Sicherheit aus der Cloud - pro und contra

Die Zukunft der Security-Services

14.02.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Die gängigsten Security-Services

Nicht jede Security-Lösung ergibt als Service einen Sinn. Anwender sollten sich ihren Bedarf genau anschauen, bevor sie den Verlockungen der Hersteller erliegen. Werden Cloud-Services bezogen, ist die Verschlüsselung aller ausgetauschten (Meta-)Daten und auch der Übertragungswege unbedingt zu empfehlen. Es ist besonders darauf zu achten, dass die Schlüssel zu jeder Zeit beim Anwender verbleiben und getrennt von den an den Cloud-Provider weitergegebenen Informationen gespeichert sind. Wir führen im Folgenden die Bereiche auf, in denen es aktuell die meisten (Cloud-)Security-Service-Angebote gibt.

  • Authentifizierung / Single-Sign-on: Um mit möglichst nur einem Login Zugriff auf verschiedene Dienste erhalten zu können, meldet sich der Client bei einem zentralen Service an (Authentisierung). Dieser prüft die Login-Daten und schaltet den Zugang bei entsprechender Berechtigung frei (Authentifizierung). Die Anmeldung gilt solange, wie der Anwender vom gleichen Client respektive der gleichen Sitzung aus arbeitet. Ist besonders für verteilte Netze mit vielen Mobilgeräten empfehlenswert.

  • Web-Gateway / Web-Proxy: Datenverkehr ins und aus dem Internet wird über ein Gateway umgeleitet. Hier wird er anhand von Black-/Whitelisting und/oder Paketinspektion analysiert, bevor er den Nutzer bzw. den Zielserver erreicht. So lassen sich beispielsweise bestimmte Webangebote/Social Networks für bestimmte Nutzerkreise sperren. Aber auch das Eindringen von Schadcode in das Unternehmensnetz wird so verhindert.

  • Mail-Filter / Spam-Filter: Gleiche Funktionsweise wie beim Web-Gateway, nur für E-Mails.

  • DDoS Mitigation: Eingehender Datenverkehr wird durch Hochleistungs-Netze umgeleitet (wichtigster Unterschied zum Web-Gateway) und gefiltert, damit nur "sauberer" Traffic sein Ziel erreicht. Breitbandattacken / DDoS-Angriffe lassen sich so verhindern. Empfehlenswert für solche Unternehmen, deren Geschäftsmodell maßgeblich auf der Verfügbarkeit von Web-Services beruht. Ist aber auch nicht ganz billig.

  • Anti-Virus: Der signatur- und verhaltensbasierte Scan von Dateien auf einzelnen Clients findet außerhalb des stationären Unternehmensnetzes statt. Vorteil: Die Signaturdatenbanken sind immer auf dem neuesten Stand. Nachteil: Hilft nur Unternehmen, die ihre komplette Desktop-Umgebung virtualisiert und/oder in der Cloud betreiben, weiter. Ergibt sonst nur im E-Mail-Umfeld Sinn.

  • Intrusion Detection / Intrusion Prevention: Funktionieren ähnlich wie Anti-Virus, aber client-übergreifend. Die Traffic-Analyse erfolgt vor Eintritt in das Unternehmensnetz. Detection-Systeme überwachen den Datenverkehr passiv und melden Annomalien. Prevention-Systeme filtern aktiv. Beides wird häufig zusammen und als Ergänzung von (Web-Application-)Firewall-Lösungen angeboten. Nachteil: Lässt sich durch DDoS-Attacken aushebeln.

  • Network Access Control / Network Admission Control: Unterstützt die genannten Analysewerkzeuge. Neue Endgeräte im Unternehmensnetz werden auf Patch-Level und Nutzerberechtigungen geprüft und gegebenenfalls auf den Stand gebracht. Erst danach dürfen sie auf das Netz zugreifen. Ist als Service nur in virtualisierten Umgebungen zu empfehlen.

  • Virtual Private Network: Über eine Netzwerkschnittstelle werden verschiedene Netze miteinander verknüpft, ohne dass diese zueinander kompatibel sein müssen. Ein externer Client bekommt beispielsweise direkten Zugriff auf das interne Netz eines Unternehmens oder nur auf Teile dieses Netzes (SSL-VPN). Auch Web-Anwendungen, die nur einem bestimmten Nutzerkreis zur Verfügung stehen sollen, lassen sich darüber absichern.

  • Daten-Monitoring / -Analyse: Diese recht neuen Services überwachen große Mengen (unstrukturierter) Daten und bewerten sie ihrer Kritikalität nach. Spielt besonders im Risiko-Management eine Rolle.

  • Backup: Datensicherung im Rechenzentrum eines Dienstleisters. Ist aus datenschutzrechtlichen Gründen meist nur für unkritische Informationen realisierbar.