Daten und Dienste trotz Cloud fest im Griff

Grundlagen der Cloud-Security

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Die Konfiguration der Cloud-Sicherheit stellt IT-Verantwortliche vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden.
Die Konfiguration der Cloud-Sicherheit stellt IT-Verantwortliche vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden. (© dolphfyn - stock.adobe.com)

Das Thema Sicherheit in Zusammenhang mit Cloud-Technologien stellt für viele IT-Verantwortliche einen Wiederspruch in sich dar. Dabei gibt es durchaus sinnvolle Methoden, um das Sicherheitsniveau in der Cloud umfassend anzuheben und um Cloud-Infrastrukturen sicher zu betreiben. Dieser Beitrag nimmt die in diesem Zusammenhang wichtigsten Punkte unter die Lupe.

Cloud und Sicherheit? In dem Moment, in dem man seine Daten auf Drittsystemen speichert, hat man die Datenhoheit verloren! Diese Aussage ist – vor allem in Europa – nach wie vor weit verbreitet und hat dazu geführt, dass hier Cloud-Technologien viel langsamer und auch in geringerem Umfang implementiert worden sind als in anderen Erdteilen. Das hat sich zwar in den letzten Jahren etwas geändert, das Thema Security spielt aber beim Einrichten und Betreiben von Cloud-Lösungen immer noch eine sehr große Rolle.

Verschlüsselung

Worauf aber müssen Administratoren achten, wenn sie eine Cloud-Lösung implementieren und absichern müssen? Zunächst einmal ist es wichtig, dafür zu sorgen, dass die in die Cloud geladenen Daten verschlüsselt sind und von niemand unbefugtem, also auch nicht von den Betreibern der Cloud-Infrastruktur, entschlüsselt werden können. Das geht nur, wenn die Verschlüsselungs-Keys im Hause verbleiben und nicht ebenfalls in einer Cloud landen. Auf diese Weise stellen die Verantwortlichen auch sicher, dass kein Zugriff auf die Daten durch fremde Regierungen und ähnliche Stellen erfolgt.

Außerdem ist es von zentraler Bedeutung, dass die Daten nicht nur auf den Servern des Anbieters, sondern auch im Transport geschützt sind (zum Beispiel über HTTPS-Verbindungen), damit keine Angreifer sie während der Übertragung abgreifen. Das spielt vor allem eine Rolle, wenn die Zugriffe auf die Cloud über unsichere Netze erfolgen.

Zum Sichern von Cloud-Infrastrukturen stehen inzwischen auch spezielle Produkte bereit, die unter anderem dafür optimiert wurden, die Datenübertragungen zu analysieren und abzusichern. So können Cloud-Firewalls beim Schutz von Cloud-Architekturen von großem Nutzen sein.

Endpoints

Darüber hinaus ist darauf zu achten, dass alle Geräte, die auf die Cloud zugreifen können, ebenfalls sicher sind. Wurden sie beispielsweise von einem Trojaner befallen, so greifen die Hacker auch dann auf die Daten zu, wenn die Server und der Übertragungsweg eigentlich sicher wären. Man darf beim Erstellen einer Cloud-Security-Strategie die Endpoints folglich keinesfalls außen vorlassen.

Grundlagen der Cloud Access Security Broker (CASB)

Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

07.09.18 - Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud. lesen

Authentifizierung

Neben der Sicherung der Daten spielt es eine wesentliche Rolle, dass nur Mitarbeiter Zugriff auf die Daten erhalten, die diesen für die Erledigung ihrer täglichen Arbeit benötigen. Dazu ist zum einen eine sichere Authentifizierung erforderlich. Diese sollte nach Möglichkeit mit zwei Faktoren arbeiten, also beispielsweise mit einem Passwort und einem Security-Token. Zugriffe, die nur ein Passwort verwenden, sind nicht mehr zeitgemäß, da Passwörter ständig kompromittiert und gestohlen werden und deshalb nicht mehr als sicher gelten.

Zum anderen sollten auch die Zugriffsrechte der angemeldeten User so gesetzt sein, dass immer nur die Benutzer auf ihre Daten zugreifen können, die diese auch wirklich brauchen. Konfigurationen, in denen Administratoren oder Master User Zugriff auf alle Daten ihrer Untergebenen oder – im schlimmsten Fall – alle Daten in der Cloud haben, sind unbedingt zu vermeiden. Deswegen muss die Cloud-Lösung über ein ausgefeiltes System zur Rechtevergabe verfügen.

Datensicherungen

Zusätzlich zu den bereits genannten Punkten ist es noch von großer Bedeutung, dass stets Backups der Cloud Daten zur Verfügung stehen, egal ob es sich um Dateien, Datenbanken oder etwas anderes handelt. Nur dann lassen sie sich im Falle eines Hardwareausfalls, einer Fehlkonfiguration oder eines trotz aller Sicherheitsmaßnahmen aufgetretenen Security-Problems wiederherstellen. In diesem Zusammenhang spielt es auch eine wesentliche Rolle, dass die Cloud-Lösung den Verantwortlichen Informationen darüber liefern kann, wer wann welche Änderungen an den Daten vorgenommen hat, beispielsweise über Protokolle. Nur so decken die Verantwortlichen Datenmanipulationen – zum Beispiel durch unzufriedene Mitarbeiter – auf und stellen die Originaldaten wieder her.

Nicht alles muss in die Cloud

Hybride Infrastrukturen

Nicht alles muss in die Cloud

22.02.19 - Anwendungen und Prozesse verschwinden wieder aus der Cloud, um den Datenschutz zu verbessern, Kosten zu kontrollieren und die Abhängigkeit von Dienstleistern zu reduzieren. Damit sinken aber Flexibilität und Skalierbarkeit. Unternehmen können jedoch mit hybriden Lösungen das Beste aus beiden Welten nutzen. lesen

Sicherheit mobiler Geräte

Kommen wir jetzt nochmals auf die Endpoints zu sprechen. Während PCs im Unternehmen im Idealfall in einem sicheren Netz, dem LAN, arbeiten und von der IT-Abteilung geschützt werden, liegt die Sache bei mobilen Geräten, wie Notebooks, Tablets und Smartphones völlig anders. Gerade bei Smartphones und Tablets erfolgt die Zugriffssicherung oftmals nur über eine kurze PIN-Nummer oder durch das Zeichnen eines Entsperrmusters auf dem Bildschirm. Folglich können sich Angreifer in vielen Situationen relativ einfach den Zugriff auf solche Devices erschleichen.

Verfügt der Cloud-Dienst über eine App und ermöglicht die Nutzung der hinterlegten Daten über das betroffene Endgerät, so stehen dem Missbrauch Tür und Tor offen. Die IT-Verantwortlichen müssen also dafür sorgen, dass entweder der Zugriff auf die mobilen Geräte umfassend abgesichert wird, durch lange Passwörter und PINs, Zwei-Faktor-Authentifizierung und ähnliches, oder dass die Apps des Cloud-Dienstes so konfiguriert werden, dass bei jedem Zugriff darauf eine erneute Authentifizierung erforderlich ist. Das gefällt den Endanwendern zwar meistens nicht, lässt sich aber beim Zugriff auf kritische Daten nicht vermeiden.

Datenschutz-Grundverordnung und Compliance

Im Zuge der Datenschutz-Grundverordnung (DSGVO) sind im Zusammenhang mit Cloud-Angeboten einige Dinge zu beachten. Das wichtigste, was in diesem Zusammenhang sofort ins Auge fällt, ist der Speicherort der Daten. Sichert ein Cloud Anbieter die Kundendaten in einem Land, in dem die DSGVO keine Rolle spielt und garantiert er nicht die Einhaltung der von der DSGVO vorgegebenen Regeln, so lässt er sich in der EU nicht DSGVO-konform nutzen. Deswegen entscheiden sich viele Verantwortliche zu Recht für Anbieter die das deutsche Datenschutzrecht umsetzen. Auf diese Weise befinden sie sich – was die Compliance angeht – auf der sicheren Seite.

Grundlos in die Cloud

2019 Netwrix Cloud Data Security Report

Grundlos in die Cloud

29.10.19 - Im Rahmen einer Studie hat Netwrix herausgefunden, dass mehr als ein Viertel der befragten Unternehmen aus der Finanzbranche Daten ohne Grund in der Cloud gespeichert haben. Dies hat Folgen bezüglich der Datensicherheit. lesen

In diesem Zusammenhang ist es noch wichtig zu wissen, dass die Auftraggeber die Pflicht haben zu prüfen, ob der Cloud-Anbieter die Datenschutzregeln einhält. Deswegen muss in dem Vertrag mit diesem unter anderem geklärt werden, ob er Daten ins Ausland überträgt und ob Subunternehmen Zugriff auf die Informationen erhalten.

Was die Bedeutung der DSGVO in Zusammenhang mit Cloud-Infrastrukturen betrifft, haben wir für diesen Artikel ein Gespräch mit Dr. Hubert Jäger, Mitgründer und CTO des Cloud-Security-Unternehmens Uniscon, geführt. Er brachte noch ein weiteres Argument ins Spiel: „Privacy by Design ist eine der wesentlichen Neuerungen der DSGVO. Das bedeutet, dass bei der Entwicklung neuer Technologien – zum Beispiel Cloud-Diensten – Datenschutzgrundsätze von Anfang an in die Konzeption mit einzubeziehen sind. Käme dieser Ansatz überall konsequent zur Anwendung, würde die Technikgestaltung selbst schon für angemessenen Datenschutz sorgen – und genau hier müssten Politik und Industrie ansetzen.“

Datenlöschung

In diesem Zusammenhang spielt auch die Datenlöschung eine wichtige Rolle, da die DSGVO eine Löschpflicht vorsieht. Viele Cloud-Anbieter halten unterschiedliche Versionen von Dateien und Datenbanken vor, um im Problemfall einen Restore von älteren Versionen der Daten zu ermöglichen, beispielsweise nach einem Ransomware-Angriff.

Die IT-Verantwortlichen müssen aber sicherstellen, dass alle vorhandenen Daten jederzeit komplett gelöscht werden können. Dieser Punkt muss bei der Auswahl eines Cloud-Dienstes unbedingt Beachtung finden.

7 Tipps für mehr Security in der Public Cloud

Infrastruktur- oder Plattform-Dienste sind nicht sicher genug

7 Tipps für mehr Security in der Public Cloud

24.10.19 - Trotz aller Vorsichtsmaßnahmen auf allen Seiten: Eine reale Bedrohungslage für Public Clouds bleibt existent. Aber es ist möglich, die Datensicherheit auch in der Public Cloud hoch zu halten. Security-Spezialist Sophos gibt wertvolle Tipps. lesen

Zusätzlich muss auch immer klar sein, welche Daten wann wohin übertragen worden sind. Andernfalls wissen die zuständigen Mitarbeiter ja nicht, was sie alles zu löschen haben. Auch in diesem Zusammenhang können umfassende Protokollierungsfunktionen des Cloud-Dienstes eine große Hilfe sein.

Verantwortung und Fazit

Einen der wichtigsten Punkte zum sicheren Gestalten von Cloud-Umgebungen haben wir noch gar nicht angesprochen: Die Cloud-Nutzung muss verantwortungsvoll erfolgen. Es liegt unter dem Strich immer in der Verantwortung der Mitarbeiter zu entscheiden, welche Daten und Dienste sich für die Cloud eignen oder nicht. Daten, bei denen ein unautorisierter Zugriff zu Problemen führen könnte, sollten folglich gar nicht erst in die Cloud hochgeladen werden.

Auf der anderen Seite ist es aber auch so, dass viele Anbieter ihre Cloud-Umgebungen mit sehr großem Aufwand absichern, in der Regel investieren sie hier mehr als die meisten Unternehmen. Deswegen ergibt es keinen Sinn, Cloud-Angebote insgesamt zu verteufeln, im Vergleich zu lokalen Installationen können sie – ja nach Aufbau des lokalen Netzes – in manchen Umgebungen das Sicherheitsniveau sogar erhöhen.

Dieses Argument ist aber keineswegs unstrittig. So haben wir für diesen Beitrag mit Mike Hart, Vice President Central & Eastern Europe bei FireEye, gesprochen. Dieser hat ganz andere Erfahrungen gemacht: „Die meisten Unternehmen leisten nicht annähernd so viel Arbeit wie sie tun müssten, um die Cloud so zu schützen, wie sie es früher mit ihren Rechenzentren getan haben - und die Bösen wissen das. Es gibt gute Gründe, warum etwa 20 Prozent der von uns bearbeiteten Vorfallsreaktionen und Verstöße die Cloud betreffen. Schlecht konfigurierte Authentifizierung, nachlässiges Verschlüsselungs-Management und ungesicherte Programmierschnittstellen (APIs) sind nur einige der Möglichkeiten, wie Hacker Zugang zu Cloud-Infrastrukturen erhalten.“ Eine zentrale Plattform, die das Benutzerverhalten analysiert, Konfigurationen überwacht und für Transparenz an einem zentralen Ort sorgt, ist laut Hart der Schlüssel dazu, professionelle Angriffe schnell und frühzeitig zu erkennen.

Die Konfiguration der Cloud-Sicherheit stellt die IT-Verantwortlichen also nach wie vor vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden. Das gilt vor allem dann, wenn im Unternehmen die Cloud-Lösungen unterschiedlicher Anbieter parallel zu einander zum Einsatz kommen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46296568 / Cloud und Virtualisierung)