Cloud-Dienste sicher nutzen
Kalkulierbares Risiko - Schatten-IT in Unternehmen
Verschlüsselung ja - aber wo?
Sobald klar ist, dass Daten verschlüsselt werden sollen, müssen Sie entscheiden, wo die Verschlüsselung erfolgt. Denn viele Cloud-Dienste bieten bereits von Haus aus eine Verschlüsselung an, diese erfolgt jedoch nur innerhalb der Cloud. Außerhalb sind die Daten immer noch frei zugänglich.
Dabei bestimmt der Ort der Datenverschlüsselung, wer Zugriff auf die Daten hat und wer nicht. Wenn also Ihr Anbieter die Verschlüsselung übernimmt, hat er auch die Möglichkeit, auf die Daten zuzugreifen. Bereits bei oberflächlicher Betrachtung ist dies wichtig, weil somit unbekannte Personen potenziellen Zugriff auf die Daten haben. Dies birgt jedoch die Gefahr, dass Daten aus der Speicherumgebung des Cloud-Anbieters gestohlen werden können.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Sie sollten also den Schutz Ihrer Daten nie auf die leichte Schulter nehmen und immer damit rechnen, dass es zu Eindring-/Kompromittierungsversuchen kommen kann. Daher sollten die Daten noch bei Ihnen vor Ort verschlüsselt werden, bevor sie in die Cloud verschoben werden.