Sicherheit und Cloud Computing

Daten in der Cloud effizient schützen

Seit Oktober 2012 ist Jochen Wießler Leiter Geschäftsbereich Mittelstand und Partner bei der SAP Deutschland SE & Co. KG. Er verfügt über langjährige Management-Erfahrung im direkten und indirekten Vertrieb von Softwarelösungen sowie im Bereich Technologie- und Produkt-Marketing. Seine Stationen vor SAP umfassen unter anderem Oracle Deutschland und Microsoft Deutschland, wo er den Geschäftsbereich Microsoft Business Solutions verantwortete.

Deutsche Unternehmen und Organisationen legen besonders hohen Wert darauf, dass ihre Daten sicher sind. Das gilt vor allem für Informationen, die sie in Cloud-Umgebungen speichern und bearbeiten. Sicherheitsbedenken sind zwar verständlich jedoch nicht notwendig. Interessenten sollten im Vorfeld genau prüfen, welche Schutzmaßnahmen ein Cloud-Service-Provider zur Verfügung stellt.

"Sind meine Daten in der Cloud sicher?" Diese Frage spielt vor allem für deutsche Unternehmen eine zentrale Rolle. Das belegt eine Studie (PDF-Link) von Bitkom Reseach und KPMG vom Frühjahr 2015. Demnach fürchten 56 Prozent der Befragten, dass die Nutzung von Cloud-Diensten die Einhaltung von Compliance-Vorgaben gefährden könnte. An die 60 Prozent der Unternehmen fürchten Angriffe auf sensible Daten, wenn sie Cloud-Services einsetzen, und 49 Prozent haben Angst von dem Verlust von Geschäftsinformationen. Dies gilt vor allem für die spezialisierten kleinen und mittelständischen Unternehmen (KMUs), die ihr Know-how nicht in die Cloud transferieren wollen. Obwohl genau diese Firmen sehr stark von der Digitalisierung und der Cloud-Nutzung profitieren könnten im Wettbewerb mit den großen Konzernen.

Solche Befürchtungen sind jedoch überzogen, auch - oder gerade dann - wenn ein Unternehmen Public Cloud Services nutzt, die ein externer Provider bereitstellt. Das unterstreicht ein weiteres Ergebnis der Studie. So verzeichneten zehn Prozent der Unternehmen in den vier Wochen vor der Befragung Angriffe auf ihre IT-Infrastruktur. In 85 Prozent der Fälle standen diese Attacken definitiv nicht im Zusammenhang mit den eingesetzten Cloud-Lösungen; an die vier Prozent der Befragten konnten dazu keine Angaben machen.

Cloud-Nutzer haben Kontrolle über ihre Daten

Diese Resultate belegen, dass Cloud Computing die Angriffsfläche der Unternehmens-IT nicht in dem Maße vergrößert, wie es von Skeptikern behauptet wird. So ist es ein Mythos, dass ein Unternehmen die Kontrolle über seine Daten aus der Hand gibt, wenn es eine Public oder Hybrid Cloud nutzt. Vielmehr können Kunden mit dem Cloud-Service-Provider vereinbaren, in welchem Rechenzentrum bestimmte Daten gespeichert und bearbeitet werden dürfen, etwa in einem Rechenzentrum in Deutschland oder anderswo in der Europäischen Union. Auf diese Weise kann ein Unternehmen steuern, in welchem Rechtsraum sensible Informationen lagern, insbesondere personenbezogene Daten. So sind Nutzer von Cloud-Diensten in der Lage, von strengeren Datenschutz- und Compliance-Auflagen zu profitieren, etwa dem Bundesdatenschutzgesetz oder den Vorgaben der Europäischen Union.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Wichtig ist, dass im Vorfeld eine Klassifizierung der Informationsbestände erfolgt. Denn an geschäftskritische und personenbezogene Daten müssen höhere Sicherheitsmaßstäbe angelegt werden als an solche, die für die Öffentlichkeit bestimmt sind, beispielsweise Werbeunterlagen oder Produkthandbücher. Außerdem empfiehlt es sich, bei der Vertragsschließung mit einem Cloud-Service-Provider auf die EU-Standardvertragsklauseln zurückzugreifen. Sie regeln den Transfer personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Diese Klauseln stellen sicher, dass die Datenschutzvorgaben der EU auch bei der Bearbeitung sensibler Daten in Cloud-Rechenzentren außerhalb der Europäischen Union zum Tragen kommen.

Sicherheit muss Teil der Produktentwicklung sein

Ein wesentlicher Faktor bei Anwendungen, die ein Unternehmen als Software-as-a-Service (SaaS) aus einer Cloud bezieht, ist die Qualität dieser Applikationen. Sicherheit sollte bei Cloud-Anwendungen ein fester Bestandteil der Produktentwicklung sein. Für Anwender lohnt sich daher ein Blick darauf, welche Maßnahmen ein Software-Anbieter ergreift, um seine Cloud-Lösungen "wasserdicht" zu machen. Hierzu zählen beispielsweise ein Security Development Life Cycle (SDLC) oder die Einhaltung von Normen wie der ISO 27034. Sie definiert Regeln, die das Sicherheitsniveau bei der Softwareentwicklung erhöhen.

Speziell bei der Wahl eines Anbieters von SaaS-Lösungen sollten Nutzer zudem nachfragen, wie es der Provider mit dem Einspielen von Sicherheits-Updates (Patches) und neuen Versionen einer Software hält. Kritische Patches sollten umgehend implementiert werden. Insbesondere bei Cloud-Anwendungen, die eng mit IT-Systemen und Geschäftsprozessen im Unternehmen verzahnt sind, sollten Updates und das Einspielen neuer Versionen zudem mit dem Anwender abgestimmt werden. Hauruck-Aktionen, wie sie bei einigen großen Cloud-Anbietern zu beobachten sind, können unnötige Sicherheitsrisiken mit sich bringen und die IT-Abteilungen von Unternehmen vor Probleme stellen.

Cloud-Service-Provider wie SAP können einen besseren Datenschutz bieten als viele Unternehmensrechenzentren. Sie spiegeln beispielsweise Daten von Kunden zwischen räumlich entfernten Datacentern.
Cloud-Service-Provider wie SAP können einen besseren Datenschutz bieten als viele Unternehmensrechenzentren. Sie spiegeln beispielsweise Daten von Kunden zwischen räumlich entfernten Datacentern.
Foto: SAP SE

Dabei ist es den deutschen Firmen bewusst, dass sie in Sicherheit investieren müssen. Zu diesem Ergebnis kommt eine aktuelle Studie der NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e. V.), bei der 53 Prozent aller Befragten angaben, dass sie mit Mehrausgaben für den Bereich IT-Sicherheit in 2016 fest rechnen.

Verschlüsselung ist kein Allheilmittel

Für viele Nutzer von Cloud-Services spielt die Verschlüsselung beim Schutz ihrer Daten eine wichtige Rolle. Das ist auch richtig so, denn Daten sollten sowohl beim Transport über - öffentliche - Netzwerke als auch auf den Systemen des Service-Providers verschlüsselt werden. Falsch ist jedoch, dass Verschlüsselung ein Allheilmittel ist. So kann sich eine Verschlüsselung von Daten durchaus störend auf den Geschäftsbetrieb auswirken, etwa dann, wenn bei Datenbank-Abfragen die Daten zuvor entschlüsselt und nach Abschluss der Aktion wieder verschlüsselt werden müssen. Hier können Frameworks wie SEED (Search over Encrypted Data), das derzeit von SAP entwickelt wird, weiterhelfen. Es ermöglicht Abfragen von Datenbanken, ohne dass auf den entsprechenden Servern die Daten entschlüsselt werden müssen.

Zudem hilft Verschlüsselung nicht weiter, wenn sich Unbefugte Zugang zu den Schlüsseln verschaffen. Das können illoyale Mitarbeiter des Service-Providers oder Nutzer von Cloud-Diensten sein. Solche Aktivitäten lassen sich beispielsweise mit einem Identity-Management-System und Konzepten wie "Least Privilege Access" vermeiden. Nur dazu autorisierte Personen können dann auf bestimmte Datenbestände zugreifen. Dazu werden sie nur mit den unbedingt erforderlichen Berechtigungen ausgestattet.

Inhalt dieses Artikels

 

Jennifer Kampel

"Das können illoyale Mitarbeiter des Service-Providers oder Nutzer von Cloud-Diensten sein."

Bei der Wahl des Tools sollte unbedingt darauf geachtet werden, dass die Schlüssel selbst nicht einfach zugänglich sind! Als positives Beispiel sehe ich hier unter anderem Stackfield: Hier hat kein Mitarbeiter Zugriff auf die Schlüssel (End-to-End Verschlüsselung) und zudem können auch verschlüsselte Aufgabe etc. durchsucht werden.

comments powered by Disqus