Diesen Artikel bewerten: 

So bleibt Cloud-Software sicher

Datenübertragung innerhalb der Cloud

Sven Denecken ist als Senior Vice President, Product Management und Co-Innovation SAP S/4HANA, bei SAP tätig. In seiner Rolle ist er unter anderem auch für strategische Projekte von SAP zuständig und arbeitet eng mit SAP-Partnern und Kunden zusammen.
Wie werden Daten sicher aus der Cloud auf das Endgerät übertragen? Folgende Maßnahmen erhöhen die Sicherheit in Ihrem Unternehmen.

Wie wird die Integrität der Datenübertragung gewährleistet?

Neben dem Rechenzentrumsbetrieb und der Lösungsarchitektur liegt ein besonderes Augenmerk auf der Übertragung der Daten zwischen der Cloud und dem Endgerät, über das der Anwender auf die Daten zugreift. Dadurch ist sichergestellt, dass nur Befugte die Daten mitlesen und zurück in Klartext übersetzen können. Die Bereitstellung aller Services über sichere Kanäle sollte heute bei jedem Cloud-Anbieter Standard sein.

Die Nutzung des Cloud Service beginnt mit der Anmeldung des Users im Browser oder über eine App. Es wird eine Verbindung zum Service-Anbieter aufgebaut und mittels eines Zertifikats ein kryptographischer Schlüssel erzeugt, der für die folgende Kommunikation verwendet wird. Hierzu sollte der Cloud-Anbieter umfassend Stellung nehmen können und kontinuierlich auf dem neusten Stand sein.

Nach Eingabe der Daten am Endgerät werden diese an das Rechenzentrum gesendet. Bevor dies geschieht, werden sie vom Browser mit dem anfangs erzeugten Code verschlüsselt. Nur die Empfangsstelle hat den richtigen Code mit dem die Daten zurückübersetzt werden können. Die entschlüsselten Daten werden dem Kundensystem zugeordnet und abgespeichert.

Transaktionen sollten mit einer verschlüsselten Bestätigung an den User enden, dass die Verbuchung erfolgreich war. Entschlüsselt auf dem Endgerät erscheint dann die erfolgreiche Bestätigung.

Wie kann die Sicherheit weiter erhöht werden?

Geschäftskontinuität und Skalierung sind zwei der wichtigsten Aspekte zur zusätzlich Erhöhung der Sicherheit.

Nehmen wir beispielhaft den als "Heartbleed" bekanntgewordenen Fehler im OpenSSL Protokoll. Auch wenn wir als Anbieter nicht betroffen waren, zeigt das sehr deutlich, dass man kontinuierlich auf dem neuesten Stand und den neuesten Patches (Sicherheitsupdate) sein muss, um die Systeme kontinuierlich sicherer zu machen. Die damit verbundenen Investitionen können Unternehmen oft erst ab einer bestimmten Größe ganzheitlich leisten.

Ich glaube, viel entscheidender ist das Thema Vertrauen. Wenn sie sich mehrere Jahrzehnte in einem Markt behaupten, bei dem unternehmenskritische Kernanwendungen laufen, ist die Sensibilität für Daten- und Prozess-Sicherheit und notwendige Investitionen vorhanden.

Die Ausbaustufe eines Leitstandes im Rechenzentrum beispielsweise ist durchaus ein guter Indikator wie viel das Unternehmen in die notwendigen Sicherheitsmaßnahmen investiert.

Wie wird mit dem Thema Sicherheit im Unternehmen umgegangen?

Sicherheit und Vertrauenswürdigkeit im Umgang mit Daten fängt nicht erst bei den Mitarbeitern an die unmittelbaren Zugang zum Rechenzentrum haben. Der Schutz vertraulicher Informationen ist entscheidend für den Erfolg eines Cloud Unternehmens und sollte entsprechend priorisiert werden.

Aufgrund von Gefahren, die nicht nur von Hackern, sondern verstärkt von "Social-Engineering-Angriffen" ausgeht, müssen alle Mitarbeiter sensibilisiert sein - von der Entwicklung bis zum Support. Dazu gehört beispielsweise, dass alle Mitarbeiter verpflichtet sind, an einem immer wieder aktualisierten Informationssicherheitstraining teilnehmen. Mitarbeiter erhalten dadurch das erforderliche Wissen, um sich selber und Kunden wirksam zu schützen.

Auf diese Weise wird Sicherheit ein TOP Thema und fest in der Unternehmenskultur verankert.

Werden Sicherheitsrichtlinien von dem Anbieter im Unternehmen festgelegt?

Sicherheitsverantwortlichkeiten und -richtlinien sollten beim Anbieter schon bei der Anstellung von seinen Mitarbeitern geregelt sein, die vor, während und nach dem Vertragsverhältnis verbindlich sind. Mitarbeiter, Vertragspartner oder Drittanbieter sollten über ihre Verantwortlichkeiten informiert sein. Periodische Überprüfungen gewährleisten, dass die Daten sicher sind und das Vertrauen immer wieder erneuert werden kann.

Einen umfassenden Schutz von Kundendaten erreicht man nicht über Nacht, sondern durch beharrliche langfristige Maßnahmen über alle beteiligten Ebenen.

Eine Kontinuität im Geschäft ist dabei genauso wichtig wie umfangreichen Investitionen in Infrastrukturmaßnahmen, regelmäßige fundierte Ausbildung und Transparenz zu den Kunden.

Bei Fragen zur Datensicherheit oder anderen Themen rund um das Thema Cloud Computing, empfehle ich Ihnen einen Blick auf das SAP Community Network zu werfen, in dem wir regelmäßig Beiträge zu den heißesten Themen in der Cloud veröffentlichen.

Um jederzeit die aktuellsten Neuigkeiten zum Thema Cloud Computing zu erhalten, folgen Sie mir und meinem Team auf LinkedIn oder Twitter:@SDenecken,@BeSchulzeoder@SAPCloud

Weiterführende Links rund um das Thema Sicherheit finden Sie hier:

CIO Guide (Slideshare)

www.sapdatacenter.com

SAP Cloud: Focusing on Security (Slideshare)