Überall verfügbar, doch nicht für jeden einsehbar: Sicherheitsaspekte beim Cloud-Computing.

Unter Verschluss gehalten

Autor: Nadine Kampen, Informationssicherheitsbeauftragte, Fact Informationssysteme & Consulting

Cloud-Computing, das heißt per Definition: Wertvolle Datenbestände, die auf entfernten Servern lagern, Cloud-Anwendungen, die über den Webbrowser von überall her angesprochen werden können und massenhaft Daten, die durch das öffentliche Internet fließen – das alles ruft geradezu nach ausgeklügelten Datenschutzmechanismen.

Wahrscheinlich wäre das Cloud-Computing niemals so erfolgreich geworden, hätte man nicht frühzeitig Antworten auf diese Herausforderungen entwickelt. Tatsächlich sind einige der namhaften Cloud-Anbieter heute auch die größten Arbeitgeber von Security-Experten weltweit. Und das nicht ohne Grund.

Entscheidend ist, dass der Datenschutz und die IT-Sicherheit beim Cloud-Computing auf allen Ebenen des Zugriffs konsequent umgesetzt werden. Dies beginnt bei der physischen Absicherung der Server, setzt sich in einem ausgeklügelten Rechtemanagement fort und mündet in der vollständigen Verschlüsselung aller Inhalte bei ihrem Transport vom Server zum Endgerät des Nutzers sowie auch generell bei der Speicherung. Doch auch der Mensch spielt eine wichtige Rolle.

Schutz der Server und Dateispeicher

Der Betrieb von Rechenzentren kann nach der anerkannten ISO-Norm 27001 zertifiziert werden. Diese sieht einen weitreichenden Schutz der verwalteten IT-Ressourcen vor. Das beinhaltet sowohl den physischen Schutz der Server-Räume gegen Einbruch und den Zugang durch Unberechtigte, als auch die Absicherung der IT-Systeme gegen Hacker und Einbruchsversuche über das Internet. Und das nicht einmalig, sondern als kontinuierliche, auditierte Maßnahme.

Ausgeklügelte Rechteverwaltung

Cloud-Lösungen sind angehalten, alle von ihnen bereitgestellten Funktionen an die Verfügbarkeit passender Zugriffsrechte zu binden. Es hat sich die Vorgehensweise bewährt, Nutzer frei definierbaren Gruppen zuzuordnen und deren Nutzungsrechte mit Hilfe von Gruppenrichtlinien feinmaschig einzustellen.

Dies setzt die korrekte Identifikation jedes Nutzers durch Anmeldung mit dem hinterlegten Passwort bzw. Sicherheitsschlüssel voraus. Aus Sicherheitsgründen sollte die Auswahl schwacher Passwörter unterbunden oder gleich mit einer Zwei-Faktor-Authentifizierung gearbeitet werden.

Dabei muss der Anwender jedes Login auf einem zweiten Weg bestätigen, beispielsweise indem ihm vom System ein zufälliger Sicherheitscode auf sein Mobilgerät gesandt wird, der zusätzlich einzugeben ist.

Oder es wird eine dezidierte Smartphone-App zur Bestätigung der Anmeldung genutzt oder spezielle Hardware, die im jeweiligen Endgerät eingesteckt sein muss, beispielsweise ein Sicherheitsschlüssel in Form eines USB-Sticks. Lösungen dafür sind vorhanden.

Transport-Verschlüsselung

Um die Interaktion zwischen dem Nutzer und der Cloud-Anwendung abzusichern, sollten alle Inhalte auf ihrem Weg zwischen dem Endgerät des Nutzers und dem Cloud-Server verschlüsselt übertragen werden. Dazu kann beispielsweise die etablierte SSL/TLS-Technik genutzt werden, die heute von allen Webbrowsern und Webservern unterstützt wird.

Dadurch können die Daten auf ihrem Weg weder mitgelesen, noch manipuliert werden. Man erkennt den Einsatz dieser Transportverschlüsselung bereits in der Adresszeile des Webbrowsers an der Anzeige von „HTTPS:“ vor der jeweiligen Internet-Adresse. Bei unverschlüsselten Verbindungen seht dort lediglich „HTTP:“. Dann sollte Vorsicht gewahrt werden.

Faktor Mensch

Bei allen technischen Maßnahmen darf der Faktor Mensch nicht unberücksichtigt bleiben. Nach Zahlen des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. von 2019 sind bei über 70 Prozent der Cyberangriffe E-Mails der Angriffsvektor.

Wenn Mitarbeiter per E-Mail oder in Chat-Systemen aufgefordert werden, einem Kollegen mal schnell mit ihrem Passwort auszuhelfen, sich wegen einer vermeintlichen Systemumstellung oder der dringenden Urlaubsplanung auf einer Website mit Namen und Passwort anzumelden, sollten alle Alarmglocken läuten.

Darüber hinaus gilt: Passwörter dürfen im Büro nicht offen liegen gelassen, USB-Sticks, die man scheinbar zufällig vor der Haustür oder im Parkhaus findet, nirgendwo eingesteckt werden.

Die Gefahren sind vielfältig und können nach meiner Erfahrung nur durch die Etablierung einer hierarchieübergreifenden Sicherheitskultur angegangen werden. Nutzer müssen für diese Gefahren sensibilisiert und regelmäßig geschult werden. Das ist der vielleicht wirksamste Schutz gegen Cyberkriminalität im Bereich des Cloud-Computings und darüber hinaus.

Lesen Sie auch:

  • Interview – Aleksandar Ivezić im Gespräch – „Zukünftig werden sich Kunden beim Disclosure Management auf Steuerungsaufgaben fokussieren.“

    Mehr
  • Das Auge isst mit – Information, Interaktion, Intuition: Mit Cloud-Technik zu modernen Benutzerschnittstellen.

    Mehr
  • Ab in den Container – Software als Stückgut: Wie Docker das Rechenzentrum revolutioniert.

    Mehr
  • Schnelle Resultate mit dem Fin RP Best-Practice-Toolkit – Warum bei null beginnen? Besser: eine schnelle Implementierung mit dem Best-Practice-Toolkit

    Mehr
  • Als die Apps laufen lernten – Eine geniale Idee und ihre Umsetzung: Die Bausteine des Cloud-Computings.

    Mehr
  • Der Geist einer neuen Zeit – Viel mehr als ein Modewort: Was sich hinter Cloud-Computing verbirgt.

    Mehr