von Redaktion IT-A…
Lesezeit
3 Minuten
Sicherheit in der Cloud
In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.
Auch wenn Cloud Computing derzeit in aller Munde ist, zeigen sich besonders deutsche Unternehmen zögerlich beim Gang in die Wolke. Grund für diese Skepsis sind nicht selten Sicherheitsbedenken bei der Auslagerung von Daten, Anwendungen und weiteren Diensten. Für IT-Verantwortliche ist es deshalb entscheidend, mögliche Cloud-Dienstleister einem genauen Security-Check zu unterziehen und die eigenen Abläufe auf das Outsourcing von Informationen oder Rechenleistung anzupassen.
Auch wenn Cloud Computing derzeit in aller Munde ist, zeigen sich besonders deutsche Unternehmen zögerlich beim Gang in die Wolke. Grund für diese Skepsis sind nicht selten Sicherheitsbedenken bei der Auslagerung von Daten, Anwendungen und weiteren Diensten. Für IT-Verantwortliche ist es deshalb entscheidend, mögliche Cloud-Dienstleister einem genauen Security-Check zu unterziehen und die eigenen Abläufe auf das Outsourcing von Informationen oder Rechenleistung anzupassen.
Bei der Zusammenarbeit mit einem Cloud-Anbieter steht an erster Stelle die Sicherheit, Vertraulichkeit, Verlässlichkeit und Integrität der Daten. Stets ist zudem die Einhaltung gesetzlicher Vorschriften zu gewährleisten – immer auch unter Berücksichtigung der Rechtslage am Ort der Datenhaltung. Aus Nutzersicht stellt sich weiterhin die Verfügbarkeit der Daten als entscheidend dar. Individuelle Sicherheitsanforderungen schließlich komplettieren den eigenen Anforderungskatalog.
Verfügbarkeit muss gewährleistet sein
Cloud-Dienste stehen und fallen mit ihrer Verfügbarkeit. Der Dienstleister sollte deshalb eine hochverfügbare und redundante Infrastruktur besitzen, um dem Nutzer unterbrechungsfreie Dienste anbieten zu können. Die Infrastruktur sollte zudem Echtzeit-Replikation, mehrere Anschlüsse, wechselnde Energiequellen und moderne Notfallsysteme beinhalten. Dazu bedarf es moderner Technologien für Firewall, Load Balancer sowie Zugriffsicherungs-/Präventionssysteme, die permanent unter Überwachung stehen. Zudem sollte der Anbieter im Falle einer Störung stabile Wiederherstellungsverfahren zum Schutz der Daten bieten und regelmäßig Disaster Recovery-Tests durchführen.
Standardisierte Sicherheit
Nutzer sollten darauf achten, dass Cloud-Anbieter reglementierte Sicherheitsstandards wie SAS 70 oder ISO 27001 vorweisen können. SAS 70 (Statement on Auditing Standards Nr. 70) ist eher in den USA gebräuchlich, stammt aus dem Wirtschaftsprüfer-Bereich und gibt Aufschluss über die Abläufe zur Einhaltung von Datensicherheit beziehungsweise bewertet das interne Kontrollsystem in Bezug auf seiner Effektivität. Näher an Cloud Computing ist ISO 27001, ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen.
Grundlage für effektive Sicherheitsvorkehrungen bei einem Cloud-Provider ist die regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die kontinuierliche Anpassung an sich verändernde Rahmenbedingungen. So stellt der Nachweis einer Auditierung durch externe Prüfer einen bedeutenden Pluspunkt dar. Ganz besonders für den Umgang mit sensiblen Personendaten müssen klare, nachprüfbare Prozesse existieren. Das reicht von der Ersterfassung über die Änderung und die verschlüsselte Übertragung bis hin zur revisionssicheren Archivierung. Anerkannte Zertifizierungen sind in diesem Bereich wichtige Entscheidungskriterien.
Gerade bei Public Clouds, die von mehreren Unternehmen in einer Mehr-Mandanten-Umgebung gemeinsam genutzt werden, ist zudem eine strikte Trennung der virtuellen Ressourcen essenziell. Eine hohe Datensicherheit zu gewährleisten hier etwa Produkte, die über eine Kernel-basierte Policy Enforcement Infrastructure verfügen. Dieses Merkmal isoliert virtuelle Maschinen voneinander und garantiert so eine klare Separierierung von physischer Hardware und dem Hypervisor.
SLAs nach Maßarbeit
Cloud Computing ist mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse und Sicherheitsrichtlinien – und zwar sowohl beim Nutzer als auch beim Cloud-Provider. So muss es bei beiden wirkungsvolle Instrumente geben, um die Einhaltung der gesetzlich geregelten – in Deutschland etwa das Bundesdatenschutzgesetz – sowie der unternehmensinternen Security-Vorschriften zu überwachen und zu kontrollieren.
In vielen Unternehmen gibt es eindeutig dokumentierte Sicherheitsrichtlinien, die allen national geltenden Gesetzen und Vorschriften entsprechen müssen. Für deren Einhaltung ist nicht selten ein eigener IT-Sicherheitsbeauftragter zuständig, den es bestenfalls auch beim Cloud-Provider geben sollte. Kernpunkt ist hier das Service Level Agreement (SLA). Dies sollte stets eine maßgeschneiderte Vereinbarung zwischen dem Nutzer und dem Cloud-Anbieter sein. Bestandteil von SLAs sollte etwa das Festlegen von Verfügbarkeiten, regelmäßige Reports und Qualitätskontrollen, Reaktionszeiten bei Störungen und Haftungsfragen sein.
Sicherheit beim Zugriff
Der Sicherheit beim Zugriff auf Cloud-Dienste beginnt, wenn sich der Nutzer ins System einloggt. Verantwortungsvolle Cloud-Anbieter schützen ihr Angebot durch starke Authentifizierungs- und Autorisierungssysteme. Um etwa zu verhindern, dass Passwörter geteilt werden, sollte die Anwendung nicht zulassen, dass das Einloggen mit einer einzelnen User-ID an mehreren Orten gleichzeitig möglich ist. Auch eine mehrfache Authentifizierung bietet ein höheres Sicherheitsniveau. Durch Echtzeit-Überprüfungen der Benutzeraktivität sollte der Dienstleister zudem erkenntlich machen, wer wann auf was zugreift und welche Änderungen vorgenommen wurden. Außerdem ist es sinnvoll, den Zugriff auf die Anwendung durch eine wirksame Verschlüsselung etwa vor Sniffing abzusichern.
Juristische Grauzone
Das Hauptproblem der Cloud liegt im Schutz der Datenübertragung zwischen den lokalen Rechnern und der Cloud sowie im Schutz der Daten in der Cloud selbst. Gerade das Auslagern von sensiblen Informationen, insbesondere von personenbezogenen Daten in die Public Cloud, ist mit dem aktuellen deutschen Datenschutzrecht kaum in Einklang zu bringen. Denn häufig werden beim Cloud Computing diverse Subunternehmer involviert, sodass kaum nachvollziehbar ist, wann, wo und vor allem durch wen personenbezogene Daten verarbeitet werden. Insoweit ist vor Nutzung eines Cloud Systems genauestens zu prüfen, wie die jeweilige Public Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden, wo genau also die Daten verarbeitet werden.
Mehr zum Thema "Sicherheit in der Cloud" finden Sie in der November-Ausgabe des IT-Administrator.
ln
Verfügbarkeit muss gewährleistet sein
Cloud-Dienste stehen und fallen mit ihrer Verfügbarkeit. Der Dienstleister sollte deshalb eine hochverfügbare und redundante Infrastruktur besitzen, um dem Nutzer unterbrechungsfreie Dienste anbieten zu können. Die Infrastruktur sollte zudem Echtzeit-Replikation, mehrere Anschlüsse, wechselnde Energiequellen und moderne Notfallsysteme beinhalten. Dazu bedarf es moderner Technologien für Firewall, Load Balancer sowie Zugriffsicherungs-/Präventionssysteme, die permanent unter Überwachung stehen. Zudem sollte der Anbieter im Falle einer Störung stabile Wiederherstellungsverfahren zum Schutz der Daten bieten und regelmäßig Disaster Recovery-Tests durchführen.
Standardisierte Sicherheit
Nutzer sollten darauf achten, dass Cloud-Anbieter reglementierte Sicherheitsstandards wie SAS 70 oder ISO 27001 vorweisen können. SAS 70 (Statement on Auditing Standards Nr. 70) ist eher in den USA gebräuchlich, stammt aus dem Wirtschaftsprüfer-Bereich und gibt Aufschluss über die Abläufe zur Einhaltung von Datensicherheit beziehungsweise bewertet das interne Kontrollsystem in Bezug auf seiner Effektivität. Näher an Cloud Computing ist ISO 27001, ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen.
Grundlage für effektive Sicherheitsvorkehrungen bei einem Cloud-Provider ist die regelmäßige Überprüfung einmal festgelegter Prozesse und Maßnahmen sowie die kontinuierliche Anpassung an sich verändernde Rahmenbedingungen. So stellt der Nachweis einer Auditierung durch externe Prüfer einen bedeutenden Pluspunkt dar. Ganz besonders für den Umgang mit sensiblen Personendaten müssen klare, nachprüfbare Prozesse existieren. Das reicht von der Ersterfassung über die Änderung und die verschlüsselte Übertragung bis hin zur revisionssicheren Archivierung. Anerkannte Zertifizierungen sind in diesem Bereich wichtige Entscheidungskriterien.
Gerade bei Public Clouds, die von mehreren Unternehmen in einer Mehr-Mandanten-Umgebung gemeinsam genutzt werden, ist zudem eine strikte Trennung der virtuellen Ressourcen essenziell. Eine hohe Datensicherheit zu gewährleisten hier etwa Produkte, die über eine Kernel-basierte Policy Enforcement Infrastructure verfügen. Dieses Merkmal isoliert virtuelle Maschinen voneinander und garantiert so eine klare Separierierung von physischer Hardware und dem Hypervisor.
SLAs nach Maßarbeit
Cloud Computing ist mehr als nur eine technische Art der Bereitstellung von Computerleistung. Benötigt werden klare Zuständigkeiten, Prozesse und Sicherheitsrichtlinien – und zwar sowohl beim Nutzer als auch beim Cloud-Provider. So muss es bei beiden wirkungsvolle Instrumente geben, um die Einhaltung der gesetzlich geregelten – in Deutschland etwa das Bundesdatenschutzgesetz – sowie der unternehmensinternen Security-Vorschriften zu überwachen und zu kontrollieren.
In vielen Unternehmen gibt es eindeutig dokumentierte Sicherheitsrichtlinien, die allen national geltenden Gesetzen und Vorschriften entsprechen müssen. Für deren Einhaltung ist nicht selten ein eigener IT-Sicherheitsbeauftragter zuständig, den es bestenfalls auch beim Cloud-Provider geben sollte. Kernpunkt ist hier das Service Level Agreement (SLA). Dies sollte stets eine maßgeschneiderte Vereinbarung zwischen dem Nutzer und dem Cloud-Anbieter sein. Bestandteil von SLAs sollte etwa das Festlegen von Verfügbarkeiten, regelmäßige Reports und Qualitätskontrollen, Reaktionszeiten bei Störungen und Haftungsfragen sein.
Sicherheit beim Zugriff
Der Sicherheit beim Zugriff auf Cloud-Dienste beginnt, wenn sich der Nutzer ins System einloggt. Verantwortungsvolle Cloud-Anbieter schützen ihr Angebot durch starke Authentifizierungs- und Autorisierungssysteme. Um etwa zu verhindern, dass Passwörter geteilt werden, sollte die Anwendung nicht zulassen, dass das Einloggen mit einer einzelnen User-ID an mehreren Orten gleichzeitig möglich ist. Auch eine mehrfache Authentifizierung bietet ein höheres Sicherheitsniveau. Durch Echtzeit-Überprüfungen der Benutzeraktivität sollte der Dienstleister zudem erkenntlich machen, wer wann auf was zugreift und welche Änderungen vorgenommen wurden. Außerdem ist es sinnvoll, den Zugriff auf die Anwendung durch eine wirksame Verschlüsselung etwa vor Sniffing abzusichern.
Juristische Grauzone
Das Hauptproblem der Cloud liegt im Schutz der Datenübertragung zwischen den lokalen Rechnern und der Cloud sowie im Schutz der Daten in der Cloud selbst. Gerade das Auslagern von sensiblen Informationen, insbesondere von personenbezogenen Daten in die Public Cloud, ist mit dem aktuellen deutschen Datenschutzrecht kaum in Einklang zu bringen. Denn häufig werden beim Cloud Computing diverse Subunternehmer involviert, sodass kaum nachvollziehbar ist, wann, wo und vor allem durch wen personenbezogene Daten verarbeitet werden. Insoweit ist vor Nutzung eines Cloud Systems genauestens zu prüfen, wie die jeweilige Public Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden, wo genau also die Daten verarbeitet werden.
Mehr zum Thema "Sicherheit in der Cloud" finden Sie in der November-Ausgabe des IT-Administrator.
ln
