Konkrete Massnahmen in der Datencloud

Konkrete Massnahmen in der Datencloud

Marc Ruef
von Marc Ruef
Lesezeit: 7 Minuten

Wir haben im scip IT Security Forecast für das Jahr 2010 festgehalten, dass die kommenden Jahre

(…) voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen [werden].

Diese Voraussage ist ungebrochen eingetroffen und so haben wir zum Thema eine Reihe von Publikationen veröffentlicht und Vorträge gehalten.

Im Rahmen dieser Tätigkeiten, fortwährender Gespräche und jeweiligen Kundenprojekte tat sich immerwieder die Schwierigkeit auf, das Thema Cloud-Security als solches überhaupt greifbar zu machen:

Cloud Computing als solches vereinheitlicht verschiedene – teilweise altbekannte – Mechanismen und Technologien. Eine besonders populäre Art des Vertriebsmodell im Cloud Computing ist die Datencloud (Cloud Storage). Bei diesem speziellen Software as a Service (SaaS) handelt es sich um einen Dienst, der die zentralisierte, automatisierte und transparente Bereitstellung und Aktualisierung von Daten erlaubt. Bekannte Dienste dieser Art sind beispielsweise:

Ein wichtiger Aspekt solcher Storage-Dienste in der Cloud ist, dass sie von verschiedenen Plattformen nutzbar sind. So existieren in der Regel Zugriffsmöglichkeiten über einen Webbrowser sowie Clients für unterschiedliche Betriebssysteme und mobile Geräte (Mobiltelefone, Tablets).

Für den Datenaustausch kommen oftmals klassische Kanäle, wie zum Beispiel Web (HTTP/HTTPS) zum Tragen. Umso schwieriger wird es deshalb, die Nutzungsmöglichkeit solcher Dienste im geschäftlichen Umfeld auf technischer Ebene überwachen und einschränken zu können.

In so manchen Fällen macht der Einsatz solcher Dienste Sinn. Und umso schwieriger wird es oftmals ein gänzliches Unterbinden der Nutzung vor dem Management und den Arbeitnehmern zu rechtfertigen. Anstelle einer vollumfänglichen Einschränkung kann versucht werden klare Regeln für die sichere Nutzung zu definieren. Ein kleines Beispiel:

Cloud-Anbieter Prio
A-1 Nur vertrauenswürdige Cloud-Anbieter nutzen 2
A-2 Nur inländische Cloud-Anbieter/-Lokationen nutzen 2
A-3 Keine Zugriffe externer Dienste auf die Cloud 1
Datenklassifizierung Prio
D-1 Nur mobil erforderliche Daten in der Cloud ablegen 1
D-2 Keine Kundendaten in der Cloud ablegen 1
D-3 Keine geheimen Daten in der Cloud ablegen 1
D-4 Keine sensitiven Daten in der Cloud ablegen 2
D-5 Kundenidentifizierende Daten anonymisiert in der Cloud ablegen (Codenamen) 2
D-6 Sensitive Daten nur verschlüsselt in der Cloud ablegen 2
D-7 Verschlüsselte Daten in der Cloud mit mindestens AES256 ablegen 3
Zugriffsschutz Prio
Z-1 Einsatz eines sicheren Passworts (mind. 6 Zeichen, Gross-/Kleinschreibung, etc.) 1
Z-2 Regelmässiges Ändern des Passworts (z.B. alle 90 Tage) 2
Z-3 Zugriffe nur über gesicherte Endpunkte (z.B. nur Firmenlaptop, kein Internet-Café) 2
Z-4 Zugriffe nur über verschlüsselte Kanäle (z.B. HTTPS/SSL, VPN/IPsec) 1
Verwaltung Prio
V-1 Löschen nicht mehr benötigter Daten in der Cloud 2
V-2 Löschen nicht mehr benötigter Cloud-Konten 3

Ähnlich wie bei der Nutzung von Sozialen Netzwerken wird mit dem Auslassen eines absoluten Verbots verhindert, dass sich die Anwender um eine Überwindung dessen bemühen. Können sie dies nicht tun, stellt sich irgendwann Frustration und Neid gegenüber anderen, die diese neuen Dienste nutzen können, ein. Ein frustrierter Mitarbeiter ist langfristig auf allen Ebenen die grösste Gefahr für ein Unternehmen.

Mit dem Definieren klarer Richtlinien kann stattdessen der richtige und sichere Umgang mit den neuen Möglichkeiten beigebracht und durchgesetzt werden. Die Mündigkeit der Benutzer wird so gewahrt und ihnen damit einen grossen Teil der erforderlichen Wertschätzung zugetragen. Gleichzeitig kann man damit Missverständnissen und Leichtsinnigkeiten, die zu Sicherheitsproblemen führen können, vorbeugen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv