Datenzentrische Sicherheit
"Nicht mehr die IT-Systeme, die Daten stehen im Fokus"
Gut ein Drittel der kleinen und mittelständischen Unternehmen zögert, Cloud-Dienste zu nutzen. Vor allem Sicherheitsbedenken hemmen sie, auf öffentliche Cloud-Angebote zu setzen. Im Interview beschreibt Bruno Quint, mit welcher Strategie Public Clouds sicher genutzt werden können.
funkschau: Herr Quint, sind die Sorgen der Unternehmen unbegründet?
Bruno Quint: Keineswegs. Wenn Unternehmen eine Public Cloud nutzen, legen sie ihre sensiblen Daten in fremde Hände. Das technische Know-how, das ihre Wettbewerbsfähigkeit sichert, gerät auf diese Weise in Gefahr. Zudem haben viele Unternehmen Bedenken, dass rechtliche Vorgaben gegen eine Cloud-Nutzung sprechen. Und das mit Recht: Aufgrund der EU-DSGVO unterliegen sicherheitsrelevante und personenbezogene Daten seit Mai 2018 strengeren Datenschutzvorgaben. Bei Verstößen gegen das Gesetz oder im Falle eines Datenverlustes drohen Unternehmen empfindliche Strafen.
funkschau: Können Unternehmen denn tatsächlich einfach auf die Nutzung von Online-Datenspeicher verzichten?
Quint: Auf lange Sicht kann sich kaum ein Unternehmen der Nutzung von Cloud-Diensten entziehen. Im Zeitalter von Big Data müssen Unternehmen große Datenmengen speichern, verarbeiten und global zur Verfügung stellen. Die Nutzung von Cloud-Diensten wie zum Beispiel Dropbox, iCloud oder Google Drive ist damit nicht mehr nur eine hilfreiche Ergänzung, sondern unverzichtbar. Außerdem sind Cloud-Technologien die Basis für viele Innovationen – sie ermöglichen den digitalen Fortschritt von Unternehmen.
funkschau: Vor diesem Hintergrund: Wie real ist denn die Gefahr von Datendiebstahl aus der Cloud?
Quint: Sehr real. Doch wenn die Unternehmen geeignete Sicherheitsmaßnahmen ergreifen, sind sensible Daten in der Public Cloud genauso gut geschützt wie in internen IT-Systemen. Allerdings können herkömmliche Sicherheitssysteme das nicht leisten, weil diese lediglich zwischen öffentlichen Netzwerken und Unternehmensnetzwerken unterscheiden. Diese sogenannte Perimetersicherheit reicht für die Nutzung von Clouds schon lange nicht mehr aus.
funkschau: Warum nicht?
Quint: Unternehmen haben in den vergangenen Jahren Schutzwälle und Sicherheitsschleusen um die eigene Infrastruktur und IT-Systeme gezogen. Doch durch die Cloud verlagert sich die Verarbeitung und Speicherung der Daten auf externe Systeme. Wenn die Daten dort ungeschützt und unverschlüsselt abliegen, können nicht nur Benutzer und Administratoren darauf zugreifen, sondern auch der Cloud-Provider oder eben Cyberkriminelle. Stellen Sie sich die Cloud als eine Burg mit hohen Mauern und dicken Toren vor. Diese Burg hat im Inneren keine Türen und Schlösser, weil Sie sich ganz darauf verlassen, dass niemand diese dicken Mauern überwinden kann. Sobald aber ein unerwünschter Eindringling die Mauern bezwingt, kann er sich drinnen einfach am vorhandenen Hab und Gut bedienen. Genauso verhält es sich mit der Perimetersicherheit.
funkschau: Dafür muss ein Hacker aber doch erst einmal einen Weg ins Innere finden?
Quint: Selbst Hochsicherheitsnetze sind nicht unüberwindbar. Trotz gut gesicherter Netzwerke und IT-Systeme können Hacker dort eindringen und sensible Informationen entwenden. Bereits kleinste Schwächen im System oder Fehlverhalten von Nutzern reichen Hackern aus, um selbst in scheinbar hochsichere Systeme einzubrechen.
funkschau: Wie können es Unternehmen besser machen?
Quint: Die Lösung liegt in dem progressiven Ansatz der „datenzentrischen Sicherheit“. Dabei stehen nicht mehr die IT-Systeme, sondern die Daten selbst im Fokus. In diese wird die Sicherheit direkt eingeschrieben, anstatt sie an ein äußeres Tor zu übertragen. Dadurch spielt es keine Rolle mehr, ob die Daten in einem Unternehmensnetzwerk oder in einer Cloud abliegen.
funkschau: Wie funktioniert dieses Konzept der datenzentrischen Sicherheit in der Praxis?
Quint: Die datenzentrische Sicherheit wird mit Hilfe einer Kombination aus Identity und Access Management, Virtualisierung, Verschlüsselung und Fragmentierung der Dateien umgesetzt. Das heißt, beim Upload eines Dokuments in die Cloud wird eine virtualisierte Version des Originaldokumentes erstellt. Dieses virtuelle Dokument enthält nur die Meta-Informationen des Originals, wie beispielsweise Key-Wörter, hat selbst aber keinen Inhalt. Das Originaldokument wird zugleich verschlüsselt und fragmentiert auf unterschiedlichen, frei wählbaren Speichersystemen abgelegt. Dadurch ist das Originaldokument nie vollständig einsehbar und nur in Form von Fragmenten hinterlegt – für Hacker also nutzlos. Damit sind die vertraulichen Daten auch dann unlesbar und sicher, wenn sie einmal in die falschen Hände fallen sollten. Mit einer solchen datenzentrischen Lösung können Public Clouds sicher genutzt werden, ohne dass Unternehmen den Verlust ihrer Daten befürchten müssen.
funkschau: Wie kommen Mitarbeiter an den Inhalt des Dokuments heran?
Quint: Autorisierte Mitarbeiter können zu jeder Zeit und von verschiedenen Standorten aus das Dokument öffnen und gemeinsam daran arbeiten – trotz Verschlüsselung und Fragmentierung. Dies wird über ein Anmeldesystem sichergestellt. Dieses regelt über verschiedene Sicherheitsabfragen den Zugriff auf die Cloud und überprüft den Benutzer. Nur Mitarbeiter mit autorisierten Zugriffsrechten können das Dokument herunterladen. Erst beim Download setzt sich das Dokument aus seinen Einzelteilen wieder zusammen und wird entschlüsselt. Diese physikalische Fragmentierung schützt die Daten besonders stark vor Angriffen und fremden Zugriffen. Außerdem verlassen die Daten Deutschland nicht und ihre Speicherung entspricht den strengen Datenschutz- und Sicherheitsvorgaben der EU-DSGVO.
funkschau: Inwieweit stört das Verfahren den gewohnten Arbeitsablauf?
Quint: Arbeitsweise und -ablauf werden durch datenzentrische Sicherheit nicht beeinträchtigt. Unsere Security-Software zur Verschlüsselung von Dateien, die Produktfamilie „R&S Trusted Gate“, läuft beispielsweise transparent in bestehenden Anwendungen, sodass die Arbeitsabläufe unverändert bleiben. Sogar eine sichere Volltextsuche ist in verschlüsselten Dokumenten möglich. Außerdem lässt sich R&S Trusted Gate ohne Probleme in bereits bestehende Public Clouds, wie Microsoft Azure, Google oder AWS, einbinden. Das gilt auch für Collaboration-Tools wie Microsoft Office 365 oder SharePoint. Die Mitarbeiter können dadurch ihre Anwendungen wie gewohnt ohne Einschränkungen nutzen.
funkschau: Ist dann eine Sicherheitslösung auf Basis von Perimeter-
sicherheit überhaupt noch nötig?
Quint: Ja, die datenzentrische Sicherheit löst die Perimetersicherheit keineswegs ab. Diese ist weiterhin ein wichtiger Schutzwall vor Angriffen von außen. Den bestmöglichen Schutz für ihre Daten erreichen Unternehmen aber nur durch die Verbindung von beiden Absicherungsstrategien. Nur dann können sie die Chancen der Digitalisierung voll ausschöpfen, ohne ihre Daten zu gefährden.
Lesen Sie mehr zum Thema
