Ratgeber Mobiler Cloud-Zugriff

Mehr als 30 Prozent der Smartphone-Nutzer speichern vertrauliche Daten wie E-Mail-Passwörter auf ihrem intelligenten Handy, so eine aktuelle Studie von Motorola. 45 Prozent der Befragten verwenden keine Sicherheitssoftware für ihr Smartphone. Ginge das schlaue Mobiltelefon verloren, wären die darauf gespeicherten Daten in Gefahr. Aber nicht nur diese.

Mögliche Hintertür in die Cloud

Smartphones bieten sich geradezu an, Cloud-Dienste zu nutzen. Ein Webbrowser ist ebenso vorhanden wie die Möglichkeit, schnelle Internetverbindungen aufzubauen. Werden allerdings die Passwörter für den Cloud-Zugang auf dem Smartphone ungeschützt gespeichert, sind neben den lokalen Smartphone-Daten auch sämtliche Daten in der Cloud gefährdet, die nur über das gespeicherte Passwort geschützt sind.

BSI fordert starke Authentifizierung

Die "Sicherheitsempfehlungen für Cloud Computing Anbieter" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordern für den Schutz vertraulicher Cloud-Daten unter anderem eine starke Authentifizierung. Neben einem Passwort sollen weitere Faktoren abgeprüft werden, um die Berechtigung für den Cloud-Zugang besser kontrollieren zu können. Diese Anforderung gilt auch für mobiles Cloud Computing.

Es gibt bereits verschiedene Möglichkeiten einer starken mobilen Authentifizierung auf dem Markt. Grundsätzlich eignen sich diese Lösungen allerdings nur dann für die Absicherung des mobilen Cloud-Zugriffs, wenn die Cloud den jeweiligen Authentifizierungsmechanismus auch unterstützt. Zudem sind noch nicht alle mobilen Verfahren ausgereift.

Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.

Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.

Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.

Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.

Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.

Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.

Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.

Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).

Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.

Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.

Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.

Tipps für mobilen Cloud-Zugriff I

Lösung 1: Einmal-Passwörter für die mobile Cloud

Ob Google Authenticator, Securepoint HandyID oder RSA SecurID Software Token, es gibt zahlreiche Apps, mit denen ein Smartphone zum Generator eines Einmal-Passwortes wird. Ist die mobile Applikation einmal installiert, erzeugt diese nach Eingabe des Passwortes ein Einmal-Passwort, das für den Cloud-Zugang zusätzlich eingegeben werden muss. Alternativ kommt das Einmal-Passwort per SMS oder Anruf.

Eine zusätzliche Sicherheit besteht allerdings nur, wenn der für die Erzeugung des Einmal-Passwortes erforderliche PIN durch den Nutzer nicht auf dem Smartphone gespeichert wird. Andernfalls könnten auch Unbefugte das Einmal-Passwort anfordern und für den Cloud-Zugang missbrauchen.

Der Anwender sollte sich auch bewusst sein, dass das Smartphone in diesem Fall selbst zum Security Token wird. Für die Absicherung des mobilen Cloud-Zugangs ist ein Einmal-Passwort nur dann sinnvoll, wenn es nicht auf dem mobilen Endgerät empfangen wird, mit dem der mobile Zugang erfolgen soll. Nicht umsonst fordert zum Beispiel der Zentrale Kreditausschuss des deutschen Kreditgewerbes, dass der Empfang mobiler TANs nicht auf dem Smartphone erfolgen soll, das für das Mobile Banking genutzt wird.

Soll der mobile Cloud-Zugriff über zusätzliche Einmal-Passwörter abgesichert werden, sollten die Einmal-Passwörter nicht auf dem Smartphone selbst, sondern auf einem zusätzlichen Hardware-Token oder einem zweiten Handy empfangen werden. In diesem Fall kann ein einzelnes Smartphone somit den Token nicht ersetzen.

Empfehlung:

Für den Fall, dass nur das Cloud-Passwort gestohlen wird, nicht aber das Smartphone, ist die Forderung von zusätzlichen Einmal-Passwörtern für den mobilen Cloud-Zugang eine wichtige Sicherheitsmaßnahme, ob sie nun per SMS, per Anruf oder App bereit gestellt werden.

Tipps für mobilen Cloud-Zugriff II

Lösung 2: Fingerabdruck auf dem Smartphone

Was bei Notebooks fast die Regel ist, ist bei Smartphones eher die Ausnahme: Die Prüfung des Fingerabdrucks kann ebenfalls die Passwortabfrage ergänzen und so den mobilen Cloud-Zugriff sicherer machen. Smartphones wie Motorola ATRIX verfügen über einen Fingerabdruck-Scanner. Wird dieser aktiviert und ein Fingerabdruck auf dem Gerät hinterlegt, kann das Smartphone mittels Fingerabdruck-Prüfung entsperrt werden anstatt mit Passwort oder PIN. Dazu wird der Fingerabdruck über das Smartphone-Display eingelesen. Aber: Falls die Anmeldung am Smartphone über den Fingerabdruck misslingt, kann man auch das Passwort oder die PIN verwenden.

Empfehlung:

Gängige Fingerabdruck-Scanner für Smartphones bieten einen alternativen Schutz für den Gerätezugang. Eine Ergänzung des Passwortes bei der Cloud-Anmeldung bieten sie in der Regel allerdings nicht. Wird also das Smartphone bei Inaktivität nicht automatisch gesperrt und geht es während des Betriebs verloren, besteht durch die Fingerabdruck-Prüfung keine zusätzliche Sicherheit für den Cloud-Zugang.

Lösung 3: Gesichtserkennung mit Smartphone-Kamera

Da die meisten Smartphones mit einer hochauflösenden Kamera ausgestattet sind, bietet sich neben dem Fingerabdruck ein weiterer biometrischer Faktor für die starke mobile Authentifizierung an, um den mobilen Cloud-Zugriff sicherer zu machen. Mit Face Unlock wird bei Smartphones mit Android 4.0 etwa der Versuch unternommen, über die Smartphone-Kamera eine Gesichtserkennung zu ermöglichen. Erste Versuche zeigen allerdings, dass sich Face Unlock unter Umständen austricksen lässt, indem der Kamera ein passendes Foto des legitimen Nutzers präsentiert wird.

Empfehlung:

Die Absicherung des Smartphone- und mobilen Cloud-Zugangs mit biometrischen Faktoren wie der Gesichtserkennung könnte bei entsprechend ausgereifter Technik ein wichtiger Ansatz werden. Noch ist allerdings Vorsicht angezeigt.

Alles sicher(n) in der Cloud?
Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet Vor- und Nachteile:

Vorteile einer Sicherung in der Cloud
Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet eine Menge Vorteile:

Vorteil 1:
Bereitstellung und Betreuung von Speichersystemen und -Medien im eigenen Büro/Unternehmen entfallen in der Regel komplett.

Vorteil 2:
Grundsätzlich gibt es keine Beschränkung in Bezug auf den Speicherplatz: Wer mehr Platz für seine Daten braucht, erwirbt einfach zusätzlichen Speicherplatz von seinem Provider.

Vorteil 3:
Dadurch sind natürlich auch die Kosten besser kalkulierbar. Der Anwender zahlt nicht mehr für die Hardware, deren Betreuung und Betrieb. Er zahlt nur für den Speicherplatz und die damit verbundenen Dienste.

Vorteil 4:
Zudem hosten professionelle Anbieter ihre Storage-Angebote in Rechenzentren mit einer entsprechend hohen Sicherheit. Sie garantierten Backups und damit auch eine Wiederherstellung der Daten.

Nachteile einer Sicherung in der Cloud
Neben diesen offensichtlichen Vorteilen sollte man sich aber auch der Probleme bewusst sein, die beim Einsatz einer derartigen Lösung auftauchen können:

Nachteil 1:
Eine schnelle und stabile Anbindung an das Internet ist Pflicht - ohne sie ist eine solche Lösung nicht sinnvoll: In einer ländlichen Gegend sollte also zunächst einmal sichergestellt werden, dass eine entsprechende Internet-Verbindung überhaupt verfügbar ist.

Nachteil 2:
Ebenso wichtig ist ein vertrauenswürdiger Provider: Ein Anwender möchte gerne wissen, wer seine Daten wo (in Deutschland/ Europa oder gar auf einem anderen Kontinent?) speichert und sichert.

Nachteil 3:
Mindestens so wichtig: Die Kontinuität des gewählten Dienstes/Dienstleisters, denn niemand möchte jedes Jahr nach einem neuen Anbieter suchen, weil der gewählte Provider die Dienste vielleicht aus Rentabilitätsgründen einstellt.

Nachteil 4:
Die Sicherheit und hier speziell die Sicherheit der Übertragung: Im Idealfall stellt der Anbieter eine End-to-End-Verschlüsselung bereit und die Daten werden auf seinen Systemen nur verschlüsselt abgelegt, so dass selbst die Systemspezialisten des Providers diese Daten nicht einsehen können.

Tipps für mobilen Cloud-Zugriff III

Lösung 4: Standortabhängige Zugriffskontrolle

Die Positionsdaten zum aktuellen Standort eines Smartphones können nicht nur dabei helfen, ein verlorenes Gerät wieder aufzuspüren. Die Überprüfung der Position des Gerätes kann auch Teil der Zugangskontrolle zur Cloud werden. So könnte der Zugriff auf die Cloud auf bestimmte Orte eingeschränkt werden, indem die Position des Smartphones über GPS- oder WLAN-Ortung bestimmt und mit der Liste der erlaubten Orte verglichen wird.

Lösungen wie ZoneDefense von AirPatrol können Smartphones in einem gewissen Umkreis orten und die Zugangsberechtigungen abhängig vom aktuellen Ort vergeben und unbefugte Nutzungen sperren. Solche Lösungen eignen sich für eine räumlich begrenzte Kontrolle der Smartphone-Aktivitäten. Eine übergreifende Kontrolle des mobilen Cloud-Zugangs ist damit nicht vorgesehen.

Empfehlung:

Gegenwärtig arbeiten jedoch zum Beispiel Forscher des Mobile Business-Teams am Institut für angewandte Informatik und formale Beschreibungsverfahren (AIFB) des Karlsruher Institut für Technologie an Lösungen für eine ortsabhängige Zugriffskontrolle zur Absicherung mobiler Geschäftsprozesse und Cloud Computing.

Lösung 5: Geräteerkennung als Zugriffsschutz

Der mobile Zugriff auf Cloud-Lösungen wie Microsoft Office 365 lässt sich zum Beispiel durch eine Prüfung der Geräteidentität (Geräte- ID, Geräte-IMEI, International Mobile Equipment Identity) zusätzlich absichern. Der Administrator kann über eine Regel für den Gerätezugriff die Smartphones und mobilen Endgeräte festlegen, mit denen der mobile Zugang erlaubt sein soll. Ein gestohlenes Passwort reicht dann nicht, wenn der Dieb das legitimierte Smartphone nicht im Zugriff hat.

Geht allerdings ein legitimiertes Smartphone und das Passwort des Nutzers verloren, müssen Benutzerzugang und Berechtigung für das Smartphone umgehend durch den Administrator deaktiviert werden.

Dienste wie Junos Pulse Mobile Security Suite oder Sophos Mobile Control können zum Beispiel für die Zugriffskontrolle auf eine Private Cloud eingesetzt werden. Dabei können die mobilen Geräte, die für den Zugang zur Cloud genutzt werden sollen, unter anderem auf Geräteidentität, aktuelle Position und Sicherheitsstatus überprüft werden. Bei Abweichung von den Vorgaben wird der Zugriff auf die Cloud verweigert. Verlorene Smartphones können aus der Ferne gesperrt und gelöscht werden.

Empfehlung:

Gerade die Prüfung der Geräteidentität ist eine sinnvolle Ergänzung des Passwortes, um den Passwortmissbrauch zu verhindern. Der mobile Cloud-Zugriff über ein verlorenes oder gestohlenes Smartphone, auf dem das Passwort gespeichert wurde, kann jedoch nicht verhindert werden, wenn der Betroffene den Verlust nicht sofort meldet und der Administrator das Gerät für den Cloud-Zugang blockiert.

So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:

Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.

Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.

Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.

Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.

Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.

Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?

Fazit: Große Vielfalt bei mobiler Zugangskontrolle

Wichtig ist in jedem Fall, dass mobile Cloud-Nutzer ihre Daten auch auf dem Smartphone verschlüsseln, ihr Cloud-Passwort nicht speichern und den Verlust ihres Smartphones sofort bei der zuständigen Stelle melden.

Lösungen wie die StoneGate SSL VPN Appliance mit rund 20 verschiedenen Authentifizierungsalternativen zeigen zudem, wie umfangreich die Möglichkeiten der mobilen Zugriffskontrolle sind. So lassen sich zum Beispiel die Passwortabfrage und das Einmal-Passwort noch um eine Sicherheitsfrage ergänzen, die der mobile Cloud-Nutzer bei der Anmeldung beantworten muss.

Die Möglichkeiten der mobilen Zugriffskontrolle werden in Zukunft noch weiter zunehmen, wie das Projekt MimoSecco (Middleware for Mobile and Secure Cloud Computing) zeigt. Dort werden unter anderem Smartcards als Ergänzung des Passwortes im Mobile Cloud Computing untersucht, die zum Beispiel in Form einer SD-Karte in Smartphones eingesetzt werden können.

Beim sicheren mobilen Cloud Computing könnte auch der neue Personalausweis eine Rolle spielen, zum Beispiel mit einer zertifizierten AusweisApp für Smartphones. Unternehmen sollten diese Entwicklungen im Blick behalten, denn so riskant der mobile Cloud-Zugriff auch sein kann, das Mobile Cloud Computing ist ein klarer Zukunftstrend. (wh)