Datenschutz, Datensicherheit

Sicheres Cloud Computing

17.02.2014

Von Dr. Niels Fallenbeck und Iryna Windhorst

Sichere Speicherung der Daten in der Cloud

Bei der Speicherung der Daten spielt die Verschlüsselung eine zentrale Rolle. Die Verwaltung der Schlüssel stellt für viele Anwender eine Herausforderung dar. Ihr Verlust bedeutet immer auch den Verlust verschlüsselter Daten; eine Kompromittierung der Schlüssel bedeutet eine Gefährdung der Datensicherheit.

Sicherer Transfer der Daten in die Cloud

Neben der sicheren, isolierten Aufbewahrung der Daten spielt der sichere Transport der Daten vom Kunden in die Cloud und zwischen den Cloud-Rechenzentren eine wichtige Rolle. Daten sollten nur über verschlüsselte Kanäle übertragen werden und lassen sich beispielsweise über ein verschlüsseltes virtuelles privates Netzwerk (VPN) in die bestehende IT-Infrastruktur des Anwenders einbinden. Um Management-Schnittstellen oder die Verwendung von SaaS-Angeboten via Web-Browser abzusichern, sind ausschließlich sichere HTTPS-Verbindungen anzuraten.

Sichere Datenverarbeitung

Was die Datenverarbeitung angeht, ist es besonders wichtig, alle Zugriffe und Aktivitäten innerhalb der Speicherdienste und Cloud-Anwendungen zu protokollieren, um Angriffe zu erkennen. Des Weiteren spielen Portabilität und Interoperabilität eine wichtige Rolle, um die Gefahren eines Vendor-Lock-ins - die zwangsweise Bindung an einen Anbieter aufgrund fehlender Daten-Export-Schnittstellen oder wegen unüblicher Export-Datenformate - zu minimieren. Um einen Lock-in-Effekt zu vermeiden, müssen gegebenenfalls Vereinbarungen mit dem Cloud-Anbieter getroffen werden, um die gespeicherten Daten in einem Standardformat zur Verfügung gestellt zu bekommen. Das kommt dem Anwender dann zu Gute, wenn er später den Cloud-Provider wechseln möchte. Für die Integration von Cloud-Services in die eigene Infrastruktur und bei der Nutzung mehrerer Angebote (Hybrid Cloud) ist die Interoperabilität der Infrastrukturen wichtig. Mit standardisierten und offenen Schnittstellen, Protokollen und Open-Source-Plattformen lässt sich dieser Zustand erreichen.

Sicherer Zugang zu den Cloud-Diensten

Nicht nur die Daten selbst, sondern auch die Zugangsdaten für Cloud-Dienste und eigene Anwendungen müssen geschützt werden. Eine verschlüsselte Übertragung und ein regelmäßiger Wechsel des Logins sind zu empfehlen. Hier sollten starke Authentifizierungsmechanismen wie eine Zwei-Faktor-Authentifizierung verwendet und Zugriffsrechte individuell nach dem Need-to-know-Prinzip vergeben werden. Die verteilten Rollen und Rechte sind regelmäßig zu überprüfen.

Sichere Datenarchivierung

Das verschlüsselte Archivieren von Daten ist ratsam. Um regulatorische Vorgaben zu erfüllen und forensische Untersuchungen zu ermöglichen, sind hier Mechanismen anzuwenden, die die Suche nach und Extraktion von Daten jederzeit möglich machen.

Sichere Datenlöschung/-vernichtung

Die dauerhafte Löschung der Daten in der Cloud ist sehr wichtig, egal ob dies durch gesetzliche Vorgaben vorgeschrieben oder bei dem Wechsel des Anbieters nötig geworden ist. Da ein Anwender oft keinen Zugriff auf das vom Cloud-Provider vorgehaltene Backup hat, bietet es sich an - sofern der Service dies ermöglicht -, die Daten ausschließlich verschlüsselt zu speichern. Beim Löschvorgang wird dann der zugehörige Schlüssel vernichtet und eine Datenentschlüsselung damit quasi hundertprozentig ausgeschlossen.

So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:
Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.
Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.
Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.
Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.
Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.
Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?

Fazit

Aus jeder bedrohlichen Wolke kann mit der richtigen Strategie ein blauer Himmel werden.
Foto: philliefan99, flickr

Den Vorteilen von Cloud Computing (Skalierbarkeit, Elastizität, Pay-per-Use, …) stehen einige Herausforderungen gegenüber, mit denen sich ein Anwender auseinandersetzen muss. Er sollte zum einen überlegen, wie ihn Cloud-Infrastrukturen in seinen Prozessen unterstützen können. Zum anderen aber auch, welche Daten er in der Cloud verarbeitet möchte respektive überhaupt verarbeiten kann. Darüber hinaus muss er sich bewusst sein, dass auch Cloud-Computing-Systeme zeitweise nicht erreichbar sein können und geeignete Strategien für Ausfallzeiten entwickeln. Wird eine hohe Erreichbarkeit benötigt, besteht die Möglichkeit, mehrere unterschiedliche Clouds zu verwenden, was durch fehlende Schnittstellen aber in der Umsetzung schwierig sein kann.

Nichtsdestotrotz hebt die Nutzung von Cloud-Infrastrukturen das Sicherheitsniveau von Anwendern, die kein Wissen im Bereich IT-Sicherheit und der sicheren Administration der eigenen Server besitzen, oft sogar an: Cloud-Anbieter beschäftigen spezialisierte IT-Security-Mitarbeiter, die über aktuelle Angriffe frühzeitig informiert sind und die Systeme bei kritischen Schwachstellen zeitnah aktualisieren.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren