Sicherheit in der Cloud
Sicherheit ohne feste Burg
Je diverser Cloud-Umgebungen sind, desto komplexer wird auch deren Absicherung. Die Entwicklung entsprechender Sicherheitskonzepte überfordert deshalb viele Organisationen. Ein Gartner-Leitfaden gibt einen Überblick über die Möglichkeiten zur Absicherung der IT-Umgebung.
Der Beitrag liefert unter anderem Antworten auf folgende Fragen:
- Was sind die Haupterkenntnisse des Gartner-Leitfadens?
- Welche Bedeutung kommt Cloud Access Security Brokers (CASBs) zu?
- Wie können Unternehmen den Schaden durch Hackerangriffe eindämmen?
- Welche Vorteile bietet ein Gateway im Vergleich zur Datenverschlüsselung?
- Wie lassen sich Verschlüsselung und Indexierung an die jeweilige Anwendung anpassen?
Cloud-Computing ist der heilige Gral der Digitalen Transformation in Wirtschaft und Behörden. Weil die meisten Organisationen sich vielfältig im reichhaltigen Angebot der zahlreichen Cloud-Anbieter bedienen, nutzen sie beinahe zwangsläufig Multi-Cloud-Umgebungen. Je diverser diese Umgebungen sind, desto komplexer wird auch deren Absicherung. Die Entwicklung entsprechender Sicherheitskonzepte überfordert deshalb viele Organisationen und ruft Beratungsunternehmen wie Gartner auf den Plan, die sie mit Dienstleistungen und Leitfäden versorgen. Nutzern einer Multi-Cloud-Umgebung bietet beispielsweise der „Guide to Cloud Security Concepts“ von Gartner1 aus dem September 2021 einen guten Überblick der Möglichkeiten zur Absicherung ihrer IT-Umgebung.
Cloud-Kaleidoskop
Der Gartner-Leitfaden bietet ein Kaleidoskop an Lösungen, Produkten und entsprechenden Akronymen (das Glossar umfasst drei Seiten), die er gemäß gängiger Einsatzszenarien zu Architekturen kombiniert, die ihrerseits wieder mit beeindruckenden Akronymen bezeichnet werden:
- Cloud-Native Application Platform Protection (CNAPP) etwa,
- Secure Access Service Edge (SASE) oder
- Sherwood Applied Business Security Architecture (SABSA).
Eine zentrale Erkenntnis des Leitfadens und ein wesentlicher Anlass für die Entwicklung der verschiedenen Architekturen ist die Erkenntnis, dass das Angebot der Cloud-Anbieter an Security-Tools zwar immer umfangreicher und besser wird, aber für einen bestmöglichen Schutz der Infrastrukturen und Daten nicht ausreicht. Letztlich, so Gartner, ist der Einsatz von Security-Tools Dritter erforderlich.
Eine besondere Rolle kommt hierbei Cloud Access Security Brokers (CASBs) zu. Diese Lösungen sollen sensible Daten in Cloud-Anwendungen wie Microsoft 365, Google Workspace, Salesforce, Dropbox und Box identifizieren sowie schützen. Ein CASB überwacht den Datenverkehr zwischen Anwendern und Cloud-Diensten, setzt entsprechende Richtlinien um und kann Benutzeraktivitäten überwachen, Administratoren vor potenziell gefährlichen Aktionen warnen, die Einhaltung von Sicherheitsrichtlinien durchsetzen und Malware automatisch erkennen sowie abwehren.
Ein großes Manko
All diesen Architekturen und Lösungen ist allerdings ein Manko gemein: Sie sind fallibel und bieten keine vollkommene Sicherheit. Lücken in der stets komplexeren Sicherheitsarchitektur, menschliches Versagen und nicht zuletzt der Erfindungsreichtum in Verbindung mit der kriminellen Energie von Hackern machen eine vollständige Absicherung gegen Datenverlust, Ransomware-Attacken etc. unmöglich. Wenn selbst ein High-Tech-Unternehmen wie Kaseya Opfer eines Hackerangriffs werden kann, darf sich keine Organisation sicher fühlen.
Lässt sich das Gelingen von Cyberangriffen auch nicht komplett verhindern, so können Organisationen den Schaden jedoch stark eingrenzen, indem sie sensible Daten verschlüsseln. Zwar sind auch verschlüsselte Daten vor Diebstahl oder Verlust nicht gefeit, für Cyberkriminelle jedoch (kommerziell) vollkommen nutzlos. Letztlich ist Datenverschlüsselung auch die beste Weise, DSGVO-Konformität zu erreichen, weil es sich um die sicherste von der DSGVO geforderte technische Methode handelt, sensible Daten vor Missbrauch zu schützen.
Datenschutz in eigener Hand
Wie der Gartner-Leitfaden andeutet, sollte die Verschlüsselung der Daten nicht dem jeweiligen Cloud-Anbieter überlassen werden. Das gilt schon deshalb, weil der Cloud-Anbieter die Daten zunächst im Klartext empfangen muss, bevor er sie verschlüsseln kann. Bei nicht-europäischen Cloud-Anbietern führt dies direkt zu einer DSGVO-Verletzung. Die beste Möglichkeit, die Datensicherheit DSGVO-konform in die eigenen Hände zu nehmen, besteht im Einsatz eines Kryptografie-Gateways, das die Daten verschlüsselt, bevor sie on-premise gespeichert oder in die Cloud übertragen werden. Der Vorteil der Datenverschlüsselung innerhalb eines Gateways liegt per se in der Tatsache, dass ein Unternehmen die komplette Hoheit über seine Daten im Klartext behält. Externe oder die Endanwendung können die Daten nicht entziffern. Das Unternehmen behält jederzeit die Kontrolle über die Verschlüsselungsmethode und die verwendeten Schlüssel. Dadurch behält es auch die vollständige Datenautonomie und gewährleistet die Einhaltung der DSGVO.
Tor zur Sicherheit
Mit einem Gateway lassen sich auch Nachteile vermeiden, die eine herkömmliche Datenverschlüsselung mit sich bringt: Verschlüsselte Daten sind nicht entzifferbar, auch nicht für die Anwendung, in der diese erstellt wurden. Eine Suche in verschlüsselten Daten bildet darum beispielsweise eine technische Herausforderung. Ein Gateway kann durch die interne Indexierung der Datenfelder diese Herausforderung überwinden. Es indiziert die Datenfelder bei der Verschlüsselung und legt die entsprechenden Indizes in einer separaten, dedizierten Datenbank ab. Sucht ein Anwender nach einer bestimmten verschlüsselten Information, wird die Anfrage nicht direkt an die Anwendung in der Cloud gesendet, sondern an das Gateway. Das Gateway findet in der Datenbank die Indizes, die der Suchanfrage entsprechen, und sendet eine entsprechend modifizierte Suchanafrage an die Anwendung. Die Anwendung sendet die betroffenen Datensätze zurück an das Gateway, das diese entschlüsselt und dem Anwender zur Verfügung stellt. Bei entsprechender technischer Umsetzung nimmt der Prozess selbst bei der Indexierung hunderttausender Datensätze nicht mehr als wenige Millisekunden in Anspruch.
| Die Erkenntnis, dass es keine absolute Sicherheit gegen Cyberangriffe und andere Formen von Datenverlust geben kann, sollte die Grundlage jeder IT-Sicherheitsstrategie bilden. Wenn eine Organisation also schon keine feste, uneinnehmbare Burg um seine wertvollsten Schätze, seine Daten, errichten kann, so kann es die Schätze jedoch für Dritte unattraktiv und wertlos machen. Darum sollte die Verschlüsselung sensibler Daten, bevor diese firmenintern gespeichert oder in die Cloud übertragen werden, zum Sicherheitsstandard gehören. |
|---|
Auf den Index
Weil dieselbe Art Daten (Name, Adresse etc.) je nach Anwendung, an verschiedenen Stellen im Datenstrom zu finden ist, müssen die Verschlüsselung und Indexierung an die jeweilige Anwendung angepasst werden. Das geschieht am besten durch Templates. Je ein Template ist dabei an eine spezifische Anwendung wie beispielsweise Salesforce oder Office 365 gekoppelt. In dem Template kann ein Unternehmen dann auf einfache Weise definieren, welche Art von Daten es als sensibel erachtet und darum verschlüsseln will. Das Template generiert eine Beschreibung, die festlegt, wo im Datenstrom der jeweiligen Anwendung das Kryptografie-Gateway die zu verschlüsselnden Daten finden kann. Für viele gängige Anwendungen sind vorgefertigte Templates vorhanden, und es ist kein Hexenwerk, ein neues Template auch für Eigenentwicklungen von Unternehmen oder Behörden zu erstellen.
1 https://www.gartner.com/en/documents/4005998
Das könnte Sie auch interessieren
Sophos stellt Cloud Native Security vor
Vollständiger Server-Schutz
Fortinet präsentiert FortiCNP
Cloud-Risiko-Management unterstützen
Sicherheitsstrategie
Fünf Risiken bei „Cloud native“
IBM Transformation Index: State of Cloud
Compliance-Anforderungen als Hürde
Verwandte Artikel
Gartner Inc.
Öffentlicher Sektor
Im Schnitt 22 Monate für Beschaffungsprozess
Infrastruktur und Betrieb
IT-Wegweiser für ESG
