Suchen

Daten und Dienste trotz Cloud fest im Griff Grundlagen der Cloud-Security

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Das Thema Sicherheit in Zusammenhang mit Cloud-Technologien stellt für viele IT-Verantwortliche einen Wiederspruch in sich dar. Dabei gibt es durchaus sinnvolle Methoden, um das Sicherheitsniveau in der Cloud umfassend anzuheben und um Cloud-Infrastrukturen sicher zu betreiben. Dieser Beitrag nimmt die in diesem Zusammenhang wichtigsten Punkte unter die Lupe.

Die Konfiguration der Cloud-Sicherheit stellt IT-Verantwortliche vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden.
Die Konfiguration der Cloud-Sicherheit stellt IT-Verantwortliche vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden.
(© dolphfyn - stock.adobe.com)

Cloud und Sicherheit? In dem Moment, in dem man seine Daten auf Drittsystemen speichert, hat man die Datenhoheit verloren! Diese Aussage ist – vor allem in Europa – nach wie vor weit verbreitet und hat dazu geführt, dass hier Cloud-Technologien viel langsamer und auch in geringerem Umfang implementiert worden sind als in anderen Erdteilen. Das hat sich zwar in den letzten Jahren etwas geändert, das Thema Security spielt aber beim Einrichten und Betreiben von Cloud-Lösungen immer noch eine sehr große Rolle.

Bildergalerie
Bildergalerie mit 5 Bildern

Verschlüsselung

Worauf aber müssen Administratoren achten, wenn sie eine Cloud-Lösung implementieren und absichern müssen? Zunächst einmal ist es wichtig, dafür zu sorgen, dass die in die Cloud geladenen Daten verschlüsselt sind und von niemand unbefugtem, also auch nicht von den Betreibern der Cloud-Infrastruktur, entschlüsselt werden können. Das geht nur, wenn die Verschlüsselungs-Keys im Hause verbleiben und nicht ebenfalls in einer Cloud landen. Auf diese Weise stellen die Verantwortlichen auch sicher, dass kein Zugriff auf die Daten durch fremde Regierungen und ähnliche Stellen erfolgt.

Außerdem ist es von zentraler Bedeutung, dass die Daten nicht nur auf den Servern des Anbieters, sondern auch im Transport geschützt sind (zum Beispiel über HTTPS-Verbindungen), damit keine Angreifer sie während der Übertragung abgreifen. Das spielt vor allem eine Rolle, wenn die Zugriffe auf die Cloud über unsichere Netze erfolgen.

Zum Sichern von Cloud-Infrastrukturen stehen inzwischen auch spezielle Produkte bereit, die unter anderem dafür optimiert wurden, die Datenübertragungen zu analysieren und abzusichern. So können Cloud-Firewalls beim Schutz von Cloud-Architekturen von großem Nutzen sein.

Endpoints

Darüber hinaus ist darauf zu achten, dass alle Geräte, die auf die Cloud zugreifen können, ebenfalls sicher sind. Wurden sie beispielsweise von einem Trojaner befallen, so greifen die Hacker auch dann auf die Daten zu, wenn die Server und der Übertragungsweg eigentlich sicher wären. Man darf beim Erstellen einer Cloud-Security-Strategie die Endpoints folglich keinesfalls außen vorlassen.

Authentifizierung

Neben der Sicherung der Daten spielt es eine wesentliche Rolle, dass nur Mitarbeiter Zugriff auf die Daten erhalten, die diesen für die Erledigung ihrer täglichen Arbeit benötigen. Dazu ist zum einen eine sichere Authentifizierung erforderlich. Diese sollte nach Möglichkeit mit zwei Faktoren arbeiten, also beispielsweise mit einem Passwort und einem Security-Token. Zugriffe, die nur ein Passwort verwenden, sind nicht mehr zeitgemäß, da Passwörter ständig kompromittiert und gestohlen werden und deshalb nicht mehr als sicher gelten.

Zum anderen sollten auch die Zugriffsrechte der angemeldeten User so gesetzt sein, dass immer nur die Benutzer auf ihre Daten zugreifen können, die diese auch wirklich brauchen. Konfigurationen, in denen Administratoren oder Master User Zugriff auf alle Daten ihrer Untergebenen oder – im schlimmsten Fall – alle Daten in der Cloud haben, sind unbedingt zu vermeiden. Deswegen muss die Cloud-Lösung über ein ausgefeiltes System zur Rechtevergabe verfügen.

Datensicherungen

Zusätzlich zu den bereits genannten Punkten ist es noch von großer Bedeutung, dass stets Backups der Cloud Daten zur Verfügung stehen, egal ob es sich um Dateien, Datenbanken oder etwas anderes handelt. Nur dann lassen sie sich im Falle eines Hardwareausfalls, einer Fehlkonfiguration oder eines trotz aller Sicherheitsmaßnahmen aufgetretenen Security-Problems wiederherstellen. In diesem Zusammenhang spielt es auch eine wesentliche Rolle, dass die Cloud-Lösung den Verantwortlichen Informationen darüber liefern kann, wer wann welche Änderungen an den Daten vorgenommen hat, beispielsweise über Protokolle. Nur so decken die Verantwortlichen Datenmanipulationen – zum Beispiel durch unzufriedene Mitarbeiter – auf und stellen die Originaldaten wieder her.

Sicherheit mobiler Geräte

Kommen wir jetzt nochmals auf die Endpoints zu sprechen. Während PCs im Unternehmen im Idealfall in einem sicheren Netz, dem LAN, arbeiten und von der IT-Abteilung geschützt werden, liegt die Sache bei mobilen Geräten, wie Notebooks, Tablets und Smartphones völlig anders. Gerade bei Smartphones und Tablets erfolgt die Zugriffssicherung oftmals nur über eine kurze PIN-Nummer oder durch das Zeichnen eines Entsperrmusters auf dem Bildschirm. Folglich können sich Angreifer in vielen Situationen relativ einfach den Zugriff auf solche Devices erschleichen.

Verfügt der Cloud-Dienst über eine App und ermöglicht die Nutzung der hinterlegten Daten über das betroffene Endgerät, so stehen dem Missbrauch Tür und Tor offen. Die IT-Verantwortlichen müssen also dafür sorgen, dass entweder der Zugriff auf die mobilen Geräte umfassend abgesichert wird, durch lange Passwörter und PINs, Zwei-Faktor-Authentifizierung und ähnliches, oder dass die Apps des Cloud-Dienstes so konfiguriert werden, dass bei jedem Zugriff darauf eine erneute Authentifizierung erforderlich ist. Das gefällt den Endanwendern zwar meistens nicht, lässt sich aber beim Zugriff auf kritische Daten nicht vermeiden.

Datenschutz-Grundverordnung und Compliance

Im Zuge der Datenschutz-Grundverordnung (DSGVO) sind im Zusammenhang mit Cloud-Angeboten einige Dinge zu beachten. Das wichtigste, was in diesem Zusammenhang sofort ins Auge fällt, ist der Speicherort der Daten. Sichert ein Cloud Anbieter die Kundendaten in einem Land, in dem die DSGVO keine Rolle spielt und garantiert er nicht die Einhaltung der von der DSGVO vorgegebenen Regeln, so lässt er sich in der EU nicht DSGVO-konform nutzen. Deswegen entscheiden sich viele Verantwortliche zu Recht für Anbieter die das deutsche Datenschutzrecht umsetzen. Auf diese Weise befinden sie sich – was die Compliance angeht – auf der sicheren Seite.

In diesem Zusammenhang ist es noch wichtig zu wissen, dass die Auftraggeber die Pflicht haben zu prüfen, ob der Cloud-Anbieter die Datenschutzregeln einhält. Deswegen muss in dem Vertrag mit diesem unter anderem geklärt werden, ob er Daten ins Ausland überträgt und ob Subunternehmen Zugriff auf die Informationen erhalten.

Was die Bedeutung der DSGVO in Zusammenhang mit Cloud-Infrastrukturen betrifft, haben wir für diesen Artikel ein Gespräch mit Dr. Hubert Jäger, Mitgründer und CTO des Cloud-Security-Unternehmens Uniscon, geführt. Er brachte noch ein weiteres Argument ins Spiel: „Privacy by Design ist eine der wesentlichen Neuerungen der DSGVO. Das bedeutet, dass bei der Entwicklung neuer Technologien – zum Beispiel Cloud-Diensten – Datenschutzgrundsätze von Anfang an in die Konzeption mit einzubeziehen sind. Käme dieser Ansatz überall konsequent zur Anwendung, würde die Technikgestaltung selbst schon für angemessenen Datenschutz sorgen – und genau hier müssten Politik und Industrie ansetzen.“

Datenlöschung

In diesem Zusammenhang spielt auch die Datenlöschung eine wichtige Rolle, da die DSGVO eine Löschpflicht vorsieht. Viele Cloud-Anbieter halten unterschiedliche Versionen von Dateien und Datenbanken vor, um im Problemfall einen Restore von älteren Versionen der Daten zu ermöglichen, beispielsweise nach einem Ransomware-Angriff.

Die IT-Verantwortlichen müssen aber sicherstellen, dass alle vorhandenen Daten jederzeit komplett gelöscht werden können. Dieser Punkt muss bei der Auswahl eines Cloud-Dienstes unbedingt Beachtung finden.

Zusätzlich muss auch immer klar sein, welche Daten wann wohin übertragen worden sind. Andernfalls wissen die zuständigen Mitarbeiter ja nicht, was sie alles zu löschen haben. Auch in diesem Zusammenhang können umfassende Protokollierungsfunktionen des Cloud-Dienstes eine große Hilfe sein.

Verantwortung und Fazit

Einen der wichtigsten Punkte zum sicheren Gestalten von Cloud-Umgebungen haben wir noch gar nicht angesprochen: Die Cloud-Nutzung muss verantwortungsvoll erfolgen. Es liegt unter dem Strich immer in der Verantwortung der Mitarbeiter zu entscheiden, welche Daten und Dienste sich für die Cloud eignen oder nicht. Daten, bei denen ein unautorisierter Zugriff zu Problemen führen könnte, sollten folglich gar nicht erst in die Cloud hochgeladen werden.

Auf der anderen Seite ist es aber auch so, dass viele Anbieter ihre Cloud-Umgebungen mit sehr großem Aufwand absichern, in der Regel investieren sie hier mehr als die meisten Unternehmen. Deswegen ergibt es keinen Sinn, Cloud-Angebote insgesamt zu verteufeln, im Vergleich zu lokalen Installationen können sie – ja nach Aufbau des lokalen Netzes – in manchen Umgebungen das Sicherheitsniveau sogar erhöhen.

Dieses Argument ist aber keineswegs unstrittig. So haben wir für diesen Beitrag mit Mike Hart, Vice President Central & Eastern Europe bei FireEye, gesprochen. Dieser hat ganz andere Erfahrungen gemacht: „Die meisten Unternehmen leisten nicht annähernd so viel Arbeit wie sie tun müssten, um die Cloud so zu schützen, wie sie es früher mit ihren Rechenzentren getan haben - und die Bösen wissen das. Es gibt gute Gründe, warum etwa 20 Prozent der von uns bearbeiteten Vorfallsreaktionen und Verstöße die Cloud betreffen. Schlecht konfigurierte Authentifizierung, nachlässiges Verschlüsselungs-Management und ungesicherte Programmierschnittstellen (APIs) sind nur einige der Möglichkeiten, wie Hacker Zugang zu Cloud-Infrastrukturen erhalten.“ Eine zentrale Plattform, die das Benutzerverhalten analysiert, Konfigurationen überwacht und für Transparenz an einem zentralen Ort sorgt, ist laut Hart der Schlüssel dazu, professionelle Angriffe schnell und frühzeitig zu erkennen.

Bildergalerie
Bildergalerie mit 5 Bildern

Die Konfiguration der Cloud-Sicherheit stellt die IT-Verantwortlichen also nach wie vor vor viele Herausforderungen und sollte auf keinen Fall auf die leichte Schulter genommen werden. Das gilt vor allem dann, wenn im Unternehmen die Cloud-Lösungen unterschiedlicher Anbieter parallel zu einander zum Einsatz kommen.

(ID:46296568)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT