Suchen

Cloud Computing ohne Kontrollverlust Die enttäuschende Wahrheit über Datenschutz und Sicherheit

Autor / Redakteur: Jeff Denworth * / Elke Witmer-Goßner

Das Gute an der Cloud ist ihre Allgegenwärtigkeit. Der besorgniserregende Nachteil ist jedoch, dass man nie weiß, wo sich die eigenen Daten befinden oder wer darauf zugreifen kann.

Firmen zum Thema

Unternehmen sollten in Lösungen investieren, die die Kontrolle sowohl über die Netzwerk- als auch die Anwendungssicherheit gewährleisten.
Unternehmen sollten in Lösungen investieren, die die Kontrolle sowohl über die Netzwerk- als auch die Anwendungssicherheit gewährleisten.
(Bild: 3dkombinat, Fotolia)

Anbieter von Cloud-Lösungen werben mit höchsten Sicherheitsstandards wie hochmodernen Schutzmaßnahmen für die Hosting-Standorte, elektronischer Überwachung und der Zertifizierung nach ISO 27001, um nur einige Beispiele zu nennen. All das klingt vielleicht sehr beeindruckend, bietet aber Unternehmen, die sich auf ein Sicherheitsmodell verlassen, das sie nicht besitzen, in Wirklichkeit aber keinerlei Schutz. Denn sie haben keine Kontrolle über Datenanforderungen von Behörden, gerichtliche Datenabfragen ohne Information des Eigentümers und heimliche Spionageangriffe.

Es gibt mehrere Beispiele für rechtliche Hindernisse, die Unternehmen überwinden müssen, wenn sie Cloud Computing einführen möchten. Laut dem USA PATRIOT Act, einem US-amerikanischen Gesetz, können die US-amerikanischen Behörden auf die Daten aller amerikanischen Cloud-Unternehmen unabhängig von deren physischem Standort zugreifen – mit Ausnahme der EU, wie der Europäische Gerichtshof erst klar machte. Im Rahmen des PRISM-Programms sammelt die NSA aber noch immer heimlich die Kommunikationsdaten großer amerikanischer Internetunternehmen wie Google und Microsoft. Die Einführung der gefragten Enterprise File Sync und Share (EFSS) Dienste wird zudem von Gesetzen über den Speicherort von Daten und Datenschutzvorschriften erschwert, da diese erfordern, dass die Informationen eines Unternehmens streng kontrolliert werden und bestimmte Ländergrenzen nicht verlassen dürfen.

Verschlüsselungstechnik als Rettungsanker?

Ist die Schlüsselverwaltung durch die Unternehmen die Rettung? Nicht ganz. Viele SaaS-Unternehmen behaupten, dass es nicht so wichtig ist, wo sich der Speicherstandort der Daten befindet, sondern, wo die Verschlüsselungscodes verwaltet werden. Eine Möglichkeit, Datenschutz- und Speicherstandortgesetzte zu erfüllen, ist es, alles vor der Übertragung an eine öffentliche Cloud zu verschlüsseln und die Verschlüsselungscodes im Unternehmen aufzubewahren. Das ist ein vernünftiger Ratschlag. Viele Anbieter öffentlicher Clouds versuchen, diesen Ansatz umzusetzen, indem sie das Enterprise Key Management (EKM, Schlüsselverwaltung im Unternehmen) unterstützen. So versuchen sie, sicherheitsbewusste Unternehmen, die Cloud-Lösungen ablehnen, doch von ihrem Angebot zu überzeugen, indem sie ihnen die Kontrolle über die Verschlüsselung überlassen.

Auf den ersten Blick scheint dies ein guter Ansatz zu sein. Doch leider ist diese Sicherheitslösung weder ausreichend noch umfassend. Da der Großteil der Synchronisations- und Sharing-Funktionen – also alles außer der Speicherung der Verschlüsselungscodes – in der öffentlichen Cloud stattfindet, müssen sich die Unternehmen noch immer darauf verlassen, dass ihre Provider erstens nicht angewiesen wurden, Auditierungsgeräte zu installieren, die ALLE ihre Daten, Metadaten, Verschlüsselungscodes und Benutzeridentitäten abgreifen und aufzeichnen; zweitens keine Benutzerkonten nachbilden, um auf die zugehörigen Daten zuzugreifen; drittens im Namen von Benutzern keine Links zu Daten erstellen oder diese für die Zusammenarbeit teilen sowie viertens die Verschlüsselungscodes für ihre Unternehmensdateien nicht im Cache speichern.

Zudem ist das EKM, ganz gleich ob für die Cloud oder vor Ort, eine „Post-Mortem-Lösung“, die nicht mehr verhindern kann, dass Daten in die falschen Hände geraten. Schließlich kann ein Unternehmen seine kompromittierten Daten vom Beginn einer Sicherheitsverletzung, bis es darüber informiert wird und den Zugriff auf seinen EKM-Server verhindern kann, nicht mehr schützen. Nach solch einer Maßnahme kann zudem kein Unternehmensnutzer mehr auf den Datenserver zugreifen.

Kontrolle beim Nutzer

Datendienste für Unternehmen müssen Kontrollmöglichkeiten bieten, mit denen ihre Kunden aktive Maßnahmen ergreifen und die Standards für eine sichere Datenübertragung erfüllen können, um den Verlust vertraulicher Unternehmensdaten und Datenlecks zu verhindern. Unternehmen sollten daher bei der Auswahl eines Datenservice, der die Gesetze und Vorschriften für den Speicherstandort erfüllen kann, zusätzlich noch darauf achten, ob die Benutzeridentitäten des Unternehmens kompromittiert werden können. Diese werden tagtäglich von Hackern angegriffen und daher gesondert geschützt werden, da ein erfolgreicher Angriff sehr wahrscheinlich mit dem Verlust der Unternehmensdaten dieses Benutzers einhergeht.

Eine weitere Frage, ob die Metadaten des Unternehmens kompromittiert werden könnten, sollte ebenfalls beantwortet werden. Denn wenn jemand von der Existenz von Daten erfährt und ihre Eigenschaften kennt, könnte das eine Gefahr für die Sicherheit der eigentlichen Daten darstellen. Einige Anbieter von Cloud-Lösungen ignorieren dieses Risiko und speichern alle Metadaten ihrer Kunden an einer zentralen, öffentlich zugänglichen Stelle. Auf diese Art verlangen sie indirekt von ihren Kunden, dass sie ihnen ihr Schicksal überlassen, was naturgemäß ein erhebliches Risiko für die Vertraulichkeit und Integrität von Daten darstellt.

Risiken und Nebenwirkungen

Für die Unternehmen von heute ist die Vertraulichkeit ihrer Daten eine Grundvoraussetzung für den Schutz ihres geistigen Eigentums und die Bewahrung ihrer Wettbewerbsfähigkeit. Andererseits liegt es in der Natur von File Sharing Services in der Cloud, dass man seine Daten ganz einfach mit wenigen Klicks teilen kann. Schließlich wurden sie entwickelt, um die Benutzerproduktivität zu steigern. Das Ergebnis ist das exponentielle Wachstum der geteilten Daten, auch mit Dritten, weil die Benutzer so ihren Kooperationsradius vergrößern können. Dieser Umstand führt wiederum zu einer Änderung in der Wahrnehmung der Wichtigkeit von Daten.

Wenn man davon ausgeht, dass Daten für die Zusammenarbeit nur zwischen internen Unternehmensbenutzern geteilt werden, ist das Problem begrenzt, da solche Daten die Unternehmensinfrastruktur nicht verlassen. Doch heutzutage wird das immer seltener. Die IT muss auch externe Kooperationsanforderungen für das Outsourcen von Projekten und die Zusammenarbeit mit externen Mitarbeitern, Freelancern, Vertragspartnern, Designern, usw. ermöglichen. Die Frage lautet dann: Wie stellt man die Vertraulichkeit und Integrität seiner Daten sicher, wenn sie den eigenen Rechtsprechungsbereich verlassen? Die Existenz vieler bequem zu verwendender File Sharing Services, die wachsende Nachfrage nach Kooperationsmodellen zwischen Benutzern und das veränderte Benutzerverhalten stellen ein hohes Risiko für vertrauliche Unternehmensdaten dar, das letztendlich das Geschäft schwer beschädigen könnte.

Wasserdichte Enterprise Data Services

Im Zeitalter von Cyberattacken und exponentieller Datenzunahme können Unternehmen es sich nicht leisten, das Thema Datensicherheit auf die leichte Schulter zu nehmen oder wegzusehen und zu hoffen, dass ihre sensiblen Daten schon nicht kompromittiert werden. Sicherheitsverletzungen sind Alltag geworden. Datenschutz kann aber nicht mit Passivität gewährleistet werden und die Realität zeigt, dass Unternehmen in Lösungen investieren müssen, die die Kontrolle sowohl über die Netzwerk- als auch die Anwendungssicherheit gewährleisten. Für einige der größten Hackerfolge der Welt können Sie sich jederzeit diese bildliche Darstellung der bedeutendsten Datenschutzverletzungen von Unternehmen und Staaten ansehen.

Ein absolut wasserdichter Datenservice muss aus bestimmten Komponenten bestehen, die ein Unternehmen selbst kontrollieren und besitzen muss, nämlich Benutzeridentitäten, Metadaten und Verschlüsselungscodes. Und sie müssen den Speicherstandort der Daten, die Verteidigungsmaßnahmen des Netzwerks kontrollieren sowie eigene interne wie externe Sharing-Richtlinien aufstellen.

Unternehmen sollten also jederzeit sicherstellen, dass sie sich am Steuer ihres Wagens befinden und nicht den Autoschlüssel gemeinsam mit der Ladung – Sicherung und Geheimhaltung ihrer Daten – abgegeben haben. Der Sicherheitsexperte des eigenen Unternehmens muss die Person sein, die für den Schutz von Daten zuständig ist. Unsere Empfehlung ist es, in ein System zu investieren, mit dem die Unternehmensrichtlinien eingehalten werden, in das die Sicherheitsmaßnahmen des Unternehmens integriert werden können und das kontinuierliche Informationen über die Nutzungsmuster der Benutzer liefert.

Jeff Denworth, Ctera Networks.
Jeff Denworth, Ctera Networks.
(Bild: Ctera)

* Der Autor Jeff Denworth ist Senior Vice President Marketing bei Ctera Networks.

(ID:43812573)