Datenübermittlung absichern
Das klassische Modell "Innerhalb/außerhalb der Firewall" greift in Cloud-Computing-Umgebungen nicht mehr, weil die Grenzen zwischen firmeninternen IT-Ressourcen und denen des Cloud-Service-Providers fließend sind. Als zentrale Sicherheitseinrichtung an den Eingangs- und Ausgangpunkten einer Cloud-Umgebung dienen Security-Gateways. Sie haben unter anderem folgende Aufgaben:
-
die Absicherung des Transports von Daten inklusive Verschlüsselung, Protokoll-Bridging und Authentifizierung bei Zugriff auf Daten und Anwendungen,
-
Schutz vor Bedrohungen wie XML-Denial-of-Service-Angriffen (XDoS), Viren und dem unerlaubten Transfer von Daten (Data Leakage),
-
Logging und Monitoring von Benutzeraktivitäten, auch denen von Systemverwaltern,
-
Absicherung des Informationsflusses zwischen dem Cloud-Service-Provider und den Anwendern. Das schließt die Verschlüsselung dieser Transfers mit ein. Dies kann etwa mit Hilfe von XML-Encryption erfolgen.
Der gesamte Datenverkehr zwischen dem Anbieter und dem Nutzer von Cloud-Diensten muss über gesicherte Kanäle laufen. Neben Verschlüsselungstechniken sollten digitale Signaturen eingesetzt werden, außerdem Lösungen für die Zugangskontrolle zu Systemen und Anwendungen (Access Control).
Für IT-Verantwortliche bedeutet es einen Mehraufwand, die Sicherheit des Datentransports zum und vom Cloud-Service-Provider zu gewährleisten - ein Punkt, den viele Anbieter von Cloud-Diensten nicht ansprechen. Um potenziellen Bedrohungen auf der Applikationsebene vorzubeugen, muss der Anwender beispielsweise über detaillierte Kenntnisse der APIs (Application Programming Interfaces) und der Sicherheitsfunktionen der Anwendungen verfügen, die über eine Cloud genutzt werden. Viele Cloud-Service-Provider bieten vorgefertigte "Connectors", über die Applikationen an eine Cloud-Umgebung angeflanscht werden. Das Problem: Wie es um die Qualität dieser Konnektoren bestellt ist, bleibt meist unklar.
- So finden Sie den richtigen Cloud-Anbieter
Sicherheit und Kontrolle in der Cloud? Das muss sich nicht widersprechen, wenn der Anwender bei der Auswahl seines Cloud-Anbieters auf einige Kriterien achtet. Fünf Aspekte, die Sie bei der Wahl des Providers berücksichtigen sollten. - 1. Datenspeicherung in der EU
Der Cloud-Anbieter muss preisgeben, an welchen Orten er Daten und Anwendungen speichert und verarbeitet. Es sollten ausschließlich Standorte in der EU, besser noch in Deutschland, akzeptiert werden. Wenn weitere Subunternehmer beteiligt sind, müssen diese benannt werden. - 2. Sicherheitsarchitektur
Der Provider sollte die Konzeption seiner Sicherheitsarchitektur darlegen können. Dies schließt einzelne Systemkomponenten ebenso wie infrastrukturelle und technische Aspekte ein. Insbesondere sollte dabei klar werden, wie bei mandantenfähigen Systemen - so genannten Multi-Tenant-Systemen - eine verlässliche Trennung der Kunden gewährleistet wird. Angaben zur Sicherheitsarchitektur umfassen zum Beispiel Informationen zum Rechenzentrum, zur Netzsicherheit und zur Verschlüsselung. - 3. Rechte-Management
Der Anbieter sollte erklären können, wie er Nutzer sicher identifiziert. Dazu gehört etwa eine Erläuterung seines ID-Managements und wie er damit sicherstellt, dass der "normale" Anwender etwa im Unterschied zum Administrator nur Zugriff auf Daten hat, die für ihn vorgesehen sind. - 4. Datenschutz
Speichert oder verarbeitet der Cloud-Anbieter personenbezogene Angaben, dann ist ein Datenschutz nach deutschem Recht zu gewährleisten. Dar- über hinaus sollte der Anwender prüfen, inwieweit Datenschutzrichtlinien und -gesetze, denen er selber unter- liegt, vom Cloud-Anbieter eingehalten werden können. - 5. Datenimport und -export
Grundsätzlich sollte klargestellt werden, dass die Daten im Besitz des Kunden bleiben. Der Nutzer muss deshalb auch die Möglichkeit haben, seine Daten jederzeit wieder exportieren zu können. Das ist nur möglich, wenn relevante Daten in einem anbieterunabhängigen Format gespeichert oder aber in ein solches umgewandelt werden können.