Die Abhörskandale rund um Prism, Tempora und XKeystore haben große Zweifel aufkommen lassen, inwieweit Unternehmen mit bestehenden Sicherheitsvorkehrungen den Schutz ihrer Daten überhaupt noch gewährleisten können.
Angesichts immer komplexer werdender IT-Landschaften hat "die IT" so gut wie nie den kompletten Überblick, geschweige denn Zugriff auf die vielen Applikationen in den Fachbereichen. Da werden vertrauliche Geschäftszahlen in Excel gerechnet und unverschlüsselt per E-Mail oder direkt auf die Smartphones der Chefs und Vorstände gesendet.
Wie sicher kann sicher sein? Foto: maxkabakov, Fotolia.com
Als geheim klassifizierte Konstruktionsdaten werden intern verschlüsselt, um sie anschließend "plain" auf schwach gesicherten FTP-Servern mit den Entwicklungspartnern zu teilen. Nebenher laufen Uralt-Anwendungen auf noch älteren Betriebssystemen, für die es seit Jahren keine Sicherheits-Updates, geschweige denn Services mehr gibt.
PRISM und die Cloud Wir haben deutsche Service Provider gefragt, inwiefern sie damit rechnen, dass Unternehmen in Deutschland der Nutzung von Cloud-Diensten künftig noch zurückhaltender begegnen.
Dr. Clemens Plieth, Geschäftsführer und Director Service-Delivery bei Pironet NDH: „Die aktuellen Enthüllungen könnten sicherlich einen Vertrauensverlust der Anwender nach sich ziehen. Dennoch denken wir, dass die Anwender differenzieren: Werden die Daten über gesicherte Anbindungen eines auf B2B-Kunden spezialisierten Providers übertragen, ist dies bei Weitem sicherer als beispielsweise eine Datenübermittlung über das öffentliche Netz an andere Firmenstandorte oder Kunden.“
Thomas Wittbecker, geschäftsführender Gesellschafter der ADACOR Hosting GmbH: „Wenn ein amerikanisches Unternehmen verpflichtet ist, Daten an die NSA zu liefern, ist es unerheblich, ob eine klassische oder Cloud-Infrastruktur genutzt wird. Da anscheinend der gesamte Internet-Traffic an den Knotenpunkten mitgeschnitten wird, ist es sogar egal, ob man die Infrastruktur selber im eigenen Rechenzentrum betreibt oder sie ausgelagert hat. Unverschlüsselte Kommunikation wird abgefangen. “
Petra-Maria Grohs, Vice President Sales & Marketing bei ProfitBricks GmbH: „Wir erwarten, dass Unternehmen aus Deutschland künftig noch genauer darauf schauen, ob Cloud Provider mit Ihren Angeboten nachweisbar die deutschen Datenschutzgesetze einhalten. Das ist immer garantiert der Fall, wenn das physikalische Hosting in einem deutschen, zertifizierten Rechenzentrum stattfindet und der Betreiber eine deutsche Firma ist. Initiativen wie Internet made in Germany oder Cloud Services made in Germany weisen in die richtige Richtung.“
Murat Ekinci, Executive Vice President Operations, Freudenberg IT: „Mit Sicherheit werden Unternehmen in der nächsten Zeit gezielter danach fragen, wie sie ihre Daten vor unbefugten Zugriffen auch durch Behörden oder Geheimdienste abschotten können. Somit ist bei Cloud Computing-Projekten noch mehr Aufklärungsarbeit zu leisten, gerade bei mittelständischen Fertigungsbetrieben, die um den Schutz ihrer Daten besorgt sind.“
Joachim Opper, Leiter Cloud-Services, Concat AG: „Kunden und Interessenten hören so aufmerksam zu, wie noch nie, weil der Bedarf an sicheren Cloud-Lösungen da ist. Mit seinem starken Datenschutzgesetz hat Deutschland jetzt die Chance, für sichere Cloud-Lösungen eine Rolle einzunehmen, wie die Schweiz sie einst für Banken hatte.“
Donald Badoux, Managing Director Savvis Germany: „Erfahrene IT-Manager in den Unternehmen haben schon immer die richtigen Fragen gestellt. Sie haben die jetzige Diskussion nicht gebraucht, um für Compliance- und Security-Themen sensibilisiert zu werden.“
Hier liegt auch die eigentliche Crux. Nicht nur die einzelne Anwendung und das "Vergessen" sicherheitstechnischer Basismaßnahmen, etwa des Ersetzens von Standard-Passworten und des Absicherns ungenutzter Administrationszugänge, sind das Problem. Vielmehr sind es gedankenverlorene Anwender oder Wünsche aus dem Management sowie Systeme, die am sichersten wären, würden sie nicht betrieben.
Betrachtet man aktuelle Sicherheitskonzepte, lassen sich zwei Trends aufzeigen, die versuchen, den sicherheitstechnischen Anforderungen gerecht zu werden:
Die echte netztechnische Trennung von Client-Systemen mit dezidierten Zugängen zu den zentralen Servern und, so weit möglich, eine Isolierung veralteter Systeme. Damit lässt sich recht zuverlässig der Wildwuchs lokaler Server am zentralen IT-Betrieb vorbei verhindern und zumindest etwas Kontrolle über kritische Systeme gewinnen. Die Virtualisierung von Altsystemen ist übrigens keine Lösung, da Sicherheitslücken bleiben, die Systeme so gut wie nie völlig isoliert betrieben werden und Virtualisierungslösungen ihre ganz eigenen Sicherheitsanforderungen stellen. Letztlich handelt es sich hier aber in erster Linie um strategische und organisatorische Probleme, weniger um technische.
Der andere Trend, getreu dem Motto "Viel hilft viel", versucht, mit Hilfe von Verschlüsselung im Intranet, der Trennung von Authentifizierung, Applikationslogik und Datenbanken sowie weiteren Netzsegmentierungen durch Firewalls das gewünschte Maß an Sicherheit zu erreichen. Ergänzend will man mittels Intrusion-Detection- oder Intrusion-Prevention-Systemen (IDS/IPS) Eindringlingen auf die Spur kommen. Diese Maßnahmen sind allerdings eher dafür geeignet, den IT-Betrieb zu verwirren. Durch sie geht die Transparenz verloren, wer mit wem warum im Intranet kommuniziert.
Verschlüsselung verbirgt schließlich auch Schadcode und unerwünschten Datenverkehr. Und Firewalls helfen intern wenig, da Hacker genau jene Lücken nutzen, die für die interne Kommunikation verwendet werden. IPS/IDS-Systeme bieten nicht nur zusätzliche Angriffsziele, sie sind vor allem auch so komplex, dass viele IT-Administratoren mit der richtigen Anwendung überfordert sind. Für die IDS-Lösung selbst ist Geld da, für die Ausbildung der IT-Experten häufig nicht. Auch administrative Folgekosten werden oft nicht gesehen - ein IDS-System will gepflegt sein, damit es tut, was es soll.(ba)
Datenschutz in Deutschland Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:
Hewlett-Packard (HP): Werden selten angefragt „Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“
Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz. „Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“
Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang. „Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“
Google: Wir prüfen alle Anfragen gewissenhaft. "Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“