Cloud-Sicherheit im Überblick
Unternehmen, die Cloud-Dienste auf sichere Art betreiben oder nutzen möchten, sollten auf folgende Bereiche achten:
-
Die Datenintegrität und Datensicherheit sicherstellen, inklusive Regeln für den Datenzugriff.
-
Bei Public- und Hybrid-Cloud-Diensten: einen Service-Provider identifizieren, der über ein sicheres Data Center mit gut geschultem Personal und Sicherheitsfunktionen verfügt.
-
Vorsorge für den sicheren Transport der Daten zwischen dem eigenen Rechenzentrum und dem Cloud-Data-Center treffen.
-
Prüfen, welche Datensicherheitsregelungen und Compliance-Standards ein Provider berücksichtigt und über welche Zertifikate er verfügt, etwa ISO 27001 oder EuroCloud Star Audit SaaS.
Foto: Deloitte
Sicherheit in einer Cloud-Umgebung beginnt beim Anwender, der Cloud-Services nutzen möchte. Damit Datenschutzregeln greifen und Verstöße gegen Compliance-Vorgaben ausgeschlossen sind, muss der IT-Leiter wissen, welche Anwender Zugang zu welchen Informationen haben. Das betrifft auch privilegierte Nutzer wie Systemverwalter. Auf diesem Auge sind viele IT-Abteilungen blind. Mit Hilfe von Tools wie etwa der Shell Control Box (SCB) der ungarischen IT-Sicherheitsfirma Balabit lässt sich nachweisen, welche Änderungen ein Systemadministrator an Systemeinstellungen und Daten vorgenommen hat. Das gilt im Übrigen auch für die Mitarbeiter des Cloud-Service-Providers.
Rollenbasierte Administration
Foto: PwC
Auch wenn es aufwendig zu implementieren ist, sollte in einer Cloud-Umgebung ein rollengestütztes Authentifizierungsverfahren etabliert werden. Denn nicht jeder Nutzer respektive IT-Manager muss Zugang zu allen IT-Ressourcen haben. Hinzu kommt, dass es in vielen IT-Abteilungen leider Usus ist, dass Systemverwalter Passwörter untereinander austauschen, etwa um sich im Urlaub oder Krankheitsfall vertreten zu können. Auch dies sollte unterbunden werden, damit die Handlungen von IT-Mitarbeitern jederzeit transparent sind. Als Lösung bietet sich der Einsatz einer Multifaktor-Authentifizierung an, etwa auf Basis eines Einmal-Passworts in Verbindung mit einem Token oder Zertifikaten. Der Service-Provider wiederum muss klar- machen, wer außer ihm sonst noch Zugriff auf Kundendaten hat. Der US-Patriot-Act räumt beispielsweise amerikanischen Sicherheitsbehörden per se Zugang zu Daten aller Cloud-Service-Anbieter ein, die ihren Hauptsitz in den USA haben, ganz gleich, ob die Daten in einem Cloud-Data-Center in Europa oder den Vereinigten Staaten lagern. Dies ist für viele Cloud-Nutzer nicht akzeptabel.
- So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie: - Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen. - Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers. - Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein. - Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen. - Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen. - Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?