Die ungebremste Zunahme von Daten und Informationen mobilisiert den Cloud-Markt, Rechenzentren schiessen wie Pilze aus dem Boden – aber auch ganz neue Services entstehen: Mit seinem "Snowmobile" befördert der Online-Riese Amazon seit kurzem riesige Datenbestände seiner Kunden in Exabyte-Grössenordnung per LKW aus dem Unternehmensrechenzentrum in die AWS-Cloud. Und im Fashionstore Zalando werden unter Einsatz enormer Cloud-Rechenleistung und -Speicherplatz Modetrends und Kundenverhalten mittels "Deep Learning" analysiert.
Die Cloud ist eine Spielwiese für Innovationen und Wachstum: sie soll die Geschwindigkeit und Agilität der Unternehmensprozesse steigern, Kosten reduzieren oder die digitale Transformation unterstützen. Kein Wunder also, dass mittlerweile fast jedes Unternehmen Anwendungen, Infrastruktur oder auch Security-Lösungen aus der Cloud bezieht. Einige unter ihnen verfolgen sogar eine First-Cloud-Strategie und prüfen vor jeder neuen Investition in die IT-Infrastruktur immer erst die Einsatzmöglichkeiten von Cloud-Angeboten. Der wirtschaftliche Druck ist offensichtlich sehr hoch, was aber ist mit den alten Bedenken in Zusammenhang mit Datenschutz, Kontrolle und Speicherort der Daten? Ist die steigende Nutzung auch ein Zeichen wachsenden Vertrauens? Schliesslich ist Cloud Computing keine brandneue Technologie mehr.
Die führenden Anbieter von Cloud-Services haben viel in ihre Sicherheitsinfrastrukturen investiert. Behörden, wie die amerikanische Standardbehörde NIST oder das Bundesamt für Informationssicherheit in Deutschland haben Mindestanforderungen und Sicherheitsempfehlungen für Cloud Computing-Anbieter formuliert. Und auch bei den Cloud-Nutzern spielt das Thema Sicherheit eine ganz neue Rolle.
Auch viele Unternehmen haben bereits beträchtliche Summen für IT-Sicherheit und Compliance ausgegeben und die Sicherheitsempfehlungen für die Cloud-Umgebung können, trotz besonderer Anforderungen, nicht mehr einfach isoliert betrachtet werden. Im Netzwerk gehören die Unterteilung kritischer Anwendungen oder vertraulicher Daten und die Partitionierung von Geräten zu den fundamentalen Security-Massnahmen. Die Einhaltung geltender Sicherheitsrichtlinien wird mit Firewalls oder Identitäts- und Zugriffskontrollen durchgesetzt. Virtualisierung und Cloud-Computing beruhen hingegen auf dem Prinzip der "Shared Ressources", der gemeinsamen Nutzung von Infrastrukturen, Plattformen oder Anwendungen, was die Durchsetzbarkeit des Zero Trust-Prinzips erschwert. Werden Daten zentralisiert, um Leistung und Effizienz zu steigern, hat das immer Auswirkungen auf die IT-Sicherheit. Für solche Daten sollten also eigene Schutzmassnahmen angewendet und spezielle Sicherheitslösungen eingesetzt werden.
Risikobasierte Entscheidungen
Das Risikomanagement ist für viele Unternehmen sogar gesetzlich vorgeschrieben und sollte in jedem Unternehmen ein kontinuierlicher Prozess sein. Mit der wachsenden Zahl an Cloud-Anbietern und Cloud-Nutzern müssen sich Unternehmen zwangsläufig mit Cloud-spezifischen Risiken und damit verbundenen Sicherheitsmassnahmen auseinandersetzen. Die Risikotoleranz des Unternehmens richtig einzuschätzen ist ein wesentlicher Punkt vor der Einführung einer Cloud-Lösung.
Prinzipiell ist die Cloud nicht automatisch unsicherer als die intern betriebene Unternehmens-IT, vorausgesetzt, Unternehmen achten bereits bei der Suche nach der richtigen Cloud-Lösung auf Datenschutz und IT-Sicherheit. Kein Pharmakonzern will seine Medikament-Rezepturen, kein Uhrenhersteller seine Konstruktionspläne und kein Finanzinstitut seine Investmentstrategien in der Public Cloud eines amerikanischen oder chinesischen Providers sehen. Anders ist das bei anonymisierten Testdaten, unverfänglichen Sensoren-Meldungen oder für jedermann zugänglichen Informationen aus sozialen Netzwerken. Sensible Daten sollten grundsätzlich unter eigener Kontrolle bleiben, um Datenschutz und -sicherheit jederzeit gewährleisten und nachweisen zu können. Wenn die Daten, zum Beispiel aufgrund strenger Auflagen hinsichtlich Datenverarbeitung, Regulierung oder Kontrolle, nicht ausgelagert werden dürfen oder sollen, man aber auf die Vorteile der Cloud, wie Flexibilität, Skalierbarkeit und Effizienz nicht verzichten will, kann eine Private Cloud die ideale Lösung sein.
Entscheidet ein Unternehmen sich für die Zusammenarbeit mit einem Cloud Service Provider (CSP), muss es wissen, wo sich die Daten befinden und ob deren Schutzstatus die eigenen Sicherheitsstandards erfüllt, ob also die angebotenen Sicherheitsmassnahmen des Cloud Providers die eigenen geschäftlichen Risiken abdecken oder ob zusätzliche Sicherheitsmassnahmen entweder durch den Anbieter oder Ihr Unternehmen zu implementieren sind. Für eine Sicherheitsanalyse des Dienstleisters empfiehlt sich die Überprüfung folgender Aspekte:
Governance
Es ist Aufgabe der Information Security Governance, im Rahmen der IT-Steuerung nicht nur die Verlässlichkeit der Informationstechnik unter Berücksichtigung der Vorgaben aus dem Information Security Management, Disaster Recovery Management und Business Continuity Management sicherzustellen, sondern eben auch deren Beherrschbarkeit, was bei steigendem Kostendruck, zunehmend heterogenen Systemlandschaften, höherer Komplexität sowie immer stärkerem Wettbewerbsdruck eine grosse Herausforderung ist. Nur mit einem professionellen Rahmenwerk zur Steuerung der IT-Sicherheit mit entsprechenden Richtlinien, Policies und Prozessen kann ein Unternehmen Sicherheitsrisiken richtig managen bzw. kontrollieren – das gilt natürlich auch für Cloud-Risiken und betrifft Cloud-Nutzer genauso wie Cloud-Anbieter, denn beide müssen Informationssicherheit während des gesamten Service-Lebenszyklus gewährleisten. Ohne ein solches Rahmenwerk können weder Unternehmen noch CSPs zweifelsfrei definieren, welche Sicherheitsmassnahmen zur Eindämmung der Risiken erforderlich sind, die sich durch die Migration von Infrastruktur, Anwendungen oder Daten in die Cloud ergeben.
Datenschutz
Die Datensicherheit ist in der Cloud, vor allem in einer Public- oder Hybrid- Cloud wesentlich schwieriger zu gewährleisten als in einer On-Premise-Umgebung oder einer Private-Cloud. Die grösste Herausforderung ist der Verlust der Kontrolle über die Unternehmensdaten und damit verbunden die Abhängigkeit vom Cloud-Anbieter. Der Datenschutz spielt für die Wahl der Cloud-Lösung bzw. des Cloud-Anbieters eine zentrale Rolle. Mit der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) gelten neue und verschärfte Anforderungen und zusätzliche Sicherheitsmassnahmen sind erforderlich, wenn vertrauliche Unternehmensdaten in der Cloud gespeichert werden sollen. Zu erwähnen sind hier spezielle Vorgaben hinsichtlich Datenhoheit und Speicherort der Daten, Datenverschlüsselung, Zwei-Faktor-Authentifizierung oder zum Schutz privilegierter Konten.
Compliance
Bevor Unternehmen in die Cloud gehen, müssen die eigenen Compliance-Regeln definiert und die nationalen, regionalen und branchenspezifischen Normen für die Erfassung und Nutzung personenbezogener Daten bekannt sein. Voraussetzung hierfür ist die Kategorisierung der Daten nach ihrer Bedeutung: Welche Daten sind nicht-kritisch, welche sind sensibel oder wichtig, welche beeinflussen die Business Performance, welche sind als kritisch einzuordnen und welche Compliance-Anforderungen lassen sich daraus ableiten? Die Antwort fällt je nach Branche unterschiedlich aus, so gelten zum Beispiel für Branchenvertreter aus Gesundheits- oder Finanzwesen besondere gesetzliche oder auch unternehmensinterne Vorgaben.
Alle rechtlichen, regulativen und gesetzlich vorgeschriebenen Anforderungen, so auch die der neuen EU-DSGVO zum Schutz personenbezogener Daten, sind durch den Cloud-Anbieter zu erfüllen und für den jeweiligen Cloud-Dienst zu identifizieren, zu dokumentieren und regelmässig zu aktualisieren. Damit werden Cloud Service Provider und andere Auftragsverarbeiter stärker in die Pflicht genommen, was aber nicht heisst, dass sie die alleinige Verantwortung übernehmen. Die neue DSGVO verlangt, dass der Cloud-Nutzer nur mit Cloud-Anbietern zusammenarbeitet, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet". Unter "hinreichenden Garantien" versteht der Gesetzgeber zum Beispiel genehmigte Verhaltensregeln oder Datenschutz-Zertifizierungsverfahren. Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) ist nur ein solcher Prüfstandard, der gerade für die Zertifizierung nach der neuen EU-DSGVO weiterentwickelt wird.
Mandantenfähigkeit
Der Cloud-Ansatz, IT-Ressourcen im Internet gemeinsam zu nutzen und sich die Kosten zu teilen, ist aus wirtschaftlicher Sicht natürlich sehr interessant. Werden die Clouds aber von mehreren Unternehmen gemeinsam genutzt, steigt das Risiko unbefugter Datenzugriffe: Neben Datendieben könnte bei mangelnden oder fehlenden technischen Sicherheitsvorkehrungen auch jeder Cloud-Mitnutzer Zugang zu den Daten erhalten. Bei solchen Public Clouds müssen darum besondere Anforderungen des Datenschutzes an die Mandantenfähigkeit berücksichtigt werden.
Technisch spricht man von der Abgeschlossenheit des Mandanten, von getrennten Speicherbereichen für die personenbezogenen Daten und einer jeweils voneinander unabhängigen Datenverarbeitung und Datenübermittlung. Es kann nicht sein, dass ein Cloud-Nutzer auf die Daten eines anderen Cloud-Nutzers lesenden oder schreibenden Zugriff hat. Ein fein gegliedertes Berechtigungssystem für Cloud-Nutzer und -Anwendungen ist Teil der Lösung. Auch wichtig: die exakte Zuordnung der Daten zu den einzelnen Mandanten durch Kennzeichnung in den Metadaten. Ein weiteres Muss ist eine jeweils getrennte Verschlüsselung, wobei die Schlüssel weder für den Cloud-Betreiber noch für andere Cloud-Anwender zugänglich sein dürfen.
Management von Sicherheitsvorfällen
Schwachstellen oder Sicherheitslücken in der Cloud können für das verantwortliche Unternehmen erhebliche negati-ve Folgen haben. Angesichts der vielen bekannt gewordenen Sicherheitsvorfälle in den letzten Monaten und Jahren ist nicht mehr die Frage, ob es passiert, sondern wann und vor allem, wie gut man darauf vorbereitet ist. Jedes Unter-nehmen braucht einen Plan für die rasche und effektive Reaktion auf Vorfälle. Nicht definierte Rollen, Verantwort-lichkeiten und Zuständigkeiten oder ungeschultes Personal führen im Notfall zu einem Chaos.
Ein Incident Response Plan an sich ist schon eine grosse Herausforderung für Unternehmen. Mit der Erweiterung des Notfall-Managements auf möglichst alle Cloud-Dienste, ist die Aufgabe noch komplexer. Grössere Cloud-Anbieter haben üblicherweise ein eigenes Incident Response-Team, kleinere Cloud Software-Lösungen eher nicht. Ein im Service Level Agreement (SLA) vereinbarter Incident Response Plan definiert genau, wie sich die Verantwor-tung bei einem Cloud-Sicherheitsvorfall aufteilt und es ist schriftlich dokumentiert, was wann wie zu passieren hat.
Beendigung des Service / Auflösung eines Cloud-Servicevertrags
Vor der Übertragung von Services oder Daten an einen CSP sollte man auch über die Auflösung eines Cloud Service-Vertrages nachdenken. Eine gute Exit-Strategie ist entscheidend in diversen Sicherheitsszenarien, zum Beispiel bei Konkurs des Cloud Providers. Niemand will, dass es am Ende einer Cloud Service-Beziehung zu komplizierten Rechtsstreitigkeiten oder gar zum Schlimmsten, zur Unterbrechung des Geschäftsbetriebs, kommt. Folgende Fragen veranschaulichen die Problematik beispielhaft:
• In welcher Form wird die Aufbewahrung von Daten zu rechtlichen Zwecken oder als Beweismittel bei Anfragen von Ermittlungsbehörden sichergestellt?
• Wie und wann werden die Daten bei Vertragsbeendigung zurückgegeben?
• Wann nach Vertragsbeendigung werden die Daten durch den CSP gelöscht und wie wird sichergestellt, dass Daten nach Löschung durch den CSP nicht mehr wiederhergestellt werden können?
• Wie und in welcher Übergangsfrist muss der CSP nach Vertragsende unterstützen?
Das Risiko der Kündigung einer Cloud Service-Beziehung und der damit verbundenen Konsequenzen lässt sich einfach minimieren und zwar mit grösster Sorgfalt bei der Wahl einer Cloud-Lösung bzw. eines zukünftigen Cloud Service Providers. Cloud-Strategie, Sicherheitskonzept und Cloud-spezifische Sicherheitsrichtlinien müssen natürlich klar sein. Vom Cloud-Anbieter eine sichere, hoch-verfügbare Cloud zu fordern, ohne konkrete Anforderungen zu formulieren, kann nicht funktionieren. Der Weg in die Cloud muss vorausschauend geplant und die Daten sicher migriert werden – nur so erzielen Unternehmen den gewünschten Mehrwert ihrer Cloud-Initiativen und profitieren von den Vorteilen innovativer Cloud Computing-Entwicklungen.
Fazit: Wie keine andere Technologie wird die Cloud zum Treiber des digitalen Wandels. Täglich sorgen neue Cloud-Dienste dafür, dass die Daten-Wolke wächst. Machine Learning aus der Cloud oder auch Blockchain as a Service sind nur zwei der vielen Innovationen. Diskutierte man noch vor einiger Zeit viel über Sicherheitsvorbehalte, so überzeugt die Cloud heute regelrecht durch ihre Sicherheitsargumente. Die Cloud eröffnet Unternehmen eine riesige Palette neuer Möglichkeiten und niemand kann es sich leisten, diesen Trend zu verschlafen.
Der Autor
Tom Hager, Country Manager NTT Security (Switzerland) AG, T: +41 43 477 70 10,
www.nttsecurity.com/chWeitere Informationen
AWS Snowmobile – Verschieben Sie Datensätze im Exabyte-Bereich:
https://aws.amazon.com/de/snowmobile
(Quelle: NTT Security (Switzerland) AG)