Der Schutz der Daten in der Cloud

Datenschutz und -sicherheit: Ein Beispiel

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Der Schutz der Daten in der Cloud ist extrem wichtig. Am Beispiel Brainlab lässt sich zeigen, dass dabei gesunder Menschenverstand und Kontrolle nicht die schlechtesten Ratgeber sind.

Dass Cloud Computing, die IT aus der Steckdose, den Betrieb und die Bereitstellung von IT-Services vereinfacht, bezweifelt heute niemand mehr ernsthaft. Dennoch beginnen Unternehmen erst damit, das Potenzial dieses Ansatzes für sich zu erschließen.

Der Schutz der Daten in der Cloud.
Der Schutz der Daten in der Cloud.
Foto: maxkabakov, Fotolia.com

Ein Hauptgrund für die bislang häufige Zurückhaltung sind Sicherheitsbedenken: Laut einer Studie von Capgemini vom vergangenen Jahr haben über 70 Prozent der Firmen in Deutschland Sorgen wegen möglicher Sicherheitslücken in den Cloud-Angeboten. Dabei beweist das Beispiel von Unternehmen, die bereits in signifikantem Umfang auf Cloud Computing setzen, dass solch eine Strategie bei entsprechenden Rahmenbedingungen sogar in kritischen Bereichen möglich ist.

So nutzt die Brainlab AG mit Sitz in Feldkirchen bei München bereits seit geraumer Zeit verschiedene Cloud-Angebote. Das Unternehmen wurde 1989 gegründet und stellt Systeme zur bildgesteuerten Chirurgie und für Strahlentherapie her. Weltweit beschäftigt Brainlab rund 1100 Mitarbeiter. Über ein Rechenzentrum in Deutschland werden die IT-Leistungen für alle Mitarbeiter global erbracht und koordiniert.

Kleines IT-Team

Dabei setzt Brainlab verstärkt auf externe Dienstleister, wie IT-Leiter Andreas Wierstorf erläutert: "Unsere Server werden bei einem Housing-Partner in dessen Räumlichkeiten betrieben. Er ist auch für die Sicherheit verantwortlich. Grundsätzlich achten wir bei unseren Partnern auf einen hohen Sicherheitsstandard."

Ebenso wurde der Betrieb des ERP-Systems (Enterprise Resource Planning) von SAP in die Hände eines externen Service-Providers gelegt. Die Brainlab-Mitarbeiter greifen sowohl über die SAP GUI als auch über einen Web-Browser auf das Reporting- Portal zu.

Der Ansatz, möglichst viele Aufgaben der IT in die Hände externer Dienstleister zu legen, ist eine gesetzte Strategie im Unternehmen: "Wir haben ein relativ kleines IT-Team", so Wierstorf. "Durch die Arbeit mit Dienstleistern gewinnen wir mehr Flexibilität, können neue Dienste schneller nutzen und haben weniger Aufwand mit dem täglichen Betrieb. Dadurch bleibt mehr Zeit und Kapazität, das Unternehmen in der Geschäfts- und Prozessoptimierung zu unterstützen." Nur die globalen Kernsysteme wie zum Beispiel E-Mail, Intranet und Directory Services würden traditionell noch im Haus betrieben. Wierstorf weiter: "Was sich sinnvoll extern betreiben lässt, lagern wir aus."

Seit rund zwei Jahren nutzt Brainlab konsequenterweise auch Cloud-Angebote. Zum Beispiel kommt im Kunden-Management die Cloud-Lösung von Salesforce.com zum Einsatz. Auch der Datenaustausch erfolgt unternehmensweit über einen Cloud-Anbieter. Hier arbeitet Brainlab mit der Plattform von Box. Auf die Cloud-Dienste können die Mitarbeiter über einen Browser oder über ihre mobilen Geräte mit den entsprechenden Apps zugreifen. Hierbei ist Apples Betriebssystem iOS auf iPhone und iPad der unternehmensweite Standard.

Strenge Auflagen

Als Hersteller im Bereich der Medizintechnik unterliegt das Unternehmen strengen Auflagen bei der Produktion und den Arbeitsprozessen. Da auch der amerikanische Markt bedient wird, muss sich Brainlab unter anderem alle zwei Jahre den kritischen Augen der amerikanischen Gesundheitsbehörde Food and Drug Administration (FDA) stellen. Der Datenschutz und die Datensicherheit spielen eine entsprechend große Rolle. Zudem ist das Unternehmen in seinem Bereich einer der weltweiten Marktführer und somit sehr daran interessiert, sein geistiges Eigentum vor Unbefugten zu schützen.

Die Sicherheit der mobilen Geräte "gewährleisten wir über XenMobile von Citrix", erklärt Wierstorf. Diese Mobile-Device-Management-Lösung bietet verschiedene Funktionen, um Smartphones oder Tablets bei Bedarf wieder in den Werkszustand zu bringen, Unternehmensanwendungen selektiv aus der Ferne zu löschen oder um den Standort eines spezifischen Geräts zu ermitteln. "Bei Verlust setzen wir ein mobiles Gerät einfach remote auf den Werkszustand zurück", so der IT-Leiter. "Eine zusätzliche starke Authentisierung der Anwender zum Zugriff auf die Daten und Apps nutzen wir hier bislang noch nicht, die Standardmechanismen von iOS reichen aktuell für unseren Bedarf aus."

Auch bei den Cloud-Dienstleistern selbst verlässt sich Brainlab zu weiten Teilen auf die standardmäßigen Sicherheitsmaßnahmen des Anbieters. "Bei Salesforce etwa greifen die Sicherheitsvorkehrungen, die dort implementiert sind", so Wierstorf. "Zusätzlich unterstützen wir die Datensicherheit aber, indem wir ein sehr granulares Rollenkonzept bei dieser Anwendung umgesetzt haben. Somit hat jeder Mitarbeiter nur auf die Daten Zugriff, die er für seine Tätigkeit auch benötigt. Der Zugriff ist dabei zum Beispiel nach den Vertriebsregionen geregelt. Ein Vertriebsmitarbeiter kann also nur die Daten von Kunden aus seiner Region sehen." Eine weitere Sicherheitsvorkehrung ist, dass Brainlab die wichtigsten Kundendaten aus der Cloud in das eigene Rechenzentrum repliziert. So kann die Betriebsbereitschaft zumindest in wesentlichen Teilen auch bei einem Ausfall der Cloud oder des Dienstleisters gewährleistet werden.

Das wichtigste Glied in der Sicherheitskette ist bei Brainlab jedoch eine strenge Überprüfung der verschiedenen Dienstleister. Diese müssen ihre Zertifikate vorab vorlegen. Alle Zertifikate und sonstigen relevanten Dokumente werden bei Brainlab vom Datenschutzbeauftragten und von der Compliance-Abteilung evaluiert. Zudem werden intensive Gespräche mit den Anbietern geführt, um die zugrunde liegenden technologischen und vor allem organisatorischen Sicherheitskonzepte zu durchleuchten.

Auch für kleinere Cloud-Provider, die nicht über die üblichen Zertifikate verfügen, wurde laut Wierstorf ein Evaluierungspfad geschaffen: "Hierfür haben wir eine interne Checkliste, nach der wir den Dienstleister beurteilen. Natürlich sind dabei auch detaillierte Gespräche notwendig. Zudem prüfen wir im Einzelfall auch vor Ort die organisatorische Seite eines Anbieters." Allerdings ist auch Wierstorf klar, dass Zertifikate und sonstige Nachweise noch kein Garant für die Sicherheit sind. Deshalb werden die Dienstleister im Nachgang stichprobenartig durch Penetrationstests überprüft. Für diese Aufgabe bedient sich Brainlab ausschließlich externer Fachleute.

Sensibilisiert und fit

Die Mitarbeiter sind zu einem verantwortungsbewussten Umgang mit den Daten angehalten und dafür auch sensibilisiert und trainiert. Hier unterstützt das Unternehmen unter anderem durch E-Learning. "Welche Risiken wir damit eingehen, wissen wir aus einer jüngst erfolgten Risikoanalyse. Bislang trat jedoch bei uns noch kein Vorfall auf", versichert Wierstorf.

Dass sich die IT-Abteilung darauf nicht ausruhen kann, ist ihm bewusst. Cyber-Kriminelle sind äußerst erfinderisch, wenn es um neue Angriffsverfahren geht. Mittelfristigen Handlungsbedarf sieht Wierstorf deswegen in erster Linie bei den Windows-PCs. Hier setzt das Unternehmen auf die einfache Anwenderauthentisierung mit Benutzername und Passwort. Das Ziel ist eine starke Zwei-Faktoren-Authentisierung. Dieses Verfahren basiert auf dem Prinzip, dass ein Benutzer etwas besitzen und etwas wissen muss, um sich Zugang zum Rechner zu verschaffen.

Üblich sind dabei Tokens in Form eines USB-Sticks, die in Verbindung mit einem Passwort den Zugang zur gewünschten Ressource freigeben. So lassen sich keine Benutzerdaten eines Anwenders ausspähen. "Wir haben die ersten Lösungen evaluiert", so Wierstorf zum Stand der Dinge. "Nach jetzigem Stand bevorzugen wir entweder Hardware-Tokens oder alternativ Software-Tokens, die zum Beispiel über das Smartphone des Mitarbeiters eine Authentisierung erlauben."

Ein weiteres Feld, das noch zu bearbeiten ist, sieht Wierstorf im Sourcing. Generell bevorzugt er als Bereitstellungsmodell für bestimmte IT-Services die Cloud. Durch seine historisch gewachsene IT betreibt Brainlab aber noch immer zahlreiche Systeme im eigenen Haus, die unter Umständen auch sinnvoll über einen externen Dienstleister bezogen werden könnten.