Sicherheit
Cloud-Dienstleister als hohes Datensicherheitsrisiko
Fortsetzung des Artikels von Teil 4
Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
Mit dem Einbezug externer Clouds wird IAM (Identity- and Access-Management) und Identity-Federation für Unternehmen immer wichtiger. Identity-Federation als Erweiterung des IAM-Systems eröffnet einen sicheren, domänenübergreifenden Datenaustausch und allseits abgeschirmte Anwendungen und Datenbestände. Außerdem ermöglicht Identity-Federation, die sichere Zugriffskontrolle per SSO (Single-Sign-on) auf beliebig große Organisationsverbünde auszudehnen. Natürlich greift über Federation-Protokolle wie SAML (Security-Assertion-Markup-Language) der SSO auch gegenüber Anwendungen und Datenbeständen, die innerhalb externer Clouds angesiedelt sind. Benutzer, die sich innerhalb ihrer Domäne authentisiert und dadurch den SSO ausgelöst haben, müssen sich für den Zugriff auf Anwendungen und Daten anderer Domäne nicht erneut authentisieren. Voraussetzung dafür ist, dass die beteiligten Domänen, beispielsweise die von Cloud-Providern, vorab als Trusted-Domains definiert worden sind.
Neben dem barrierefreien, aber abgesicherten Zugriff auf Anwendungen und Daten anderer Domänen, erschließt die Identitäten-Föderation kombiniert mit dem SSO dem Unternehmen einen weiteren Vorteil: Sie können innerhalb der Gesamtkonstellation die Administration von Benutzern und ihren Zugriffsrechten flexibel delegieren, dadurch ihre eigenen Administrationsaufwendungen herunterfahren. Allerdings setzt die Definition von externen Trusted-Domains sowie die flexible Delegation der Administration von Benutzern und ihren Zugriffsrechten voraus, dass das Unternehmen dem IdP (Identity-Provider) und den Cloud-Providern, die die Anwendungen und Daten vorhalten, vertrauen können muss. So sollte der IdP, der die Authentisierung von Benutzern übernimmt und damit über SAML den SSO und die Zugriffskontrolle einleitet, kein Anbieter sein, der einem Geheimdienst zuarbeiten muss. Das gleiche gilt für den Cloud-Provider: Dort sind die Zugriffsberechtigungen der Benutzer in den Anwendungskonten hinterlegt. Diese Vorsichtsmaßnahmen sollten Unternehmen schon deshalb beherzigen, weil ansonsten auf Verlangen des Geheimdienstes auch die Auditierungsdaten – wer hat wann worauf zugegriffen? –weitergegeben werden. Nur wenn Unternehmen auf Seiten des IdP und des Cloud-Providers vor den Machenschaften von Geheimdiensten gefeit sind, können Unternehmen ihre GRC- (Governance-, Risiko-Management- und Compliance-)Anforderungen nachkommen. Nicht die Cloud-Anbieter, sondern das Unternehmen haftet dafür, dass gesetzliche Vorschriften und Regelungen bei der externen Speicherung und Verarbeitung von Daten nachweislich eingehalten werden.
- Cloud-Dienstleister als hohes Datensicherheitsrisiko
- Nebulöse Wolkengebilde
- Expertenkommentar Materna: Aggressive Industriespionage
- Expertenkommentar Blue Elephant: Unternehmen haften für Governance, Risiko-Management, Compliance
- Expertenkommentar Evidian: Identity-Federation schirmt Daten ab
- Expertenkommentar KPMG: Schützenswerte Daten sollten den EU-Rechtsraum keinesfalls verlassen
Lesen Sie mehr zum Thema
