“Gefühlter Kontrollverlust” behindert Cloud


Marcus Rubenschuh, Bild: Deutsche Post

In seiner Keynote am ersten Tag der Veranstaltung betonte Marcus Rubenschuh, Vice President IT Security & Compliance und Chief Information Security (CISO) bei der Deutschen Post AG BRIEF, dass die Effizienzsteigerungen, die sich aus der Mehrfachnutzung von IT-Geräten als einem der wesentlichem Charakteristika der Cloud ergeben, gleichzeitig viele neue technische Herausforderungen enthalten. Wenn Cloud Computing nicht richtig durchdacht und vorbereitet werde, komme es deshalb oft vor, dass der “gefühlte Kontrollverlust verhindere, dass eine effiziente Cloud-Anwendung überhaupt ausgerollt” werde, resümiert Rubenschuh seine diesbezüglichen Erfahrungen als Berater und CISO. Speziell die Sicherheitsmaßnahmen würden bei Cloud Computing noch einmal deutlich steigen, erklärte er in Stuttgart, da ja wertvolle Daten außer Hand gegeben würden und machte deutlich: “Die Verantwortung für die Daten liegt auch bei Cloud Computing bei den Daten-Eignern, mit Cloud Computing hat sich ja nicht die Art der Maschine geändert, sondern nur der Ort der Verarbeitung der Daten.”

Sicherheitsrahmenkonzept für die Cloud

Mit der Verlagerung der Daten und deren Verarbeitung auf den Rechenzentren eines Dienstleisters wandern die vielfältigen Verpflichtungen der Dateneigner an die Integrität der Daten natürlich nicht mit den Daten zusammen in die “Wolke”, sondern bleiben ganz klar auf der Erde. “Für die Sicherheitsverantwortlichen in den Unternehmen und in den Organisationen wachsen damit noch einmal die Aufgaben”, führte Rubenschuh auf der Veranstaltung aus.

Neben der Analyse neuer Technologien müssten sie sich in Zeiten der Cloud auch um die Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regelungen (Compliance), um Datenschutz und um das Risikomanagement kümmern. Um hierbei auf sicherem Grund zu planen und zu bauen und um das oben erwähnte Gefühl des Kontrollverlusts zu mindern, ist nach den Erfahrungen von Rubenschuh bei der Deutschen Post AG BRIEF ein Sicherheitsrahmenkonzept für Cloud Computing notwendig.

Darunter versteht der IT-Sicherheitsverantwortliche eine Vorgehensweise, bei der die “Sicherheitseigenschaften eines Cloud-Angebots so beschrieben werden, dass es für den Kunden eindeutig klar wird, ob das Angebot für die gestellte Aufgabe geeignet ist”. Rubenschuh präsentierte in diesem Zusammenhang einen “Plattform-Kalkulator” in Excel-Form, dessen Vorgaben so präzise gefasst sind, dass zum Beispiel die Nicht-Eignung einer Aufgabe für die Verarbeitung in der Cloud “klar beziffert” werden könne.

Daten und Schlüssel müssen getrennt sein


Bild: Integralis

In der Keynote am zweiten Tag der Veranstaltung umriss Dr. Matthias Rosche, Director Consulting & Business Development Central Europe von Integralis, die Hauptaufgaben der IT-Sicherheit beim Cloud Computing. Diese liegen laut Rosche in den Bereichen Datenverschlüsselung bzw. sicheres Schlüssel-Management sowie sichere und gleichzeitig ökonomische Authentisierungsmechanismen. “Die Daten kommen bei Cloud Computing nun einmal in fremde Hände, sodass bei ihrer Verarbeitung die Mitarbeiter des jeweiligen Providers eine große Gefahrenquelle darstellen, trotz 4- oder 6-Augen-Prinzip und sonstigen Sicherheitsvorkehrungen”, erklärte Rosche. Er plädierte deshalb nicht nur für eine sichere Verschlüsselung der Daten, sondern darüber hinaus für ein Schlüsselmanagement, bei dem verschlüsselte Daten und die Schlüssel selbst streng getrennt aufbewahrt werden.

“Der Provider darf unter keinen Umständen einen Zugang zu den Schlüsseln haben”, erklärte der Integralis Consulting-Boss kategorisch. Das Schlüsselmanagement müsse entweder auf einem Key Management Server, der beim Dateneigner steht, betrieben werden oder es könne auch bei einem Dienstleister wie Integralis liegen. Lösungen für derartige sichere Schlüsselverwaltungen gebe es beispielsweise von Trend Micro oder SafeNet. Integralis selbst evaluiert derzeit die Möglichkeit eine Tick-Box Lösung in Zusammenarbeit mit den Cloud Services seines Mutterhauses NTT.

Vorsorge für den totalen Datenverlust

Ganz wesentlich für eine erfolgreiche und kosteneffiziente Cloud-Computing-Lösung ist auch die Implementierung eines Authentisierungsmechanismus, der für eine Vielzahl von Anwendungen verwendet werden kann. “Es ist völlig unökonomisch, für jede Anwendung eine eigene Authentisierungslösung zu bauen”, sagte Rosche und fuhr fort: “Auf der Basis des XML-Frameworks Security Assertion Markup Language, kurz SAML, lässt sich ein Proxy erstellen, mit dem sich mit Hilfe einer eigenen Datenbank dann eine Vielzahl von Anwendungen authentisieren lässt.”

Ein sicheres Schlüsselmanagement und praktikable Authentisierungsmechanismen sind für Cloud Computing absolut notwendig. Wichtig ist aber auch noch ein dritter Punkt, und zwar die Sicherung der Daten als solche. “Daten bei Providern sind zwar in der Regel mehrfach gesichert, aber sie sind nicht bombensicher”, bringt es der Integralis Consulting-Boss auf den Punkt und empfiehlt, sich über Sicherungsmechanismen im eigenen Unternehmen Gedanken zu machen, denn einen “Totalverlust der Daten beim Provider ist zwar sehr selten, aber dennoch möglich, und ein solcher Vorfall ist in keinem Service Level Agreement vorgesehen”.

Silicon-Redaktion

View Comments

  • Securing the Cloud?
    Die Wolke kann man nicht sicher machen. Habt ihr das noch immer nicht begriffen? Jeder der etwas anderes glaubt ist ein gefährlicher Idealist, der die Warheit nicht zur Kenntnis nimmt.
    Wacht doch mal auf! Jeden Tag lesen wir, dass grosse Unternehmen (z.B. Sony), der CIA, oder Kreditkartenabrechner gehackt wurden.
    Und das wird noch schlimmer, nicht besser!
    Und hört auf den Kaufleuten, die von diesen Dingen keine Ahnung haben, zu erzählen, dass sie in die Cloud müssen.
    Und wenn Ihr ihnen das unbedingt einreden müsst, dann seid bitte so ehrlich
    und erzählt ihnen, dass sie dann künftig auch keine teuren Schliessanlagen und Zutrittskontrollen mehr auf ihrem Firmengelände installieren lassen müssen. Die Firmendaten bekommt ja dann ohnehin jeder Konkurrent und sonstige Interessenten für wenig Geld über die Wolke.

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago