Cloud-Sicherheit: Diese Stolperfallen gilt es zu vermeiden

Die Cloud-Computing-Technologie entwickelt sich schnell zu einer attraktiven Alternative zum Betrieb von vor Ort installierten IT-Systemen und Anwendungen. Das interne Management und die Wartung von IT-Systemen im eigenen Haus sind teuer und ressourcenintensiv. Insbesondere kleine und mittelgroße Unternehmen profitieren von den Möglichkeiten der Cloud-Dienste. Durch diese erhalten sie Zugang zu mehr Rechenleistung und IT-Know-how als sie jemals mit ihren bescheidenen Budgets und eigenen Ressourcen anstreben könnten. Cloud Computing bietet auch großen Unternehmen die Möglichkeit, von Effizienzsteigerungen zu profitieren. Diese resultieren aus Skaleneffekten aufgrund der hohen Datenvolumen, die durch die vielen verschiedenen von ihnen verwendeten Geräte, Betriebssysteme und Anwendungen produziert werden.

Die Daten in der Cloud sind in gewisser Hinsicht abgesichert. Indem es die Verantwortung für das tägliche Datenmanagement an einen Cloud-Dienstleister (Cloud-Service-Provider (CSP)) abgibt, kann ein Unternehmen sich voll und ganz auf seine wesentlichen Aufgaben konzentrieren. Um technische Belange kümmern sich unterdessen Teams von IT- und Datensicherheitsspezialisten rund um die Uhr. Die Speicherung von Daten über das Internet in einem fremden Rechenzentrum anstatt in hausinternen IT-Systemen kann auch von Vorteil sein, insbesondere für ein kleines Unternehmen. Für Diebe und Hacker ergeben sich wesentlich weniger Gelegenheiten zum Stehlen wertvoller Informationen, wenn die Systeme vor Ort auf dem Firmengelände auf ein Minimum begrenzt werden. Dennoch sollte jeder, der auf die Daten in der Cloud zugreift, ein Virtual Private Network (VPN) verwenden.

Geht es um die Sicherheit, so unterscheidet sich Cloud Computing nicht von anderen Arten von Computerumgebungen. Cloud Computing ist anfällig für eine Fülle von Bedrohungen wie beispielsweise:

• Bösartige Angriffe von außen – Datenverstöße, Konto-Hijacking und Denial-of-Service-Angriffe (DoS-Attacken) können bei Cloud-Computing-Diensten ebenfalls vorkommen. Deren Verwendung externer Computer zur Ausführung von parallelen Aufgaben macht sie für eine bösartige Infiltration an verschiedenen Punkten anfällig; insbesondere, wenn es Hackern gelingt, durch Phishing oder andere Social-Engineering-Techniken zur Übernahme der Kontrolle über ein Nutzerkonto in den Besitz der Zugangsdaten zu gelangen.
• Interne Bedrohungen und Hardwarefehler – Unzufriedene Mitarbeiter oder Leichtsinnsfehler können ebenso zu Datenverlusten führen wie ein Hardwareausfall.
• Unsichere APIs – Programmierschnittstellen (Application Programming Interfaces (APIs)), die für Systemintegratoren und Entwickler verfügbar gemacht werden, um sie beim Erbringen ihrer Dienstleistungen zu unterstützen, sind potentiell von überall aus dem Internet zugänglich. Werden sie nicht sachgerecht gesichert, könnten sie Angreifern die Programmierung einer eigenen Anwendung zur Manipulation von Kundendaten ermöglichen.
• Serviceunterbrechungen – Ein großer Vorteil des Cloud Computing ist die Zusicherung einer kontinuierlichen Verfügbarkeit der Dienste und Anwendungen. Jedoch kann es, wenngleich selten, auch zu Ausfällen kommen. Folglich müssen die Kunden für solche Fälle einen Notfallplan zur Aufrechterhaltung des normalen Geschäftsbetriebs vorhalten.
• Mangelnde Sorgfalt – Versäumt der Kunde, von vornherein die richtigen Fragen zu stellen, kann dies zu einer Diskrepanz zwischen den Leistungen, die er glaubt zu bekommen und denen, die der CSP tatsächlich zu liefern bereit ist, führen.

Cloud-Dienstleister sind IT-Spezialisten und verfügen über die notwendigen Fähigkeiten und Ressourcen zum Aufspüren aller obengenannter Probleme. Somit können sie verhindern, dass diese Probleme sich auf den normalen Unternehmensbetrieb beim Kunden auswirken. Allerdings gibt es noch einige zusätzliche Vorsichtsmaßnahmen, die Cloud-Service-Kunden zur weiteren Risikominimierung ergreifen sollten. Dazu gehören:

• Verbot von Account-Sharing – Implementieren Sie eine Richtlinie, die Nutzern die Weitergabe der Kontozugangsdaten untereinander oder an Lieferanten verbietet. Setzen Sie zur Ergänzung die Zwei-Faktor-Authentisierung ein.
• Verwendung von Single Sign-on (SSO) – Dies stellt eine effiziente Möglichkeit zur Verwaltung Hunderter von Nutzerkonten dar. Bei dieser Lösung werden Zugangsprivilegien automatisch hinfällig, wenn jemand das Unternehmen verlässt. Zudem wird Nutzern dabei erspart, dass sie sich viele unterschiedliche Passwörter für den Zugriff auf verschiedene Anwendungen oder Dienste merken müssen.
• Hausinterne Betriebssysteme und Anwendungen auf dem neuesten Stand halten – Nicht mehr unterstützte Software, wie Windows XP, oder veraltete Browser, wie Internet Explorer 7, verfügen über bekannte Sicherheitsschwachstellen, die eine Herausforderung für den Support darstellen.
• Beauftragung eines IT-Auditors – Arbeiten Sie mit einem externen IT-Berater zusammen, um die Systeme regelmäßig zu analysieren und sicherzustellen, dass die Cloud-Sicherheit den Branchenstandards entspricht.
• Auswahl des CSP mit der gebührenden Sorgfalt – Prüfen Sie die Erfahrungen und Referenzen des CSP in puncto Sicherheit. Informieren Sie sich über bekannte Sicherheitsschwachstellen und stellen Sie sicher, dass der Service-Vertrag alle wesentlichen Eventualitäten abdeckt.
• Implementierung eines Virtual Private Network (VPN) mit End-to-End-Verschlüsselung – Zur Minimierung von Risiken sollten die Daten vor dem Upload, während der Übertragung und bei der Speicherung verschlüsselt werden.

Unternehmen dürfen nicht darauf bauen, dass Cloud-Dienstleister die Datenkommunikation sichern. Die Mehrheit der CSP vertreten die Ansicht, dass die Nutzer für den sicheren Remote Access zu Cloud-Inhalten verantwortlich sind. Der einfachste Weg zur Sicherung des Zugriffs auf Cloud-Daten ist die Verwendung eines Location-to-Location-VPN-Tunnels. Diese Art der VPN-Lösung muss für Nutzer zum Aufbau von Verbindungen flexibel sein und IPsec und SSL unterstützen. Außerdem sollte sie Seamless Roaming zwischen unterschiedlichen Medien für die Kommunikationsübertragung, beispielsweise Datennetze und WLAN, ermöglichen. Eine ganzheitliche VPN-Lösung ermöglicht IT-Administratoren ein zentrales Management sämtlicher Clients und Komponenten der VPN-Infrastruktur. Alternativ bieten CSP VPN-as-a-Service (VPNaaS) an und machen somit das Management von Remote Access-Verbindungen noch einfacher, ohne dabei die Sicherheit zu gefährden.

Alles in allem ist es ein häufiger Fehler zu glauben, dass Cloud Computing sich von den vor Ort installierten Systemen unterscheidet, nur weil die Verantwortung für die alltägliche Datenkommunikation ausgelagert wird. Dies darf man wirklich niemals annehmen. Die meisten Cloud-Dienstleister haben in ihren Dienstleistungsvereinbarungen (Service-Level-Agreements (SLA)) einen Haftungsausschluss, gemäß dem der Nutzer in vollem Umfang für die Sicherheit seiner Daten verantwortlich ist. Aus diesem Grund sollte der Austausch wertvoller Daten niemals offen oder in Klartext erfolgen, sondern über ein VPN verschlüsselt werden.