Cloud-Security-Strategie
Die Cloud sicher nutzen
Eine Studie nach der anderen beschäftigt sich mit der Cloud-Nutzung in Unternehmen. Laut Bitkom haben schon mehr als 65 Prozent der deutschen Unternehmen Cloud-Services im Einsatz. Tendenz steigend. Die Bereitstellung von Software via Cloud bringt schließlich viele Vorteile mit sich. Allerdings macht es einen Unterschied, ob Unternehmen nur gelegentlich Anwendungen per Cloud beziehen oder nahezu ihre ganzen Prozesse darüber gestalten. Auch in letzterem Fall ergeben sich viele Vorteile, jedoch in Hinsicht auf die Sicherheit einige Hürden.
Besonders die Public Cloud bietet auf den ersten Blick eine Reihe nützlicher Funktionen. Über sie lassen sich Informationen problemlos teilen, gemeinsames Arbeiten ist extrem erleichtert. Zudem skaliert die Public Cloud enorm, was wiederum für saisonale Spitzenlastzeiten ein Segen sein kann. Daher kommt diese Form der Cloud mit Vorliebe für Web-Shops, Marketing-Websites, als Entwicklungsressource für rechenintensive Anwendungen, Testumgebung oder Implementierungen von Prototypen sowie für kurzfristige Kampagnen zum Einsatz. Die geringen Kosten, maximale Verfügbarkeit für hohen punktuellen Ressourcenbedarf und schnelle Bereitstellung sprechen für sich.
Die meisten Unternehmen evaluieren zudem die Hybrid Cloud. Unternehmensinterna bleiben dann innerhalb der Private Cloud mit entsprechenden Zugangsberechtigungen. Die Multi-Cloud führt dieses Prinzip noch weiter. Verschiedene Cloud-Dienste und -Plattformen von unterschiedlichen Anbietern vereinen sich dort unter einem Dach und präsentieren sich dem Anwender auf einer einheitlichen Oberfläche. Unternehmen können nun auswählen, welche Anbieter für welche Aufgaben die besten Tools bereitstellen, und diese in ihren Cloud-Mix einbauen. Was für den Anwender angenehm und effizient ist, kann für IT-Verantwortliche allerdings zum Alptraum werden. Je mehr Systeme sich in der Multi-Cloud tummeln, desto komplexer wird das Management - besonders wenn hohe Sicherheitsvorkehrungen gewährleistet sein müssen.
Die Verschlüsselung sensibler Daten ist dabei innerhalb der Cloud einer der gängigsten Ansätze. Neben der einfachen Verschlüsselung ist auch die Pseudonymisierung von Daten durch Token (Platzhalter) ein geeigneter Weg: Der zu schützende Datensatz wird durch einen zufällig generierten Token ausgetauscht und lässt keinen Rückschluss auf den Inhalt zu. Nur zugriffsberechtigte Personen können die Pseudonymisierung wieder aufheben. Die genutzten Cloud-Anbieter sollten in dem Fall natürlich über keinen Generalschlüssel verfügen, mit dem sie personenbezogene und geschäftskritische Daten wieder in Klartext verwandeln können. Nur befugte Mitarbeiter dürfen diese Berechtigung erhalten. Latenzen und Performance-Verluste lassen sich minimieren, indem man nicht alle in der Cloud gespeicherten Daten verschlüsselt oder pseudonymisiert, sondern nur die mit besonderem Schutzbedarf, beispielsweise Personaldaten.
Eine Zwei-Faktor-Authentifizierung (2FA) und der Zugang über VPN ist für viele IT-Verantwortliche bereits ein alter Hut. Besonders in einer Multi-Cloud-Umgebung wird das Thema aber wieder interessant, wenn es gilt, Sicherheitsmechanismen für eine heterogene sowie teils mobile Anwenderschaft zu etablieren. Dafür ist zunächst ein zentraler Identity-Provider aufzubauen, der idealerweise über viele Standardschnittstellen wie LDAP, OpenID, SAML oder AD verfügt. Alle Anwendungen sind so anzupassen, dass sie mit dem Identity-Provider kommunizieren können.
Der Login-Workflow kann individuell gestaltet sein, um einen zweiten Faktor wie einen SMS-Token abzufragen. Die Nutzung von Identity as a Service kann vorteilhaft sein und bildet das Bindeglied zwischen Anwendungen in der Public Cloud, Private Cloud und lokal installierten Lösungen. Im Vergleich zu rein lokalen Identity- und Access-Management ist Identity as a Service meist wesentlich kostengünstiger und lässt sich leichter in Cloud-Services integrieren, da diese Angebote für die Nutzung mit anderen Cloud-Diensten ausgelegt sind.
Kommt Identity as a Service als systemübergreifendes Single-Sign-on-System zum Einsatz, können sich zugriffberechtigte Mitarbeiter authentifizieren lassen und erhalten somit über Netzwerkgrenzen hinweg Zugriff auf alle benötigten und angeschlossenen Applikationen. Dafür lässt sich SAML als Protokoll besonders gut einsetzen.
Um den Zugriff mobiler Endgeräte auf die Cloud-Dienste möglichst sicher zu gestalten, haben sich VPN-Tunnel als effektiv und leicht zu implementieren erwiesen. Bei der Nutzung eines Verschlüsselungs-Gateways sollten alle Anfragen über die zentrale IT laufen, sofern man nicht bewusst einen anderen Ansatz gewählt hat. Dafür sind der IT-Abteilung im Idealfall alle Geräte bekannt und dort mit den jeweiligen IDs für den Zugriff hinterlegt. Der Zugriff sollte dann am besten nur über gemanagte und bekannte Geräte erfolgen und ansonsten vollständig unterbunden sein.
Allerdings sind diese Sicherheitsvorkehrungen nur der erste Schritt hin zu einer hochsicheren Cloud-Umgebung. Das größte Risiko bleiben mitunter noch immer die eigenen Mitarbeiter und deren Nutzungsgewohnheiten. Daher ist es besonders wichtig, dass IT-Verantwortliche sich dieser Aufgabe annehmen und die Kollegen aus den Fachabteilungen sensibilisieren und schulen. Alle Mitarbeiter müssen mit den Risiken vertraut gemacht werden und verstehen, wieso und in welcher Form gewisse Sicherheitsvorkehrungen einzuhalten sind. Dies ist wichtig, da Mitarbeiter gerne aus Gewohnheit, beispielsweise durch Nutzung in ihrem privaten Umfeld, Vorlieben für bestimmte Cloud-Dienste entwickeln. Ohne es mit der IT-Abteilung abzuklären, nutzen sie dann auch im geschäftlichen Kontext nicht freigegebene Cloud-Lösungen etwa zum Austausch von Daten. Der Entstehung einer solchen Schatten-IT können Schulungen der Mitarbeiter entgegenwirken.
Um bestehende versteckte Dienste mit teils unbekannter Nutzung aufzuspüren, hilft die Visualisierung durch einen Cloud Discovery Scan. Anschließend kann die IT-Organisation unerwünschte Dienste sperren und neue für den sicheren Datenaustausch etablieren. Auch hier gilt: Alle Schritte und deren Gründe sollte man an die Mitarbeiter kommunizieren, um künftig eine erneute, unbedachte Implementierung von Risikodiensten zu vermeiden.
Ist dies geschehen, wird das Verständnis für den nächsten Schritt auch wesentlich höher ausfallen: die End-to-End-Maßnahmen. Es ist wichtig, dass eine schützenswerte Datei möglichst an keiner Stelle technischen Risiken ausgesetzt ist. Dies bedeutet beispielsweise, dass sich eine Datei, nachdem ein Mitarbeiter sie für die Bearbeitung entschlüsselt hat, nach dem Schließen wieder automatisch verschlüsselt.
Was viele IT-Verantwortliche in Unternehmen besonders nervös macht, ist die fehlende Transparenz einiger Cloud-Provider und -Dienste. Hier stellen sich einige Fragen: Wie operiert der Anbieter? Wer hat Zugriff auf die Infrastruktur und eventuell auf die eigenen Services in der Cloud? Wo speichert der Provider Backups - innerhalb oder außerhalb der EU? Speichert er Backups verschlüsselt? Gerade bei einer bestehenden Infrastruktur ist es zwar mit einem initial recht hohen Aufwand verbunden, doch IT-Verantwortliche müssen alle Dienste mit gesetzlichen oder regulatorischen Anforderungen wie dem Daten- oder Geheimschutz abgleichen. Auch hier sorgt Verschlüsselungstechnik im Notfall dafür, dass die Daten bei Diebstahl oder unautorisierter Einsicht nicht nutzbar sind.
Da die Speicherung in der Cloud immer auch ein Outsourcing und damit das Verlassen des unternehmenseigenen Hoheitsgebiets bedeutet, müssen Unternehmen letzten Endes eine ganzheitliche Cloud-Security-Strategie verfolgen. Das gilt insbesondere auch in Bezug auf die EU-Datenschutzgrundverordnung (EU-DSGVO). Für personenbezogene Daten muss eine umfangreiche Datenschutzanalyse sowie eine Folgenabschätzung stattfinden, um daraus abgeleitet ein Datenschutz-Management-System zu etablieren.
Sind die Daten verschlüsselt, die Mitarbeiter sensibilisiert und alle Geräte im Vorfeld authentifiziert, ist dies natürlich immer noch kein Garant für ein vollkommen sicheres System. Dennoch lassen sich auf diese Weise viele Einfallstore verschließen und die Vorteile der Cloud für effiziente Geschäftsprozesse nutzen.
Lesen Sie mehr zum Thema
