Seit einigen Jahren denken viele Organisationen und Konsumenten darüber nach, wie sie die Cloud nutzbringend einsetzen können. Der globale Markt für Cloud Computing hat inzwischen ein Volumen von $ 95,8 Milliarden, und verfehlt damit die Prognose der International Data Corporation IDC nur knapp. Ihren Berechnungen zufolge wird der Markt 2015 um weitere 23,2 Prozent wachsen. Diese Entwicklung zeigt, dass viele Organisationen für einen Wechsel in die Wolke bereit sind. Nicht zuletzt, weil sich zahlreiche neue Möglichkeiten eröffnen, um Inhalte mühelos über alle Plattformen hinweg zu teilen, ohne von Beschränkungen des Speichers oder der Rechenleistung behindert zu werden.
Aber die Erfahrung zeigt, dass mit Chancen meist auch Risiken verbunden sind. Diese Risiken könnten für Unternehmen unangenehme Folgen haben – eine Marke in Verruf bringen oder die wirtschaftliche Zukunft einer Firma aufs Spiel setzen. Um solche Szenarien zu verhindern, haben Organisationen damit begonnen, Maßnahmen für mehr physische Sicherheit und mehr Schutz der Daten zu ergreifen. So soll das Vertrauen in die Technologie gestärkt werden.
Dennoch stellte sich heraus, dass die bis dato ergriffenen Datenschutzmaßnahmen nicht annähernd alle Wege, auf denen Daten 2014 “verloren” gingen, abdecken konnten, was für große Beunruhigung sorgte. Obwohl die Maßnahmen vieler Cloud-Anbieter und Online-Dienste sehr ausgefeilt sind, existieren immer noch Schlupflöcher:
• Cross-Site-Scripting (XSS): Diese Art von Angreifbarkeit der Computersicherheit findet man typischerweise in Webanwendungen. XXS ermöglicht es dem Angreifer, ein clientseitiges Skript in Webseiten, die von anderen Usern angesehen werden, einzuschleusen.
• Denial of Service (DoS): Der Versuch, einen Computer oder eine Netzwerkressource für die User nicht verfügbar zu machen. Obwohl die Vorgehensweisen, Motive und Ziele von DoS-Angriffen vielfältig sind, bestehen sie im Allgemeinen darin, dass Dienste eines mit dem Internet verbundenen Hosts vorübergehend oder dauerhaft unterbrochen oder ausgesetzt werden.
• Phishing: Eine klassische cyberkriminelle Vorgehensweise, bei der fingierte Nachrichten (E-Mails und Instant Messages) unter falschem Namen an User gesendet werden. Diese Methode, die Mitte der 90er-Jahre das erste Mal auftauchte, steckt noch heute hinter einigen der größten und katastrophalsten Angriffe.
4 Ansätze, wie sensible Daten in der Cloud geschützt werden können
Angesichts dieser grundlegenden Bedrohungen empfiehlt es sich Organisationen, unterschiedliche Methoden für die Sicherung ihres Geschäftsbetriebs in der Cloud zu implementieren. Dies sind vier allgemeine Möglichkeiten, sensible Daten vor zukünftigen Angriffen zu schützen:
1. Dezentralisierung: Ein Versuch, die Geschwindigkeit und Flexibilität durch Neustrukturierung der Netzwerke für mehr lokale Kontrolle und verbesserte Bereitstellung eines Diensts zu erhöhen. Sie dient auch dazu, den Schaden von Datenlecks in Grenzen zu halten, indem Daten auf unterschiedliche Netzwerke und Server verteilt werden.
2. Front Door: Stellen Sie sich Ihre Organisation als das Zuhause Ihrer Daten vor, dessen Haupteingang die Haustüre ist. Sorgen Sie dafür, dass ein solides Schloss installiert ist, indem Sie versehentliche Lecks (z. B. durch zu viele Berechtigungen für Anwender, zu einfache Passwörter oder deren unsachgemäße Aufbewahrung), Social Hacking und Passwort-Reset-Exploits verhindern. Organisieren Sie Sicherheits-Trainings für Ihre Angestellten, die z. B. die Erstellung von sicheren Passwörtern und deren korrekte Aufbewahrung aufzeigen.
3. Just-in-Time-Zugriff: Zugriff wird bedarfsorientiert und nur zu den Zeiten, in denen er tatsächlich benötigt wird, gewährt. Nachdem eine bestimmte Zeit verstrichen ist, wird dem User der Zugriff verweigert. Diese Art von Schutz ist besonders sinnvoll, wenn es sich um Leiharbeiter oder befristete Beschäftigungsverhältnisse handelt.
4. Rückverfolgbarkeit: Durch die Reproduktion und Abbildung von Ereignisketten anhand von Log-Informationen, die Handlungen, Datenübertragungen und Prozesse genauso wiedergeben, wie Informationen verwandter Systeme (z. B. Authentifizierungs- und Geräteverwaltungssysteme), können Bedenken bezüglich Transparenz ausgeräumt werden.
Organisationen können so den Datentransfer verfolgen und sicherstellen, dass keine Daten mit Entitäten außerhalb des Unternehmens geteilt oder von Mitarbeitern zu ungesetzmäßigen Zwecken verwendet werden.
Im Fokus der IPI, von AvePoint und auch ganz vorne in der öffentlichen Wahrnehmung steht dabei das umfangreiche Cloud-Produkt von Microsoft: Office 365. Natürlich weiß auch Microsoft um die Brisanz eines Datenlecks. Sollte dies bei Office 365 bekannt werden, so würden das Produkt sowie auch der Hersteller einen großen Imageschaden erleiden. Aus diesem Grund setzt Microsoft in und um seine Rechenzentren auf hohe Sicherheitsstandards, um das Vertrauen des Kunden zu erlangen und die Voraussetzungen der CSA (Cloud Security Alliance) zu erfüllen.
Die physischen Sicherheitsvorkehrungen in den Rechenzentren selbst sind auf einem sehr hohen Niveau:
– Bewaffnetes Personal an den Ein- und Ausfahrten mit Schranken.
– Zugang für Microsoft-Mitarbeiter wird maximal für 24 Stunden zu bestimmten Kundenanwendungen gewährt.
– Physischer Zugriff bringt mehrere Authentifizierungs- und Sicherheitsprozesse mit sich, wie Smart Cards, biometrische Scanner, kontinuierliche Videoüberwachung und Zwei-Faktor-Authentifizierung.
– Die Rechenzentren sind dauerhaft videoüberwacht und mit Bewegungssensoren ausgestattet.
– Im Falle einer Naturkatastrophe sind automatisierte Brandschutz- und Löschanlagen installiert. Je nach geografischer Lage sind die Racks seismisch verspannt.
Ebenso werden den Nutzern von Office 365 IT-Sicherheitsmaßnahmen angeboten oder bereits automatisiert eingesetzt:
1. Verschlüsselung
Daten in Office 365 sind dauerhaft verschlüsselt, egal ob sie gerade abgespeichert auf einer Festplatte liegen oder im Netzwerk transportiert werden. In OneDrive for Business und SharePoint Online werden durch Bitlocker Dateien „per-file“ verschlüsselt. Somit hat jede einzelne Datei einen eigenen Schlüssel und nicht wie im privaten Bereich einen Schlüssel pro Disk.
2. Multi Faktor Authentifizierung
Microsoft bietet die Möglichkeit der Mehrfachauthentifizierung an. Dabei wird nicht nur das bekannte Duo von Benutzername/Kennwort eingesetzt, sondern auch eine zweite Sicherheitsabfrage muss bewältigt werden.
– Ein Anruf auf eine Telefonnummer mit dem der LogIn per Tastendruck bestätigt wird.
– Eine Textnachricht mit einem Code der im Portal eingegeben werden muss.
– Eine Nachricht auf eine auf dem Smartphone installierte App um den LogIn zu bestätigen.
– Anzeige eines One-time Passworts in der App, die dann im Portal eingegeben werden muss.
3. Rights Management
Rights Management bietet Administratoren die Möglichkeit darüber zu entscheiden wie Informationen und Daten abgerufen und weiter verarbeitet werden können. Diese Technologie hilft dabei sensible Daten davor zu schützen, von unautorisierten Benutzern ausgedruckt, weitergeleitet oder kopiert zu werden.
4. Anti-Malware und Patches
Anti-Malware Software erkennt und verhindert Computerviren und Bedrohungen in den Servicesystemen. Es werden sowohl vorbeugende, als auch erkennende Maßnahmen angewendet. Updates, Hotfixes und Patches für Produktionsumgebungen werden von einem Review-Team überprüft und dem Change Advisory Board zugewiesen. Diese erstellen eine Anwendbarkeits-, Risiko- und Ressourcenanalyse, bevor Änderungen eingespielt werden.
Dies sind nur einige Punkte, die Microsoft bereithält und im Whitepaper für Security beschreibt. Bedenken sollte der Nutzer aber immer, dass nicht nur Microsoft, sondern auch der Kunde seinen Beitrag zur Datensicherheit beitragen muss. Die Datensicherheit fällt in eine geteilte Verantwortung des Hosters und des Nutzers. Sich bei der sicheren Aufbewahrung seiner sensiblen Daten alleine auf die Plattformen der verschiedenen Anbieter zu verlassen, ist nicht mehr zeitgemäß.
