Ein Kampf gegen Windmühlen?

Gut gerüstet mit Verschlüsselungstechnologien und einem zuverlässigen Key-Management werden Cloud-Risiken für Unternehmen beherrschbar.

von Thorsten Krüger

Geringe Kosten, hohe Flexibilität – Cloud-Computing ist längst kein Schlagwort mehr, sondern aus der Unternehmenswelt nicht mehr wegzudenken. Rund ein Drittel aller IT-Manager und Sicherheitsverantwortlichen nutzt IT heute schon ausschließlich aus der Cloud, mehr als zwei Drittel erachten cloudbasierte Services und Plattformen als wichtig für ihr Geschäft. Allerdings stehen viele vor der Herausforderung, in Umgebungen fernab ihres eigenen Rechenzentrums die Kontrolle über Daten zu behalten und alle Richtlinien zu erfüllen. Jeder Zweite hält die gewählte Cloud-Sicherheitsstrategie und die Einhaltung von Datenschutzrichtlinien im eigenen Unternehmen für unzureichend. Vor allem sensible Informationen werden zu sorglos mit Geschäftspartnern, Auftragnehmern oder Händlern geteilt.
Häufig kommen zudem unzureichende Kontroll- und Sicherheitsmaßnahmen zum Einsatz, um sensible Daten in der Wolke zu schützen. Der Fokus wird oft auf Intrusion-Prevention, Firewall, Content-Security oder Access-Point-Security gesetzt, um Infrastrukturen abzusichern. Solche klassischen Sicherheitsmaßnahmen greifen in Cloud-Umgebungen zu kurz.

Obendrein erschwert das Phänomen Schatten-IT die Sicherheitsvorkehrungen. Fast die Hälfte aller Cloud-Services wird nicht von den IT-Verantwortlichen selbst, sondern von anderen Abteilungen betrieben. IT-Sicherheitsexperten sind auch selten in die Entscheidung involviert, welche Cloud-Applikationen oder -Plattformen zum Einsatz kommen. Das Ergebnis: Fast die Hälfte aller Geschäftsdaten in der Cloud steht nicht unter der Kontrolle der IT-Abteilung. Dass vor diesem Hintergrund der Überblick über die eigenen Applikationen, Plattformen oder Infrastruktur-Services verloren geht, ist kaum verwunderlich. Gefährdet sind vor allem vertrauliche und sensible Daten wie Kundeninformationen, E-Mails, Personalakten und Zahlungsinformationen, die häufig in der Cloud gespeichert werden.

Der Versuch, immer neue Sicherheitslücken zu schließen, gleicht einem Kampf gegen Windmühlen, und auch der Ansatz, die Security-Compliance von Cloud-Providern untersuchen zu wollen, entpuppt sich oft als aussichtsloses Unterfangen. Um sensible Informationen effektiv zu schützen, müssen die Unternehmen die Kontrolle über ihre Daten behalten. Im Zentrum der Sicherheitsbemühungen sollte ein datenzentrierter Ansatz stehen, mit dem sich sowohl Kunden- als auch Geschäftsdaten über alle täglich verwendeten Cloud-Services hinweg schützen lassen. Technologien wie Authentifizierung in Verbindung mit Verschlüsselung, Tokenization und anderen kryptografischen Lösungen kommen dafür in Frage. Dreh- und Angelpunkt muss hierbei sein, dass Unternehmen ihre kryptografischen Schlüssel nicht aus der Hand geben.

Der Schlüssel zu mehr Sicherheit

Das Identitätsmanagement in der Cloud empfinden viele als schwieriger als in On-Premise-Umgebungen. Die meisten Unternehmen setzen noch immer auf Passwörter und Nutzernamen, um Identitäten zu verifizieren und Nutzerzugänge zu schützen. Die Erkenntnis, dass das für ein hohes Sicherheitsniveau nicht ausreichend ist, setzt sich jedoch immer mehr durch.
Erst eine Multifaktor-Authentifizierung sorgt dafür, dass sich Cloud-Zugänge von Mitarbeitern und Dritten zuverlässig überwachen lassen. Dabei werden mindestens zwei voneinander unabhängige Faktoren für die Authentifizierung von Kunden genutzt. Konkret können dies Dinge sein, die der Kunde weiß (Passwort, Sicherheitsfrage), die er besitzt (Mobiltelefon, Token) oder etwas, das ihn persönlich auszeichnet (Fingerabdruck, biometrische Gesichtserkennung).

Kernaussagen

  • Jeder zweite IT-Manager hält die Cloud-Sicherheitsstrategie im eigenen Unternehmen für unzureichend.
  • Klassische Sicherheitsmaßnahmen greifen in Cloud-Umgebungen nicht.
  • Fast die Hälfte aller Geschäftsdaten in der Cloud wird nicht von der IT-Abteilung kontrolliert.
    Durch Technologien wie Verschlüsselung, Tokenization und andere kryptografische Lösungen behalten Unternehmen die Kontrolle über ihre Daten in der Cloud
  • Mit Multifaktor-Authentifizierung lassen sich die Cloud-Zugänge von Mitarbeitern und Dritten zuverlässiger überwachen als mit Passwörtern.
  • Verschlüsselung gewährleistet „Vertraulichkeit, Integrität und Verfügbarkeit“, sowohl bei mobilen Geräten als auch in der Cloud.

Bis dato verschlüsselt nur rund ein Drittel der Unternehmen sensible oder vertrauliche Daten direkt in der cloudbasierten Applikation. Sauber und ohne Hintertüren implementiert trägt Verschlüsselung dazu bei, die drei Sicherheitsziele „Vertraulichkeit, Integrität und Verfügbarkeit“ zu erfüllen. Dabei kann die Technologie zwar nicht alle Aufgaben der Zugangs-, Zugriffs- und Weitergabekontrolle übernehmen, doch ohne sie sind diese Kontrollmaßnahmen kaum möglich.

Bei mobilen Endgeräten ist die Verschlüsselung nicht weniger wichtig als in der Cloud. Vor allem bei Smartphones und Tablets besteht ein hohes Verlust- und Diebstahlrisiko. Fehlt die mobile Datenverschlüsselung, können Gerätediebe und unehrliche Finder auf die vertraulichen Daten zugreifen.
Die deutschen Aufsichtsbehörden für den Datenschutz betonen: Verschlüsselung in der Cloud sollte so organisiert werden, dass die Schlüssel in der Hoheit der Nutzer verbleiben. Unternehmen sind deshalb einerseits in der Pflicht, nach Verschlüsselungslösungen Ausschau zu halten, die hinsichtlich Stärke und Algorithmus dem Stand der Technik entsprechen. Andererseits gilt es, ein zuverlässiges Key-Management zu etablieren. Das Thema Sicherheit in der Cloud wird für Unternehmen damit beherrschbar und diese können somit auch den Vorgaben bei Compliance und Governance gerecht werden. Sensible Daten sind überall und zu jederzeit geschützt.

 

 

Beitrag wurde veröffentlicht im Dez. 2016 im Handbuch Digitalisierung

Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/


Informationen zu Thorsten Krüger