Forrester zu Cloud Data Protection

Wie Cloud-Daten am besten zu schützen sind

19.07.2015 von Stanislav  Wittmann
Die Unsicherheit von Dokumenten und Daten in der Cloud hält viele Anwender (zurecht) davon ab, Kritisches dort abzulegen. Werkzeuge und Lösungsansätze verschiedenster Anbieter versprechen Abhilfe. Sind das nur leere Versprechungen oder gibt es die sichere Wolke wirklich?
  • Forrester Research befragte 17 Cloud Provider nach ihren Security-Vorgaben. Versprochen wird vieles, oft genügen die Angebote jedoch nicht, um die Cloud-Anwendungen ausreichend abzusichern.
  • Es gibt verschiedene Möglichkeiten, Cloud-Daten zu schützen - Verschlüsselung auf Server- oder Client-Seite sind nur zwei davon.
  • Um produktiv mit der Cloud arbeiten zu können, müssen Anwender wohl oder übel den "goldenen Mittelweg" zwischen Sicherheit und Risiko gehen.

Cloud Data Protection (CDP) ist im unternehmerischen Umfeld nicht nur wichtig, sondern obligatorisch. Für ihre Marktstudie "Cloud Data Protection Solutions" befragten die Analysten von Forrester Research 17 Anbieter nach ihren Security-Produkten und -Strategien für eine sichere und geschützte Wolke. Wichtige Erkenntnis: Die Security-Einstellungen der Cloud-Anbieter reichen oft nicht aus. Security Experten möchten aus der Auswahl von Sicherheitseinstellungen frei wählen - auch und gerade bei etablierten Cloud-Anbietern wie Dropbox, OneDrive, Gmail & Co. Denn im Falle eines Incidents wird nach der Verantwortung gefragt.

Die Sicherheitsvorgaben der Cloud-Provider sind meist unzureichend.
Foto: Vladislav Kochelaevs - Fotolia.com

Security-Spezialisten wissen das und misstrauen den Sicherheitseinstellungen der etablierten Cloud-Anbieter - durchaus berechtigt. Spätestens die NSA-Affäre hat gezeigt, was heutzutage möglich und zudem gängige Praxis ist. Eine eigene Verschlüsselung der hochgeladenen Daten wäre so eine zusätzliche Sicherheitsmaßnahme, der sich Security Experten bedienen. Laut Forrester gaben rund 35 Prozent der der befragten Security-Experten an, Daten vor dem hochladen zu Cloud-Anbietern zu verschlüsseln. Misstrauen gegenüber Cloud-Diensten könnten auch externe Auditoren von besagten Unternehmen haben. Denn diese haben nicht nur die Aufgabe, eine Zertifizierung zu bestätigen oder voranzutreiben. Auch Auditoren stehen in der Verantwortung. Gerade wenn es um sensible Daten von kritischer Infrastruktur aus dem Finanzsektor oder dem Gesundheitswesen geht.

Gefahren für Cloud-Daten drohen von verschiedenen Seiten.
Foto: Stanislav Wittmann

Security-Appliances helfen

"Der Einsatz zertifizierter Security-Appliances, welche für den Einsatz in der Cloud optimiert sind, hilft Anwendern und Auditoren bei der Umsetzung von Cloud Projekten gleichermaßen", so Olaf Hansel, Geschäftsführer des Internetproviders cx-solutions in Niedereschbach. "Für den Anwender erleichtern sie den Umgang mit Verschlüsselung und ermöglichen die Kontrolle des Datenflusses. Auditor und Unternehmen profitieren von bereits zertifizierten Lösungen."

Olaf Hansel empfiehlt den Einsatz zertifizierter Security-Appliances.
Foto: cx-solutions

Die Aufklärung von Security Incidents ist für die Experten ebenfalls wichtig. Bei der Verwendung von Cloud-Diensten wird das aber tendenziell schwieriger. Zur Tataufklärung werden die Protokolldateien benötigt. Forrester macht klar, dass Cloud-Anbieter diese ungern herausgeben, da der Datenverkehr zunehmend mandantenfähig verläuft. Selbst wenn die Security-Abteilungen an die Daten herankommen, ist die Auswertung der Daten aufgrund der Menge und mangelnden Übersicht komplex. Für den Cloud-Anbieter hat diese Datenverwaltung durchaus Vorteile. Die zentrale und einmalig fällig Wartung und der geringere Speicher- und Kostenbedarf sind nur einige der Gründe, die für den Provider sprechen.

Die besten Security-Appliances
Die besten Security-Appliances
In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor.
Check Point 1100
Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar.
Check Point 41000
Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering.
Cisco ASA5500
Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann.
Cisco ASA5585-X
Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps.
Dell SuperMassive 9800
Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen.
Fortinet FortiGate 5000
Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden.
Fortinet FortiWiFi 60D
Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt.
Netgear UTM25S
Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband.
McAfee M-4050
Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten.
McAfee N-450
Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten.
McAfee Next Generation Firewall
McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt.
WatchGuard FireboxT10
Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen.
WatchGuard Firebox M440
Palo Alto Appliance PA-5060
Der Firewall-Durchsatz beträgt 20 Gbps.

Zusätzlich macht die Forrester-Studie klar, dass für Security-Experten die Identität der Cloud-Benutzer im Vordergrund steht. Durch mobiles Arbeiten und Geschäftsreisen muss sichergestellt sein, dass ausschließlich autorisierte Benutzer auf Cloud-Dateien zugreifen können und Dateien sich nicht verfälschen lassen.

Fünf Lösungsvorschläge für CDP

Sobald man sich für das CDP-Modell entscheidet, stellt sich die Frage, wo und wie der Anbieter Dateien verschlüsselt, bevor sich diese lagern lassen. Forrester stellt hierfür fünf grundsätzliche Möglichkeiten dar:

Die erste Möglichkeit stellt die Verschlüsselung in der Cloud selbst dar. Und zwar vom Cloud-Provider. Diese Möglichkeit sieht Vorteile im Benutzermanagement und setzt kein großes Hintergrundwissen voraus. Dagegen haben Nutzer dieser Lösung wenig Einsicht in die Verwaltung. Insgesamt erfordert diese Lösung gegenüber dem Anbieter einen gewissen Grad an zusätzlichem Vertrauen.

Dagegen gibt es die Möglichkeit, Dateien selbstständig zu verschlüsseln, bevor diese hochgeladen werden. Für dieses Verfahren sprechen unter anderem die klare Benutzerverwaltung und die daraus resultierende Kontrolle über die Schlüssel respektive die Passwörter. Auf der anderen Seite steht ein erhöhter Ressourcenbedarf. Dafür werden Sie mit der Kontrolle der Schlüsselverwaltung belohnt.

Vor dem Upload kann der Benutzer in dieser Lösung die Dateien selbst verschlüsseln. Dabei kann er ein dafür vorgesehenes Plug-in nutzen. Für diese Alternative spricht ein hoher Grad an Kontrolle über die Schlüssel. Folglich lassen sich so Incidents besser aufklären. Gegenüber stehen erneut höhere Kosten durch mehr Verwaltungsarbeit und eventuell nötige Lizenzen.

Diese Methode ähnelt der ersten. Die Verschlüsselung erfolgt wiederum in der Cloud. Dabei lassen sich Dateien aus einer virtuellen Maschine verschlüsseln und anschließend physisch lagern.

Der Aufbau der zentralisierten Verschlüsselung in der Cloud.
Foto: Forrester Research

Alternativ kann ein Hypervisor die Dateien verschlüsseln und sichern. Bei Verwendung dieser Methode lässt sich beispielsweise der Datenstrom gut verfolgen, dafür ist die Abhängigkeit vom Cloud-Provider zwecks Sicherheit relativ hoch.

Zum Abschluss stellt Forrester noch eine Möglichkeit vor, die ohne Verschlüsselung auskommt. Stattdessen lässt sich genau nachvollzeihen, wer auf welche Daten zugreift. Die Software wird hierfür in der Regel zur Verfügung gestellt. Der Nachteil dieser Lösung liegt auf der Hand: Es gibt keine Verschlüsselung.

Die Analysten vergleichen in einer Marktübersicht die verschiedenen Lösungen in den einzelnen Bereichen miteinander. Wer Details zu den Anbietern erfahren möchte, kann die Studie hier erwerben.

Qualität durch Verschlüsselung

Ein Qualitätskriterium für die Cloud ist die Verschlüsselung. Hierzu macht Forrester deutlich, dass Security-Experten hohen Wert darauf legen, Dateien vor dem Upload zu verschlüsseln. Provider bevorzugen zudem die "Zero-Knowledge-Policy", da diese so keinen Zugriff auf die Informationen haben. Denn sobald Cloud-Anbieter Daten entschlüsseln können, besteht konkrete Gefahr, dass Daten massenhafter Überwachung ausgesetzt sind. Olaf Hansel resümiert: "Verschlüsselung und gesicherte Datenübermittlung haben ihren Preis - sei es finanziell oder in Form von zusätzlich notwendigen Maßnahmen. Um ein vielfaches höher ist jedoch der Preis für den Verlust wichtiger Daten."

Die wichtigsten Cloud-Zertifikate
Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten.
EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit".
Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können.
TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft.
SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert.
Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert.
Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

Und nun? Verschlüsseln oder nicht? Und wenn doch, dann gleich alle Daten, wie es zum Beispiel Edward Snowden empfiehlt oder nur partiell? Dem Cloud-Anbieter vertrauen und verschlüsseln lassen oder doch das Prinzip "Bring your own encryption" (ByoE) nutzen? Letztlich ist es eine individuelle Entscheidung des Unternehmens, die in einer wirklich exakten Risikobeurteilung zu treffen ist. Die Kosten-Nutzen-Relation darf auch nicht außen vor bleiben.

Die Kehrseite der Cloud-Verschlüsselung

Die Verschlüsselung von Cloud-Daten kann auch zu Problemen führen. So stellt sich zum Beispiel die Frage, wie nach verschlüsselten Dokumenten zu suchen ist. Security-Experten sollten bedenken, wie stark verschlüsselt wird. Denn es gilt, Inhalte beispielsweise vor Reverse Engineering zu schützen. Hinzu kommt die gewünschte möglichst schnelle Verfügbarkeit von Daten - überall und zu jeder Zeit. Ein hoher Komfort für die Nutzer mit minimalen Latenzzeiten also - im Idealfall gepaart mit einer schnell funktionierenden Ver- und Entschlüsselung. Auch stellt Forrester fest, dass Datenlecks schwer aufzuklären sind und die Data Loss Prevention (DLP) häufig unzureichend funktioniert. Dagegen hilft eine Optimierung des DLP-Systems selbst und der entsprechenden Richtlinien (Policy).

Viivo - Cloud-Speicher verschlüsseln
Sync-Ordner
Speichert man eine Datei im Viivo-Ordner, wird sie verschlüsselt und in einen Cloud-Ordner kopiert.
Konfigurieren
Über ein Konfigurationsprogramm kann man Voreinstellungen ändern.
Cloud-Dienste
Viivo unterstützt Dropbox, Box, One Drive und Google Drive, weitere Dienste kann man über eine manuelle Konfiguration einbinden.
Freigeben
Nach der Verschlüsselung kann man die Datei für ausgewählte Nutzer freigeben.
Drag & Drop
Zieht man eine Datei auf die Dropzone, ein Programmsymbol auf dem Schreibtisch, wird sie verschlüsselt.
Nutzerverwaltung
Die Business-Version bietet eine Verwaltungsfunktion für das Überwachen der verschlüsselten Dateien.

Zusammenfassung der Studie

Ein ganzheitliches Cloud-Konzept schafft Vertrauen. Dabei spielt neben der Verschlüsselung eine klare und benutzerfreundliche Zugänglichkeit eine wichtige Rolle. Denn laut Forrester geben die meisten befragten Security-Experten an, dass die Produktivität Hand in Hand mit den Sicherheitseinstellungen gehen soll. Darüber hinaus ist die Nachvollziehbarkeit des Datenverkehrs wichtig - kommt es zum Breach, muss feststellbar sein, wer welche Dokumente hoch- oder runtergeladen hat. Erfüllen CDP-Lösungen diese Anforderung nicht, sind Sie zum Scheitern verurteilt.

Mehr Kontrolle bedeutet aber auch mehr Aufwand. Sobald Sie einen höheren Grad an Sicherheit erreichen möchten, erhöhen sich sowohl administrativer Aufwand als auch die Kosten.

Fazit

Durch die Zunahme der Datenmenge steht eine strikte Abkehr vom Cloud Computing nicht zur Debatte. Für Unternehmensanwender gibt es keine realistische Alternative, was den Umgang mit großen Datenmengen angeht.

Bevor Daten in die Cloud gestellt werden, kann es sinnvoll sein, diese zu klassifizieren und nur ausgewählte Daten in eine Cloud hochzuladen. Für solche Entscheidungen kann eine Business Impact Analyse helfen. In jedem Fall gilt es bei der Auswahl des Cloud-Anbieters, auf einen starken und verlässlichen Datenschutz sowie eine akzeptable Benutzerfreundlichkeit zu achten. Die lokale Gesetzgebung des Providers sollte ebenfalls in die Entscheidung einfließen.

Im Idealfall erfüllt der Cloud-Provider hohe Anforderungen an zuverlässigen und starken Datenschutz sowie an die Benutzerfreundlichkeit.
Foto: Stanislav Wittmann

Die Marktentwicklung ist ebenfalls ein spannendes Thema. In dieser Branche spielt Vertrauen eine große Rolle und dieses könnte im amerikanischen Markt dahinschwinden. Das wiederum könnte dem europäischen und asiatischen Markt einen Wettbewerbsvorteil verschaffen. (sh)