Specific Criticism of CVSS4
Marc Ruef
Wir haben im scip IT Security Forecast für das Jahr 2010 festgehalten, dass die kommenden Jahre
(…) voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen [werden].
Diese Voraussage ist ungebrochen eingetroffen und so haben wir zum Thema eine Reihe von Publikationen veröffentlicht und Vorträge gehalten.
Im Rahmen dieser Tätigkeiten, fortwährender Gespräche und jeweiligen Kundenprojekte tat sich immerwieder die Schwierigkeit auf, das Thema Cloud-Security als solches überhaupt greifbar zu machen:
Cloud Computing als solches vereinheitlicht verschiedene – teilweise altbekannte – Mechanismen und Technologien. Eine besonders populäre Art des Vertriebsmodell im Cloud Computing ist die Datencloud (Cloud Storage). Bei diesem speziellen Software as a Service (SaaS) handelt es sich um einen Dienst, der die zentralisierte, automatisierte und transparente Bereitstellung und Aktualisierung von Daten erlaubt. Bekannte Dienste dieser Art sind beispielsweise:
Ein wichtiger Aspekt solcher Storage-Dienste in der Cloud ist, dass sie von verschiedenen Plattformen nutzbar sind. So existieren in der Regel Zugriffsmöglichkeiten über einen Webbrowser sowie Clients für unterschiedliche Betriebssysteme und mobile Geräte (Mobiltelefone, Tablets).
Für den Datenaustausch kommen oftmals klassische Kanäle, wie zum Beispiel Web (HTTP/HTTPS) zum Tragen. Umso schwieriger wird es deshalb, die Nutzungsmöglichkeit solcher Dienste im geschäftlichen Umfeld auf technischer Ebene überwachen und einschränken zu können.
In so manchen Fällen macht der Einsatz solcher Dienste Sinn. Und umso schwieriger wird es oftmals ein gänzliches Unterbinden der Nutzung vor dem Management und den Arbeitnehmern zu rechtfertigen. Anstelle einer vollumfänglichen Einschränkung kann versucht werden klare Regeln für die sichere Nutzung zu definieren. Ein kleines Beispiel:
Cloud-Anbieter | Prio | |
---|---|---|
A-1 | Nur vertrauenswürdige Cloud-Anbieter nutzen | 2 |
A-2 | Nur inländische Cloud-Anbieter/-Lokationen nutzen | 2 |
A-3 | Keine Zugriffe externer Dienste auf die Cloud | 1 |
Datenklassifizierung | Prio | |
D-1 | Nur mobil erforderliche Daten in der Cloud ablegen | 1 |
D-2 | Keine Kundendaten in der Cloud ablegen | 1 |
D-3 | Keine geheimen Daten in der Cloud ablegen | 1 |
D-4 | Keine sensitiven Daten in der Cloud ablegen | 2 |
D-5 | Kundenidentifizierende Daten anonymisiert in der Cloud ablegen (Codenamen) | 2 |
D-6 | Sensitive Daten nur verschlüsselt in der Cloud ablegen | 2 |
D-7 | Verschlüsselte Daten in der Cloud mit mindestens AES256 ablegen | 3 |
Zugriffsschutz | Prio | |
Z-1 | Einsatz eines sicheren Passworts (mind. 6 Zeichen, Gross-/Kleinschreibung, etc.) | 1 |
Z-2 | Regelmässiges Ändern des Passworts (z.B. alle 90 Tage) | 2 |
Z-3 | Zugriffe nur über gesicherte Endpunkte (z.B. nur Firmenlaptop, kein Internet-Café) | 2 |
Z-4 | Zugriffe nur über verschlüsselte Kanäle (z.B. HTTPS/SSL, VPN/IPsec) | 1 |
Verwaltung | Prio | |
V-1 | Löschen nicht mehr benötigter Daten in der Cloud | 2 |
V-2 | Löschen nicht mehr benötigter Cloud-Konten | 3 |
… |
Ähnlich wie bei der Nutzung von Sozialen Netzwerken wird mit dem Auslassen eines absoluten Verbots verhindert, dass sich die Anwender um eine Überwindung dessen bemühen. Können sie dies nicht tun, stellt sich irgendwann Frustration und Neid gegenüber anderen, die diese neuen Dienste nutzen können, ein. Ein frustrierter Mitarbeiter ist langfristig auf allen Ebenen die grösste Gefahr für ein Unternehmen.
Mit dem Definieren klarer Richtlinien kann stattdessen der richtige und sichere Umgang mit den neuen Möglichkeiten beigebracht und durchgesetzt werden. Die Mündigkeit der Benutzer wird so gewahrt und ihnen damit einen grossen Teil der erforderlichen Wertschätzung zugetragen. Gleichzeitig kann man damit Missverständnissen und Leichtsinnigkeiten, die zu Sicherheitsproblemen führen können, vorbeugen.
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!