisierte Benutzer dürfen auf die Daten der virtuellen Instanzen zugreifen. Die Gefahr eines Datendiebstahls oder der Löschung muss verhindert, gleichzeitig sollten Applikationen und Services sicher übernommen werden. Bislang erlaubten die physikalische Trennung und die grundsätzliche Vertrauenswürdigkeit im Rechenzentrum, in manchen Bereichen auf Verschlüsselung zu verzichten. In der Cloud verschwinden diese physikalischen Barrieren und Vertrauensmerkmale jedoch vollständig.

Es stellt sich die Frage, wie man Daten in einem entfernten, mandantenfähigen Umfeld sichert, in dem zahlreiche herkömmliche Sicherheitsmechanismen nicht greifen und wie ein Unternehmen, das Daten in der Cloud gespeichert hat, verhindert, dass ein Dritter diese einsehen kann. Dies liegt nicht nur im eigenen Interesse der Unternehmen, sondern ist Teil der gesetzlichen Richtlinien für die virtuellen Dienste, deren Einhaltung transparent und nachweisbar sein muss. Ein Cloud-Serviceanbieter muss mehr in den Schutz der Daten investieren, denn für ihn ist der Sicherheitsaspekt die Geschäftsgrundlage. Wer geschäftliche Daten und Services in die Cloud verlagert, verlangt einen hohen Sicherheitsgrad, um gesetzliche Vorgaben einhalten zu können und die Ansprüche der eigenen Kunden zu erfüllen.

Herkömmliche Schutzmechanismen überdenken

Mit dem Eintritt in die Cloud werden kritische Geschäftsdaten in eine Umgebung verlagert, die weder dem Unternehmen selbst gehört, noch von ihm kontrolliert werden kann. Ohne aktiven Schutz dieser Daten in den Anwendungen besteht das Risiko, Kontrolle und Vertrauen zu verlieren.

Bei der Wahl der Dienste - ob Private, Public oder Hybrid Cloud – sollten die eigenen Technologie- und Sicherheitsstrategien eingebunden werden. Immerhin werden die Kontrolle und Vertrauenswürdigkeit der Daten sowie die Anwendungen und Systeme der herkömmlichen Rechenzentren auf eine virtualisierte Umgebung ausgeweitet. Meist setzen die Unternehmen eine Mischung aus verschiedenen Cloud-Diensten ein, darunter interne Services sowie Public und Private Clouds. Die sensiblen Daten werden dazu oft über ein Wide Area Network (WAN) transportiert, denn die Daten und deren Verarbeitung erfolgt über geographisch verteilte Installationen hinweg. Zum Aufbau einer vertrauenswürdigen, hybriden Multi-Site-Infrastruktur sollten Unternehmen dabei auf Verschlüsselung für den Transport von Daten setzen, um gleichzeitig die High-Speed-, Low-Latency-Kommunikation zwischen diesen verteilten Standorten sicherzustellen.

So schützen Sie sich vor Cloud Katastrophen

So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:

Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.

Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.

Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.

Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.

Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.

Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?

Verschlüsselung als sichere Lösung für die Cloud

In der Cloud wird also die Verschlüsselung zu dem entscheidenden Sicherheitsmerkmal. Zusammen mit einem sicheren Key- und Policy-Management werden die Daten und die zugehörigen Richtlinien isoliert, um in mandantenfähigen Umgebungen über den gesamten Informationslebenszyklus hinweg geschützt zu sein. Unternehmen müssen dafür sorgen, dass zu jeder Zeit nur autorisierte Benutzer auf die Daten in der virtuellen Instanz zugreifen können. Dazu benötigen sie digitale Schlüssel, die nicht in der Cloud abgespeichert werden dürfen. Sie gehören in eine besonders geschützte Hardwareumgebung. Empfehlenswert sind hierfür Hardware-Security-Module (HSM) mit Hardware-basierendem Schutz der Keys, so dass der kryptographische Schlüssel die Appliance in keinem Fall verlassen kann. Neben der Maximierung der Sicherheit und der Reduzierung der Verwaltungskosten bietet der Einsatz von HSMs in Cloud-Umgebungen den Unternehmen langfristige Skalierbarkeit und Flexibilität.

Hardware-Security-Module (HSM) bewahren die kryptographischen Schlüssel der Cloud-Nutzer sicher auf.
Foto: SafeNet

Für die Authentisierung der Zugangsberechtigung müssen die Nutzer von Cloud-Services eine einheitliche Infrastruktur einrichten, die sowohl für eigene Services als auch für Dienste aus der Cloud verfügbar ist. Dabei erfolgt die Verwaltung über ein zentrales Management, das für die Konsolidierung der Identitäten sowie die Zugangskontrolle sorgt und damit eine sichere Authentisierung ermöglicht. Wenn ein berechtigter Nutzer auf einen Cloud-Dienst wie einen SaaS-Service zugreifen will, bestätigt er dies mittels der jeweils zur Verfügung stehenden Multifaktor-Authentisierung in Form von Hardware- oder Software-Token.

Auch komplette Speichervolumen können in der Cloud verschlüsselt werden. Ein zentralisiertes und rationalisiertes Sicherheitsmanagement sowie eine fortschrittliche Umsetzung der Richtlinien ermöglichen es, mehr geschäftsrelevante Dienste in die Cloud zu verlagern und Kosten einzusparen. Dadurch können Unternehmen IT-Leistungen wesentlich schneller skalieren oder zukaufen als das bei intern betriebenen Infrastrukturen möglich ist. Virtualisierte Anwendungen, die vertrauliche Informationen verarbeiten, können durch Konfiguration und Provisionierung geschützt werden. Unternehmen, die dafür mit mehreren Cloud-Dienstleistern zusammenarbeiten, benötigen flexible Schutzmechanismen für ihre Daten, wenn sie zu einem anderen Anbieter wechseln. Eine zentralisierte Verwaltung und Überwachung bieten dazu die notwendige Flexibilität, um verschiedene Anbieter einzubinden.

Diese praktischen Lösungen stellen einen „Daten-zentrierten“ Ansatz dar und ermöglichen die Erweiterung der bestehenden Datenschutz-Strategien in die Cloud. Das Endergebnis: eine nahtlose und sichere Cloud-Bereitstellung. (mec)

Dieser Artikel stammt von Computerwoche.