Cloud-Speicher sind heute Standard, wenn es darum geht, über verschiedene Geräte wie Smartphone und Laptop auch mobil auf Daten zuzugreifen. In Unternehmen nutzen Mitarbeiter Box- oder Drive-Dienste, um innerhalb von Teams oder auch mit Kunden besonders große - oder sensible - Daten auszutauschen. Im privaten Bereich haben sie sich bei vielen Nutzern auch als Backup-Option etabliert.
Foto: Natali_Mis - shutterstock.com
Die Art und Weise wie die Anwender diese Cloud-Services nutzen, macht es kriminellen Hackern allerdings oft leichter, unbefugten Zugriff auf ihre Daten zu gelangen. Einfallstore sind beispielsweise gleiche Passwörter für unterschiedliche Dienste oder der Verzicht auf die Zwei-Faktor-Authentifizierung durch Passwort und Smartphone. Wird ein zentraler Cloud-Speicher gehackt, können ddie Hacker vertrauliche Daten kopieren, verändern, löschen oder auch verschlüsseln. Die nicht abebbende Ransomware-Welle zeigt, wie wahrscheinlich diese Bedrohungen auch für Unternehmen geworden sind.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
5 Tipps für eine sichere Cloud-Speicher-Strategie
Dennoch hat die Absicherung von Daten durch Verschlüsselung in den IT-Budgets immer noch keine hohe Priorität. Das manifestiert sich unter anderem darin, dass viele Unternehmen Cloud-Speicherlösungen einsetzen, die eigentlich eher für "unkritische" Daten von Privatanwendern gedacht sind. Nur: Über das Minimum hinausgehende Sicherheitsfunktionen - beispielsweise eine https-Verschlüsselung - kann man bei solchen Cloud-Speicherdiensten nicht erwarten.
Gerade im Unternehmenskontext gehört die Verschlüsselung vertraulicher Daten zu den Grundvoraussetzungen, um diese angemessen vor Missbrauch zu schützen. Wenn Unternehmen Cloud-Dienste bewusst als sicheren Speicherort verwenden möchten, müssen sie die potenziellen Angriffspunkte bei der Speicherung und Übertragung ihrer Dateien bedenken. Um Daten lückenlos abzusichern, braucht es eine durchgehende Verschlüsselung – lokal und in der Cloud.
1. Lokale Daten verschlüsseln
Vertrauliche Daten sollten an jedem Speicherort vor unbefugten Zugriffen geschützt sein. Das beginnt bereits auf dem lokalen Computer, von dem aus Dateien in den Cloud-Speicherdienst kopiert werden. Verschlüsselungs-Software wie BitLocker oder VeraCrypt helfen dabei, die Daten schon vor der Übertragung in die Cloud zu schützen. Sensible Daten sollten daher nicht nur in der Cloud, sondern auch lokal verschlüsselt gespeichert werden, damit sie einem Angriff auf die lokalen Laufwerke standhalten.
2. Schlüssel separat speichern
Viele Unternehmen nehmen an, dass der Cloud-Anbieter für die Verwaltung der Zugriffsschlüssel zuständig sei. Aber auch Unternehmen, die ihre Daten eigenhändig verschlüsseln, geben häufig die Kontrolle über die Schlüssel in die Hände eines Cloud-Providers. Dabei gehört zur Verschlüsselung der Daten im Cloud-Speicher an sich auch der Schutz vor unbefugten Zugriffen durch den Cloud-Betreiber oder durch ein Datenleck beim Cloud-Dienst. Beispiel: Daten und Schlüssel werden bei einem Angriff auf einen Speicheranbieter von Hackern gemeinsam erbeutet. Das ermöglicht den sofortigen Zugriff durch die Angreifer.
Daher dürfen die Schlüssel nicht einfach in der Cloud aufbewahrt werden, in der auch die verschlüsselten Dateien liegen. Sicherer sind Dienste, die die Schlüssel unter Kontrolle des Speicheranbieters separat oder über einen unabhängigen Betreiber handhaben.
3. Daten sicher übertragen und speichern
Nicht nur die Anmeldedaten müssen beim Log-In verschlüsselt übertragen werden, es muss auch der gesamte Datentransfer in und aus der Cloud heraus verschlüsselt sein. Nur dann ist wirklich dafür gesorgt, dass Dritte, die den Zugangsschutz des Cloud-Speichers überwunden haben, die Daten während der Übertragung nicht abfangen oder modifizieren (Man-in-the-Middle-Attacke) können. Idealerweise liegen die Daten dann nur in verschlüsselter Form beim Anbieter. So ist auch ein Zugriff durch das Personal des Cloud-Anbieters ausgeschlossen und eine echte Ende-zu-Ende-Verschlüsselung der Daten gewährleistet.
4. Geräteübergreifende Verschlüsselung
Verschlüsselung ist nicht nur ein Thema für die Cloud. Ein wichtiger Faktor beim Schutz der Daten ist auch, dass Dateien durchgehend – das heißt nicht nur auf Computern – sondern auch auf mobilen Geräten durch eine App verschlüsselt gespeichert werden. Das schließt Angriffspunkte, bevor Nutzer ihre Dateien in Cloud-Speicherdienste hochladen. Ein weiterer Ansatz für mobile Geräte ist, geforderte Dateien erst bei Bedarf herunterzuladen und gar nicht erst dauerhaft alles auf dem Gerät zu speichern. Der Nachteil ist, dass man hierfür online sein muss und mobiles Datenvolumen verbraucht.
5. Usability fokussieren
Zu einer guten Sicherheitsstrategie gehört neben den technischen Anforderungen auch eine sehr menschliche: Ein sicherer Dienst muss für Anwender einfach zu nutzen sein. Dass PGP oder S/Mime bis heute im normalen E-Mail-Verkehr wenig verbreitet ist, ist dafür der beste Beweis. Umständliche Programme, komplizierte Prozesse oder fehlende Apps auf Mobilgeräten hindern Unternehmen daran, sichere Cloud-Speicher durchzusetzen. Gute Usability schützt ebenso effektiv vor einer Gefährdung durch Fehlbedienung.
- Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen. - Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf. - Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert. - User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten. - Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt. - Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
Fazit: Sicherheit globaler denken
Cloudbasierte Speicherdienste unterstützen Unternehmen in Sachen Teamarbeit und schnellem Datentransfer. Genauso schnell können ungesicherte Daten durch Angriffe auch bei unbefugten Dritten landen. In vielen Fällen geschieht das sogar, ohne dass die Nutzer davon Kenntnis erlangen.
Verhindern kann das nur eine ganzheitliche Sicherheitsstrategie, die bei den lokalen Daten ansetzt, alle durch die Mitarbeiter genutzten Geräte miteinbezieht und eine Ende-Zu-Ende-Verschlüsselung für Cloud-Speicher voraussetzt. Unternehmen müssen sich darüber im Klaren sein, dass der Missbrauch von Unternehmensdaten schnell teuer werden kann. Ein angemessenes Sicherheitskonzept bei der Speicherung von Daten in der Cloud lohnt sich letztlich immer. (fm)
- Professionelle Dropbox-Alternativen fürs Business
Automatisches Online-Backup, Cloud-Sync, mobiler Zugriff, einfaches Content-Sharing, Collaboration: Mittlerweile gibt es viele Dropbox-Alternativen, die diese Features anbieten und den Vergleich mit dem Platzhirsch nicht scheuen müssen. - Box
Box ist eine der beliebtesten Dropbox-Alternativen im Business-Bereich. Der ebenfalls aus Kalifornien stammende Online-Dienst bietet eine leistungsfähige Online-Plattform für KMUs, die Cloud-Storage, Dokumenten-Management der Enterprise-Klasse und Collaboration auf einen gemeinsamen Nenner bringt - SugarSync
Eine weitere Top-Lösung, die mit Dropbox und Box konkurriert und auch im Sillicon Valley entwickelt wird, ist SugarSync. Was die Kernfunktionalität angeht, gibt es zwischen diesen Lösungen kaum Unterschiede. So versetzt auch SugarSync Unternehmen in die Lage, Dateien in der Cloud zu lagern, über verschiedene Geräte hinweg zu synchronisieren, und mit Freunden und Kollegen unkompliziert zu teilen. - iDrive
Für Unternehmen, die in Sachen Cloud-Storage das Thema sichere Backups und Archivierung in den Vordergrund stellen, kommen “klassische” Online-Backup-Dienste in Frage, die um File-Sharing- und Cloud-Sync-Features ergänzt werden. - Wuala Business
Direkt mit iDrive konkurriert der Schweizer Hard- und Softwarehersteller LaCie. Mit Wuala Business stellt der Anbieter eine professionelle Cloud-Storage-Lösung bereit, die speziell auf die Anforderungen von KMUs ausgerichtet ist.