Security in der Cloud
Sicherheit ist ein Entwicklungsprozess
Die Digitalisierung der Geschäftsprozesse sorgt dafür, dass IT-Infrastrukturen sowie die darauf befindlichen Daten eine immer stärkere Bedeutung im Unternehmen einnehmen. IT-Infrastrukturen sind heutzutage weniger ein geschlossenes System sondern ein hybrides Netzwerk. Die engere Vernetzung mit externen Partnern und Unternehmen sowie den Kunden ist ein strategischer Imperativ.
Cyber-Kriminelle sehen an den digitalen Schnittstellen zwischen einzelnen Unternehmen oftmals das Potenzial, sich Zugang zu geschäftskritischen Daten zu eröffnen, um daraus Profit schlagen zu können. Für Unternehmen ist es allein schon aus dem Grund des Selbstschutzes wichtig, sich entsprechend vor Hacker-Angriffen und Ausfällen (DDos-Attacken) zu schützen. Darüber hinaus können Unternehmen, die über eine umfangreiche IT-Sicherheitskultur verfügen, wichtige Argumente vorweisen, die erfolgreiche Partnerschaften unterstützen.
Die zunehmende Verbesserung der Sicherheitslösungen ist notwendig, um den Unternehmen einen bedarfsgerechten Schutz gewährleisten zu können. Allerdings entwickeln sich nicht nur die Schutzmechanismen, sondern auch die Tricks und Möglichkeiten der Angreifer auf die Systeme zu gelangen.
- Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte. - Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden. - Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist. - Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar. - Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln. - Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert. - Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt. - Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google. - Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.
Neue Angriffe vs. Neue Abwehr
Neue Wege finden Cyber-Kriminelle oftmals in der Public Cloud. Der Betrieb von Geschäftsanwendungen auf einer solchen Infrastruktur wird oftmals fachbereichsintern entschieden und geschieht somit ohne Kenntnisse der IT-Abteilungen. Compliance- und Sicherheitsanforderungen werden dabei häufig außer Acht gelassen. Da die Applikationen allerdings aus Firmennetzwerk aufgerufen werden, bieten sie so die Möglichkeit, auch umfangreichere Angriffe auf die Unternehmens-IT zu starten.
Der Nachteil an einem solchen Public Cloud-Deployment ist außerdem, dass die unternehmensinternen Sicherheitsexperten keine Kontrollmöglichkeit der Systeme haben, da diese vollständig an den Provider ausgelagert sind. Und während Großunternehmen noch einen gewissen Einfluss auf die Public Cloud Provider nehmen können, ist der Mittelstand bei dieser Problemlösung auf sich allein gestellt.
Es ist allerdings nicht so, dass Public Cloud Provider die Sicherheit der Systeme vollständig vernachlässigen. Da sie über eine umfangreiche Infrastruktur verfügen und diese auch regelmäßigen Updates unterziehen, ist die Basis für einen sicheren Applikationsbetrieb auch in der Public Cloud gegeben.
Bedarfsgerechte Security-Szenarien
Analog zum Applikationsbetrieb in der Cloud gibt es mittlerweile auch "Security-as-a-Service" (SECaaS). Die Sicherheitslösungen der Provider werden auch hier aus dem Rechenzentrum des Anbieters in die Infrastruktur der Anwenderunternehmen integriert. Die Abrechnung erfolgt nach dem "Pay-as-you-go"-Prinzip und vermeidet somit hohe Investitionskosten.
Der Vorteil einer Security Lösung aus der Cloud ist es, dass Unternehmen auf den gleichen Umfang einzelner Sicherheitsmodule zugreifen können und dabei immer auf dem neusten Stand der Technik sind. Da die Updates der Security-Lösungen ausschließlich beim Provider aufgesetzt werden müssen, profitiert der Anwender im gleichen Moment davon.
Die Angebotslandschaft für Security-as-a-Service und ähnliche Produkte ist vielfältig. Im Hinblick auf ein erhebliches finanzielles Risiko, das Unternehmen ohne geeignete Sicherheitslösungen eingehen, sind die Kosten für Security, besonders aus der Cloud, überschaubar. Anbieter wie Websense oder Trend Micro verfügen dabei über ein umfangreiches Portfolio, das bedarfsgerechte Lösungen für kleine, mittelständische und große Unternehmen bietet.
- Regel 1: Verschlüsselung ist Pflicht!
Einen Cloud-Anbieter ohne sichere Verschlüsselung sollten Sie unbedingt meiden. Denn werden Ihre Daten auf dem Weg zum Anbieter nicht verschlüsselt, so kann sie jeder abhören, der den Kommunikationsweg belauschen kann. Das können Geheimdienste oder polizeiliche Stellen sein, aber auch Cracker und sonstige Bösewichte. Besondere Vorsicht ist geboten, wenn Sie sich in einem öffentlichen Netzwerk befinden – etwa im Gratis-WLAN eines Cafés oder in einem Hotelnetzwerk. Hier kann schon der freundliche Herr mit dem Laptop am Nebentisch Ihre privaten Nachrichten und Bilder mitschneiden, wenn diese nicht verschlüsselt sind. <br /><br /> Verschlüsselung auf Webseiten ist leicht zu erkennen – neben der Internet-Adresse (URL) wird ein Schloss-Symbol eingeblendet und oft verfärbt sich auch die Adresszeile. So können Sie prüfen, wer sich hinter Ihrem Cloud-Provider verbirgt. <br /><br />Viele Anbieter versprechen, dass auch nach der Übertragung alle Daten verschlüsselt sind – dieses Versprechen ist aber oft irreführend. Meist reklamiert der Cloud-Provider nämlich für sich die Möglichkeit, mit einem Zweitschlüssel den Klartext Ihrer Daten zu errechnen – viele Funktionen in der Cloud wären sonst nämlich gar nicht möglich.<br /> - Regel 2: Made in Germany ist das Maß aller Dinge
Der deutsche Datenschutz gehört zu den strengsten Regelwerken der Welt. Und was vielen ausländischen Cloud-Anbietern Kopfschmerzen bereitet, ist für Sie als Anwender ein unschätzbarer Vorteil. Hält sich Ihr Provider nämlich an das deutsche Datenschutzgesetz, so können Sie davon ausgehen, dass Sie auch konform sind. Das ist für Heimanwender weniger wichtig als für Unternehmen, die verschiedene Aufbewahrungs- und Geheimhaltungspflichten zu beachten haben. <br /><br /> Geben Sie Ihre Daten in die Cloud, sollten Sie das bei einem deutschen Anbieter tun, der die Daten in einem deutschen Rechenzentrum ablegt. Das bringt mehr Sicherheit vor dem Zugriff durch ausländische Behörden und hat noch einen weiteren positiven Nebeneffekt: Durch die geographische Nähe Ihrer Daten zu Ihnen erhöht sich oft auch die Performance Ihrer Cloud-Anwendung.<br /> - Regel 3: Anbieterbindung vermeiden
Der Weg in die Cloud mag steinig sein, der Weg aus ihr heraus (oder in eine andere Wolke) ist oftmals ganz verbaut. Nicht wenige Anbieter nehmen gespeicherte Daten in eine Art Geiselhaft und machen einen Wechsel unmöglich. Diese Praxis – auch „Vendor Lock-In“ genannt – ist oft nicht einmal Absicht – es fehlen häufig Export-Routinen und vielfach (etwa bei CRM-Systemen oder anderen Enterprise-Anwendungen) sind die Daten ohne die dazugehörige Anwendungslogik schlicht unbrauchbar. <br /><br /> Bei der Auswahl eines Cloud-Anbieters sollten Sie also darauf achten, dass er Ihnen auf Anforderung Ihre Daten wieder herausgibt – idealerweise in einem standardisierten Exportformat wie etwa XML. Zusätzliche Gebühren sollte dieser Service keinesfalls kosten.<br /> - Regel 4: Sicherheitskonzept prüfen!
Ein guter Cloud Provider ist stolz darauf, alle notwendigen Vorkehrungen für sichere Datenübertragung und -speicherung getroffen zu haben. Er wird sein Sicherheitskonzept also nicht geheim halten. Prüfen Sie vor einem Vertragsschluss, wie der Anbieter es mit der Sicherheit hält: Besonders die verschlüsselte Datenübertragung, ausfallsichere und möglichst verschlüsselte Datenspeicherung und ein zertifiziertes Rechenzentrum für die Cloud-Server sollten selbstverständlich sein.<br /><br />Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren liefern gute Anhaltspunkte. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, fehlen Zertifizierungen oder wird auch auf Anfrage keine Auskunft gegeben, ist Vorsicht geboten.<br /> - Regel 5: Einen "Plan B" haben
Geben Sie Ihre Firmen- oder persönlichen Daten in die Cloud, geben Sie sie aus der Hand und machen sich vom Anbieter abhängig. Aufgrund der Vielzahl von Unwägbarkeiten im Cloud Computing sollten Sie also vorher einen "Plan B" aufstellen und umsetzen. Dazu gehört, immer ein aktuelles Backup der Cloud-Daten anzufertigen, wo möglich, und dieses Backup entweder auf den eigenen Computern oder bei einem anderen Cloud-Anbieter abzulegen.<br /><br /> Schließlich können Datenverluste jederzeit passieren – oder Ihr Cloud-Provider stellt den Geschäftsbetrieb im schlimmsten Fall gar ganz ein. Das ist in der Vergangenheit aus verschiedenen Gründen bereits mehrfach passiert. So hat der E-Mail-Dienstleister Lavabit aus Protest gegen NSA-Schnüffelvorhaben <a href="http://www.computerwoche.de/a/lavabit-gruender-zur-schliessung-verpflichtet,2544385" target="_blank">seinen Dienst quittiert</a> und der Linux-Anbieter Canonical hat seinen Speicherdienst „Ubuntu One“ hat aus wirtschaftlichen Gründen aufgegeben. <br /><br /> Um vorzusorgen, müssen sie also Redundanz schaffen – entweder mit einem zweiten Cloud-Anbieter oder einem lokalen Backup Ihrer Daten. Sonst geraten Sie in Schwierigkeiten, wenn die Familienfotos oder Steuerunterlagen plötzlich unwiderbringlich verloren sind.<br />
Um den Applikationsbetrieb und die Sicherheit aus der Public Cloud zu verbinden, eignen sich Managed Cloud-Infrastrukturen besonders gut. Hierbei werden die Systeme auf einer einheitlichen Sicherheitsinfrastruktur zusammengeführt und betrieben. Dabei entsteht eine Kombination aus diversen Vorteilen für die Unternehmen, die nutzungsbedingte Kostenstrukturen, leistungsfähige Systeme, dauerhafte Updates sowie ein umfangreiches Sicherheitskonzept umfassen. Ein lokaler Anbieter eines solchen Managed Cloud-Portfolios mit eigenem Sicherheitskonzept ist beispielsweise die DTS Systeme GmbH aus Herford.
Erfahrene Provider sind in der Lage, die notwendigen Investitionen in die IT-Sicherheit ihrer Infrastrukturen zu tätigen. Sie können den Unternehmen damit ein umfangreiches und leistungsfähiges Konzept bieten, da sie darüber hinaus auch über die notwendige Expertise für den Betrieb dieser Systeme verfügen. IT-Sicherheit gehört in die Hände von Experten. (bw)