Sicherheit und Cloud Computing

Daten in der Cloud effizient schützen

20.01.2016 von Jochen Wießler
Deutsche Unternehmen und Organisationen legen besonders hohen Wert darauf, dass ihre Daten sicher sind. Das gilt vor allem für Informationen, die sie in Cloud-Umgebungen speichern und bearbeiten. Sicherheitsbedenken sind zwar verständlich jedoch nicht notwendig. Interessenten sollten im Vorfeld genau prüfen, welche Schutzmaßnahmen ein Cloud-Service-Provider zur Verfügung stellt.

"Sind meine Daten in der Cloud sicher?" Diese Frage spielt vor allem für deutsche Unternehmen eine zentrale Rolle. Das belegt eine Studie (PDF-Link) von Bitkom Reseach und KPMG vom Frühjahr 2015. Demnach fürchten 56 Prozent der Befragten, dass die Nutzung von Cloud-Diensten die Einhaltung von Compliance-Vorgaben gefährden könnte. An die 60 Prozent der Unternehmen fürchten Angriffe auf sensible Daten, wenn sie Cloud-Services einsetzen, und 49 Prozent haben Angst von dem Verlust von Geschäftsinformationen. Dies gilt vor allem für die spezialisierten kleinen und mittelständischen Unternehmen (KMUs), die ihr Know-how nicht in die Cloud transferieren wollen. Obwohl genau diese Firmen sehr stark von der Digitalisierung und der Cloud-Nutzung profitieren könnten im Wettbewerb mit den großen Konzernen.

Cloud-Readiness-Studie 2015
Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt.
Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen?
Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein!
Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können?
Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services?
Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:

Solche Befürchtungen sind jedoch überzogen, auch - oder gerade dann - wenn ein Unternehmen Public Cloud Services nutzt, die ein externer Provider bereitstellt. Das unterstreicht ein weiteres Ergebnis der Studie. So verzeichneten zehn Prozent der Unternehmen in den vier Wochen vor der Befragung Angriffe auf ihre IT-Infrastruktur. In 85 Prozent der Fälle standen diese Attacken definitiv nicht im Zusammenhang mit den eingesetzten Cloud-Lösungen; an die vier Prozent der Befragten konnten dazu keine Angaben machen.

Cloud-Nutzer haben Kontrolle über ihre Daten

Diese Resultate belegen, dass Cloud Computing die Angriffsfläche der Unternehmens-IT nicht in dem Maße vergrößert, wie es von Skeptikern behauptet wird. So ist es ein Mythos, dass ein Unternehmen die Kontrolle über seine Daten aus der Hand gibt, wenn es eine Public oder Hybrid Cloud nutzt. Vielmehr können Kunden mit dem Cloud-Service-Provider vereinbaren, in welchem Rechenzentrum bestimmte Daten gespeichert und bearbeitet werden dürfen, etwa in einem Rechenzentrum in Deutschland oder anderswo in der Europäischen Union. Auf diese Weise kann ein Unternehmen steuern, in welchem Rechtsraum sensible Informationen lagern, insbesondere personenbezogene Daten. So sind Nutzer von Cloud-Diensten in der Lage, von strengeren Datenschutz- und Compliance-Auflagen zu profitieren, etwa dem Bundesdatenschutzgesetz oder den Vorgaben der Europäischen Union.

Wichtig ist, dass im Vorfeld eine Klassifizierung der Informationsbestände erfolgt. Denn an geschäftskritische und personenbezogene Daten müssen höhere Sicherheitsmaßstäbe angelegt werden als an solche, die für die Öffentlichkeit bestimmt sind, beispielsweise Werbeunterlagen oder Produkthandbücher. Außerdem empfiehlt es sich, bei der Vertragsschließung mit einem Cloud-Service-Provider auf die EU-Standardvertragsklauseln zurückzugreifen. Sie regeln den Transfer personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums. Diese Klauseln stellen sicher, dass die Datenschutzvorgaben der EU auch bei der Bearbeitung sensibler Daten in Cloud-Rechenzentren außerhalb der Europäischen Union zum Tragen kommen.

Sicherheit muss Teil der Produktentwicklung sein

Ein wesentlicher Faktor bei Anwendungen, die ein Unternehmen als Software-as-a-Service (SaaS) aus einer Cloud bezieht, ist die Qualität dieser Applikationen. Sicherheit sollte bei Cloud-Anwendungen ein fester Bestandteil der Produktentwicklung sein. Für Anwender lohnt sich daher ein Blick darauf, welche Maßnahmen ein Software-Anbieter ergreift, um seine Cloud-Lösungen "wasserdicht" zu machen. Hierzu zählen beispielsweise ein Security Development Life Cycle (SDLC) oder die Einhaltung von Normen wie der ISO 27034. Sie definiert Regeln, die das Sicherheitsniveau bei der Softwareentwicklung erhöhen.

Speziell bei der Wahl eines Anbieters von SaaS-Lösungen sollten Nutzer zudem nachfragen, wie es der Provider mit dem Einspielen von Sicherheits-Updates (Patches) und neuen Versionen einer Software hält. Kritische Patches sollten umgehend implementiert werden. Insbesondere bei Cloud-Anwendungen, die eng mit IT-Systemen und Geschäftsprozessen im Unternehmen verzahnt sind, sollten Updates und das Einspielen neuer Versionen zudem mit dem Anwender abgestimmt werden. Hauruck-Aktionen, wie sie bei einigen großen Cloud-Anbietern zu beobachten sind, können unnötige Sicherheitsrisiken mit sich bringen und die IT-Abteilungen von Unternehmen vor Probleme stellen.

Cloud-Service-Provider wie SAP können einen besseren Datenschutz bieten als viele Unternehmensrechenzentren. Sie spiegeln beispielsweise Daten von Kunden zwischen räumlich entfernten Datacentern.
Foto: SAP SE

Dabei ist es den deutschen Firmen bewusst, dass sie in Sicherheit investieren müssen. Zu diesem Ergebnis kommt eine aktuelle Studie der NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e. V.), bei der 53 Prozent aller Befragten angaben, dass sie mit Mehrausgaben für den Bereich IT-Sicherheit in 2016 fest rechnen.

Verschlüsselung ist kein Allheilmittel

Für viele Nutzer von Cloud-Services spielt die Verschlüsselung beim Schutz ihrer Daten eine wichtige Rolle. Das ist auch richtig so, denn Daten sollten sowohl beim Transport über - öffentliche - Netzwerke als auch auf den Systemen des Service-Providers verschlüsselt werden. Falsch ist jedoch, dass Verschlüsselung ein Allheilmittel ist. So kann sich eine Verschlüsselung von Daten durchaus störend auf den Geschäftsbetrieb auswirken, etwa dann, wenn bei Datenbank-Abfragen die Daten zuvor entschlüsselt und nach Abschluss der Aktion wieder verschlüsselt werden müssen. Hier können Frameworks wie SEED (Search over Encrypted Data), das derzeit von SAP entwickelt wird, weiterhelfen. Es ermöglicht Abfragen von Datenbanken, ohne dass auf den entsprechenden Servern die Daten entschlüsselt werden müssen.

Zudem hilft Verschlüsselung nicht weiter, wenn sich Unbefugte Zugang zu den Schlüsseln verschaffen. Das können illoyale Mitarbeiter des Service-Providers oder Nutzer von Cloud-Diensten sein. Solche Aktivitäten lassen sich beispielsweise mit einem Identity-Management-System und Konzepten wie "Least Privilege Access" vermeiden. Nur dazu autorisierte Personen können dann auf bestimmte Datenbestände zugreifen. Dazu werden sie nur mit den unbedingt erforderlichen Berechtigungen ausgestattet.

Rechenzentren von Cloud-Service-Providern unter die Lupe nehmen

Ein Faktor, den Kritiker von Cloud-Diensten gerne außer Acht lassen, ist das Sicherheitsniveau der Datacenter von Service-Providern. Dieses ist in vielen Fällen deutlich höher als das von Unternehmensrechenzentren. Der Grund liegt auf der Hand: Würden Kunden durch unzureichende Sicherheitsvorkehrungen Daten verlieren, könnte ein Cloud-Service-Provider schließen.

Ein Indikator dafür, dass ein Cloud-Rechenzentrum hohen Sicherheitsstandards entspricht, ist eine Zertifizierung gemäß ISO 27001, SSAE 16 oder SIAE 3402. Unternehmen, die an Standorten in mehreren Ländern Cloud-Dienste eines Providers nutzen, sollten darauf achten, dass dessen Rechenzentren über die dort geltenden Zertifizierungen verfügen. Außerdem können seriöse Service-Provider nachweisen, dass sie in den vorgegebenen Intervallen eine Re-Zertifizierung durchführen. Denn ein beliebter Trick von "schwarzen Schafen" in der Cloud-Branche besteht darin, sich diese Mühe zu sparen, aber dennoch mit einem Gütesiegel wie ISO 27001 zu werben.

Plattform- und Infrastruktur-Ebene mit einbeziehen

Häufig reduzieren Nutzer von Cloud-Services das Thema Sicherheit auf zwei Aspekte: den Schutz ihrer Daten und die Sicherheit der genutzten Dienste und Applikationen. Doch zusätzlich benötigt eine stabile und sichere Cloud-Lösung eine ebenso robuste und sichere Plattform und Infrastruktur. Das schließt ein hochsicheres Rechenzentrum, die Absicherung des Zugriffs auf Daten sowie ein klar geregeltes Datenmanagement mit ein.

Zehn spannende Cloud-Security-Startups
Bitium
<strong>Service:</strong> Cloud Application Management, Single-Sign-on, Analytics<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar von Resolute VC, Double M Partners, Social Leverage und Karlin Ventures<br /> <strong>Sitz:</strong> Santa Monica, Kalifornien, USA<br /> <strong>CEO:</strong> Scott Kriz, vormals Produktchef von Fastpoint Games (Sport- und Unterhaltungsspiele-Anbieter, der 2012 an Weplay verkauft wurde)<br /> <strong>Große Kunden:</strong> Prialto, OpenTable, Act-On, Media Temple<br /> <strong>Wettbewerb:</strong> Okta, OneLogin, Ping Identity, Symplified
Bitsight Technologies
<strong>Service:</strong> Security Rating, mit dem Risiken in der Zusammenarbeit mit Partnern, Zulieferern oder Outsourcern bewertet werden können<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 24 Millionen Dollar (im Rahmen eines „Series A round“-Fundings im Silicon Valley im Juni 2013)<br /> <strong>Sitz:</strong> Cambridge, Massachusetts, USA<br /> <strong>CEO:</strong> Shaun McConnon, vormals CEO von Q1 Labs<br /> <strong>Wettbewerb:</strong> CloudeAssurance bietet einen ähnlichen Dienst, ist aber spezialisiert auf Cloud Service Provider
CipherCloud
<strong>Service:</strong> All-in-one-Plattform für Cloud-Sicherheit<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 30 Millionen Dollar von Andreessen Horowitz<br /> <strong>Sitz:</strong> San Jose, Kalifornien, USA<br /> <strong>CEO:</strong> Pravin Kothari, vormals Mitgründer von ArcSight (wurde für 1,5 Milliarden von HP gekauft)<br /> <strong>Große Kunden:</strong> Mitsubishi UFJ Global Custody, Novati Technologies, Carribean Credit Bureau<br /> <strong>Wettbewerb:</strong> Gazzang, Perspecsys, Porticor, Vormetric, Voltage Security
HyTrust
<strong>Service:</strong> Tools für Virtualisierungs-Sicherheit, mit denen zentrale Policies über virtuelle oder Cloud-Infrastrukturen durchgesetzt werden können<br /> <strong>Gründung:</strong> 2009<br /> <strong>Kapital:</strong> 34,5 Millionen Dollar von Venture-Capital-Investmentfirmen wie Trident Capital, Granite Ventures und Epic Ventures und von strategischen Unternehmensinvestoren wie Cisco, VMware, Intel Capital und Fortinet. Auch In-Q-Tel, der Investment-Bereich der US-Geheimdienste, hat eingezahlt.<br /> <strong>Sitz:</strong> Mountain View, Kalifornien, USA<br /> <strong>CEO:</strong> John De Santis, vormals Chairman und CEO beim Software-Security-Infrastruktur-Anbieter TriCipher (wurde 2010 von VMware gekauft). Mitgründer und President ist Eric Chiu, vormals Verkaufschef bei Cemaphore Systems.<br /> <strong>Große Kunden:</strong> AIG, US Army, Northrop Grumman, Pepsi, McKesson, Home Shopping Network, Federal Reserve Bank of Chicago, UC Berkeley, State of New Mexico, Denver Museum of Nature & Science<br /> <strong>Wettbewerb:</strong> Altor Networks (gehört mittlerweile zu Juniper), Catbird
ForgeRock
<strong>Service:</strong> Identity Management<br /> <strong>Gründung:</strong> 2010<br /> <strong>Kapital:</strong> 22 Millionen Dollar von Foundation Capital und Accel Partners<br /> <strong>Sitz:</strong> San Francisco, Kalifornien, USA<br /> <strong>CEO:</strong> Mike Ellis, vormals Managerposten bei SAP, i2 Technologies, Oracle und Apple<br /> <strong>Große Kunden:</strong> Deloitte, Thomson Reuters, Aberdeen Asset Management, Reuters<br /> <strong>Wettbewerb:</strong> Oracle, CA Technologies, OneLogin, Okta, SecureAuth
MyPermissions
<strong>Service:</strong> Management, Kontrolle und Überwachung der Apps und Websites, die Zugang zu den persönlichen Daten des Anwenders haben<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 1 Million Dollar von 500 Startups, lool Ventures und 2B Angels (Beteiligung durch Plus Ventures und Robby Hilkowitz)<br /> <strong>Sitz:</strong> Tel Aviv, Israel<br /> <strong>CEO:</strong> Olivier Amar, vormals Marketingchef von GetTaxi und Toyga Financial<br /> <strong>Große Kunden:</strong> Vod.io, EQuala.fm, Stylemarks, Any.DO<br /> <strong>Wettbewerb:</strong> Secure.me, Privacy Choice
Netskope
<strong>Service:</strong> Cloud Application Analytics und Policy-Werkzeuge<br /> <strong>Gründung:</strong> 2012<br /> <strong>Kapital:</strong> 21,4 Millionen Dollar von Lightspeed Ventures und The Social+Capital Partnership<br /> <strong>Sitz:</strong> Los Altos, Kalifornien, USA<br /> <strong>CEO:</strong> Sanjay Beri, vormals General Manager des Geschäftsbereichs "Secure Access and Mobile Business" bei Juniper Networks sowie dessen Büroleiter in Indien. Davor Mitgründer von Ingrian Networks, das von SafeNet übernommen wurde.
Prevoty
<strong>Service:</strong> kontextabhängiger Schutz von Web-Anwendungen<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> 2,4 Millionen Dollar via Seed Funding<br /> <strong>Sitz:</strong> Los Angeles, Kalifornien, USA<br /> <strong>CEO:</strong> Julien Bellanger, vormals Gründer von Personagraph, das die Privatsphäre mobiler Nutzer schützt. Davor bei Intertrust tätig.<br /> <strong>Wettbewerb:</strong> Citrix, F5, Radware, A10 Networks
Skyhigh Networks
<strong>Service:</strong> Cloud Lifecycle und Security Suite<br /> <strong>Gründung:</strong> 2011<br /> <strong>Kapital:</strong> 26,5 Millionen Dollar – darunter ein 20-Millionen-Investment durch Sequoia Capital und Greylock Partners (im Rahmen eines „Series B round“-Fundings im Mai 2013)<br /> <strong>Sitz:</strong> Cupertino, Kalifornien, USA<br /> <strong>CEO:</strong> Rajiv Gupta, vormals Gründer und CEO von Securenet. Nach dessen Übernahme durch Cisco im Jahr 2007 (für 100 Millionen Dollar), war Gupta dort als Leiter der Policy Management Business Unit tätig.<br /> <strong>Große Kunden:</strong> Cisco, Diebold, Equinix, Torrance Memorial Medical Center<br /> <strong>Wettbewerb:</strong> Netskope
SnoopWall
<strong>Service:</strong> Anti-Spyware/Anti-Malware<br /> <strong>Gründung:</strong> 2013<br /> <strong>Kapital:</strong> nicht veröffentlicht<br /> <strong>Sitz:</strong> Nashua, New Hampshire, USA<br /> <strong>CEO:</strong> Gary Miliefsky, vormals CTO bei NetClarity

Cloud-Rechenzentren müssen daher höchsten Sicherheitsanforderungen genügen. Das betrifft die physische Absicherung, etwa gegen Stromausfälle, Hochwasser und das Eindringen Unbefugter, aber auch klassische IT-Security-Maßnahmen. Dazu zählen das Sichern von Daten an unterschiedlichen Standorten sowie der Schutz des Netzwerks und der IT-Systeme vor Cyber-Angriffen aller Art. Führende Cloud-Service-Provider geben Interessenten die Möglichkeit, sich selbst vor Ort in einem Rechenzentrum des Anbieters ein Bild von solchen Schutzmaßnahmen zu machen.

Enormer Informationsbedarf bei deutschen Unternehmen

Allerdings herrscht bei Unternehmen in Deutschland noch ein beträchtlicher Nachholbedarf, was Kenntnisse über die Sicherheitsanforderungen und rechtlichen Bedingungen der Nutzung von Cloud-Diensten betrifft. Das gilt vor allem für mittelständische Unternehmen, wie die Studie "DsiN Sicherheitsmonitor 2015" (PDF-Link) der Initiative Deutschland sicher im Netz (DsiN) ergab. Selbst 27 Prozent der Unternehmen, die bereits Cloud-Services einsetzen, haben keine Kenntnisse der Sicherheitsregeln, die für die Nutzung von Cloud-Diensten gelten. An die 47 Prozent sind "teilweise" informiert.

Es liegt auf der Hand, dass dieser Mangel an Wissen Risiken für die betreffenden Unternehmen mit sich bringt. Hier sind die IT-Abteilungen, Datenschutzfachleute und Compliance-Experten der Nutzer von Cloud-Diensten gefordert. Sie müssen schlichtweg Know-how in puncto Datenschutz und Datensicherung in Cloud-Umgebungen aufbauen. Dabei können sie auf die Beratungskompetenz von Cloud-Service-Providern zurückgreifen. Alle führenden Anbieter von Public-Cloud-Diensten stellen Kunden und Interessenten entsprechende Informationen zur Verfügung.

Der Faktor Mensch

Wenn man Sicherheitsstudien glauben darf, finden 65 bis 70 Prozent der Angriffe auf Informationen innerhalb eines Unternehmens statt. Das heißt nicht, dass die Mitarbeiter auch die Täter sind, sondern nur, dass technische Maßnahmen, die einen Schutz von außen bieten sollten, umgangen wurden. Hier kommen Mitarbeiter als größter Schutzfaktor ins Spiel. Nur sie können starke Passwörter wählen, vertrauliche Ausdrucke rechtzeitig vernichten, das White Board mit vertraulichen Informationen nach dem Meeting säubern oder Fremde im Büro direkt ansprechen. Aus diesem Grund ist es äußerst wichtig die eigenen Mitarbeiter zu sensibilisieren und konsequent zu schulen. Bei SAP sind diese Trainings obligatorisch.

Deutschland sicher im Netz

Um sich auch als Firma breiter für IT-Sicherheit im Mittelstand zu engagieren ist SAP aktives Mitglied beim Verein Deutschland sicher im Netz e.V. Produktneutral und herstellerübergreifend ist DsiN zentraler Ansprechpartner für Verbraucher und mittelständische Unternehmen. Bei DsiN engagieren sich Unternehmen, Vereine und Branchenverbände der digitalen Wirtschaft und Gesellschaft. Sie leisten mit ihren konkreten Handlungsversprechen einen praktischen Beitrag für mehr IT-Sicherheit.

Der Beitrag von SAP zu Deutschland sicher im Netz konzentriert sich auf die Unterstützung kleiner und mittelständischer Unternehmen bei der Absicherung ihrer Geschäftsanwendungen und die Stärkung des Vertrauens in das Internet. Dies schließt auch explizit die Cloud-Anwendungen mit ein. Aus diesem Grunde beteiligt sich SAP insbesondere an Projekten zum Thema IT-Sicherheit für den Mittelstand. Das starke Engagement wird unterstrichen durch die Tatsache, dass Hartmut Thomsen, Geschäftsführer der SAP Deutschland SE & Co. KG, seit 2013 stellvertretender Vorstandsvorsitzender des Vereins ist.