Konkrete Massnahmen in der Datencloud

Konkrete Massnahmen in der Datencloud

Marc Ruef
by Marc Ruef
time to read: 7 minutes

Wir haben im scip IT Security Forecast für das Jahr 2010 festgehalten, dass die kommenden Jahre

(…) voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen [werden].

Diese Voraussage ist ungebrochen eingetroffen und so haben wir zum Thema eine Reihe von Publikationen veröffentlicht und Vorträge gehalten.

Im Rahmen dieser Tätigkeiten, fortwährender Gespräche und jeweiligen Kundenprojekte tat sich immerwieder die Schwierigkeit auf, das Thema Cloud-Security als solches überhaupt greifbar zu machen:

Cloud Computing als solches vereinheitlicht verschiedene – teilweise altbekannte – Mechanismen und Technologien. Eine besonders populäre Art des Vertriebsmodell im Cloud Computing ist die Datencloud (Cloud Storage). Bei diesem speziellen Software as a Service (SaaS) handelt es sich um einen Dienst, der die zentralisierte, automatisierte und transparente Bereitstellung und Aktualisierung von Daten erlaubt. Bekannte Dienste dieser Art sind beispielsweise:

Ein wichtiger Aspekt solcher Storage-Dienste in der Cloud ist, dass sie von verschiedenen Plattformen nutzbar sind. So existieren in der Regel Zugriffsmöglichkeiten über einen Webbrowser sowie Clients für unterschiedliche Betriebssysteme und mobile Geräte (Mobiltelefone, Tablets).

Für den Datenaustausch kommen oftmals klassische Kanäle, wie zum Beispiel Web (HTTP/HTTPS) zum Tragen. Umso schwieriger wird es deshalb, die Nutzungsmöglichkeit solcher Dienste im geschäftlichen Umfeld auf technischer Ebene überwachen und einschränken zu können.

In so manchen Fällen macht der Einsatz solcher Dienste Sinn. Und umso schwieriger wird es oftmals ein gänzliches Unterbinden der Nutzung vor dem Management und den Arbeitnehmern zu rechtfertigen. Anstelle einer vollumfänglichen Einschränkung kann versucht werden klare Regeln für die sichere Nutzung zu definieren. Ein kleines Beispiel:

Cloud-Anbieter Prio
A-1 Nur vertrauenswürdige Cloud-Anbieter nutzen 2
A-2 Nur inländische Cloud-Anbieter/-Lokationen nutzen 2
A-3 Keine Zugriffe externer Dienste auf die Cloud 1
Datenklassifizierung Prio
D-1 Nur mobil erforderliche Daten in der Cloud ablegen 1
D-2 Keine Kundendaten in der Cloud ablegen 1
D-3 Keine geheimen Daten in der Cloud ablegen 1
D-4 Keine sensitiven Daten in der Cloud ablegen 2
D-5 Kundenidentifizierende Daten anonymisiert in der Cloud ablegen (Codenamen) 2
D-6 Sensitive Daten nur verschlüsselt in der Cloud ablegen 2
D-7 Verschlüsselte Daten in der Cloud mit mindestens AES256 ablegen 3
Zugriffsschutz Prio
Z-1 Einsatz eines sicheren Passworts (mind. 6 Zeichen, Gross-/Kleinschreibung, etc.) 1
Z-2 Regelmässiges Ändern des Passworts (z.B. alle 90 Tage) 2
Z-3 Zugriffe nur über gesicherte Endpunkte (z.B. nur Firmenlaptop, kein Internet-Café) 2
Z-4 Zugriffe nur über verschlüsselte Kanäle (z.B. HTTPS/SSL, VPN/IPsec) 1
Verwaltung Prio
V-1 Löschen nicht mehr benötigter Daten in der Cloud 2
V-2 Löschen nicht mehr benötigter Cloud-Konten 3

Ähnlich wie bei der Nutzung von Sozialen Netzwerken wird mit dem Auslassen eines absoluten Verbots verhindert, dass sich die Anwender um eine Überwindung dessen bemühen. Können sie dies nicht tun, stellt sich irgendwann Frustration und Neid gegenüber anderen, die diese neuen Dienste nutzen können, ein. Ein frustrierter Mitarbeiter ist langfristig auf allen Ebenen die grösste Gefahr für ein Unternehmen.

Mit dem Definieren klarer Richtlinien kann stattdessen der richtige und sichere Umgang mit den neuen Möglichkeiten beigebracht und durchgesetzt werden. Die Mündigkeit der Benutzer wird so gewahrt und ihnen damit einen grossen Teil der erforderlichen Wertschätzung zugetragen. Gleichzeitig kann man damit Missverständnissen und Leichtsinnigkeiten, die zu Sicherheitsproblemen führen können, vorbeugen.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You need support in such a project?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here