Die Cloud nutzen, aber sicher!

Die Administration und der Betrieb von IT-Systemen heute hat sich im Vergleich zu früher stark geändert: Heute verteilen sich die Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services von unterschiedlichen Dienstleistern bezogen. Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks (WANs), sondern aus Kostengründen über das Internet. Das birgt für Unternehmen zweierlei Herausforderungen: Erstens ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Zweitens entzieht sich ein Teil der Infrastruktur bei den Cloud-Modellen schlicht und einfach der direkten Kontrolle durch das Unternehmen. Erschwerend kommt hinzu, dass die Verträge, die die Zusammenarbeit mit Anbietern von Cloud-Services und Outsourcing regeln und Verantwortlichkeiten und Verantwortungen festlegen, oftmals derart komplex sind, dass ihr Abschluss durch juristischen Beistand begleitet werden muss. Welche Risiken es gibt, wie sie behoben oder zumindest eingegrenzt werden können, wird im Folgenden beschrieben. [...]

Erwähnt sollte hier noch werden, dass es auch noch zusätzliche Angriffsvektoren durch die administrativen Tools der Cloud selbst gibt. Webtools und APIs zur Steuerung von Cloud-Funktionalität können im schlimmsten Fall einem Angreifer nicht nur die Kontrolle über einzelne Rechner, sondern über gesamte Abschnitte der Cloud-Infrastruktur ermöglichen.

GETEILTE VERANTWORTUNG IST HALBE SICHEHEIT

Selbst wenn Firmen alle notwendigen technischen Sicherheitsvorkehrungen getroffen haben, bewegen sie sich beim Cloud Computing in einen zweiten Themenkomplex hinein: den der geteilten Verantwortung. Während Unternehmen mit einem eigenen Rechenzentrum die Aktualität der Sicherheitsvorkehrungen und deren Funktionieren messbar überprüfen können, muss man in der Cloud darauf vertrauen, dass der Cloud Provider seinen Verpflichtungen auf die Einhaltungen von Best Practices nachkommt. Eine tatsächliche Überprüfung oder ein Monitoring ist an dieser Stelle selten möglich. Es herrscht also der Grundsatz des Vertrauens in den Cloud Provider bzw. in dessen vertragliche Zusicherung. Tritt der Fall eines Datenmissbrauchs zutage, steht zuallererst der Nachweis an, wie die Daten kompromittiert wurden und ob dies ein Versäumnis des Cloud Providers möglich gemacht hatte. Oftmals kommt dann heraus, dass entweder interne Mitarbeiter ihren Zugang zu den Daten missbraucht haben, oder dass sich Fremdpersonen durch Spearphishing – also durch das gezielte Ausspähen von Personen mit Zugangsberechtigungen – Zugangsdaten verschafft haben und diese missbrauchten, ohne dass der Betroffene es sofort realisieren konnte.

Fälle der letzten Jahre wie Edward Snowden und die NSA-Affäre oder die bekannten Steuer-CDs zeigen, dass in vielen Fällen IT-Mitarbeiter ursächlich für Datenmissbrauch verantwortlich sind – ob zum Vor- oder Nachteil, zu Recht oder Unrecht soll hier nicht weiter diskutiert werden. Ist es aber doch mal der Cloud Provider, dessen Versäumnis für einen Datenmissbrauch oder einen Stillstand der Unternehmens-IT gesorgt hat, handelt er dies normalerweise durch die Rückerstattung von bezahlten oder zukünftigen Infrastrukturkosten an das Unternehmen ab. Ein solcher Vorfall hat jedoch Auswirkungen auf das Vertrauensverhältnis zwischen Kunde und Unternehmen und kann auch einen Verlust von Intellectual Property bedeuten. Im Zeitalter von Industrie 4.0 und dem Internet der Dinge entsteht durch einen derartigen Ausfall auch eine Unterbrechung oder Störung der Produktionsanlagen mit erheblichen Kosten. Nicht zuletzt verursacht Datenmissbrauch auch rechtliche Probleme. Diese Risiken und ihre Folgen trägt das Unternehmen allein. Die Kosten dafür übersteigen die angebotenen Kompensationen normalerweise um ein Vielfaches – sie sind oftmals gar nicht bezifferbar. „SharedResponsibility“ enthält also zusätzliche Risiken.

UNTERNEHMENSSEITIGE VERSCHLÜSSELUNG SICHERER ALS MASTER KEY

Obwohl die meisten Cloud Provider eine Verschlüsselung der Virtual Machines innerhalb der Cloud-Infrastruktur anbieten, bedeutet dies noch lange keine Garantie dafür, dass die Daten sich nicht doch auslesen lassen. Denn: Fast alle Cloud Provider nutzen einen Master Key für die verschlüsselten Daten, und machen von ihm auch Gebrauch. Zum Beispiel bei Anfragen von Regierungsorganisationen händigen Cloud Provider die Daten unverschlüsselt aus. Um auszuschließen, dass sich ein Mitarbeiter eines Cloud Providers durch den Master Key Zugang zu den Daten verschafft, ist die unternehmensseitige Verschlüsselung der in der Cloud abgelegten Daten mit eigenen Schlüsseln sinnvoll. Dazu kann man entweder auf Filesystem-Ebene verschlüsseln, wie z.B. mit Loop-AES, TrueCrypt oder Crypto-FS, oder die Verschlüsselung der Daten innerhalb der Applikation sicherstellen. MySQL und Oracle zum Beispiel bieten beide AES-Verschlüsselung der Datensätze innerhalb der Datenbank an. Die unternehmensseitige Verschlüsselung ist ein einfacher, transparenter und kostengünstiger Weg zu mehr Sicherheit.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*