Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Data-In-Motion: Schutz für virtuelle Welten voller Daten in Bewegung
IT-Abteilungen in Unternehmen plagen sich mit dem Management all der Daten, die sich mittlerweile in der Cloud befinden. Immer mehr Daten fließen ununterbrochen zwischen physischen Mobilgeräten sowie Geräten des Industrial Internet of Things (IIoT) und den virtuellen Datenspeichern in der Cloud hin und her.
Laut Aussage des Unternehmens Cisco befinden sich im Jahr 2017 69 % aller Applikationen in der Cloud. Ein Blick auf die vom Ponemon Institute im Jahr 2016 durchgeführte Studie zur Sicherheit von Cloud-Daten mit dem Titel „The 2016 Global Cloud Data Security Study“ zeigt, dass Unternehmen immer noch viel zu tun haben, was die Datensicherheit angeht.
Der Studie zufolge finden knapp die Hälfte (49 %) der im Unternehmen genutzten Cloud-Dienste außerhalb des Bereichs der Unternehmens-IT statt. Hingegen werden rund 47 % der in Cloud-Umgebungen gespeicherten Unternehmensdaten nicht von der IT-Abteilung verwaltet.
Cloud-Computing ist für Unternehmen attraktiv. Gründe dafür sind die Kostengünstigkeit und die Flexibilität, mit der Mitarbeitern und Kunden überall und jederzeit der Zugriff auf Informationen und Dienste ermöglicht wird. Die Sicherheitsherausforderungen können jedoch erheblich sein. So konnten Hacker zum Beispiel die bisweilen mangelhaften Cloud-Sicherheitspraktiken ausnutzen, um an Finanzinformationen von Kunden wie etwa Kreditkarteninformationen und Bankkontendaten zu gelangen. In einigen Fällen kaperten sie persönliche Daten, die in Social-Media-Konten gespeichert waren. Sie nutzten diese Daten, um sich zum Zweck des Betrugs für jemand anderen auszugeben.
Daten in der virtuellen Welt müssen noch nicht einmal unbedingt gestohlen werden, um ein Sicherheitsrisiko darzustellen. Man weiß, dass Cloud-Daten bereits von Insidern gelöscht beziehungsweise manipuliert worden sind – sei es absichtlich oder versehentlich. Manchmal gelingt es Cyberkriminellen, Malware zur heimlichen Überwachung von Datenverarbeitungsprozessen in das System einzuschleusen. Die Malware, sogenannte Advanced Persistent Threats (APTs), bleibt über einen langen Zeitraum unentdeckt und gefährdet die Daten in der Cloud. Handelt es sich bei der Malware um Ransomware, kann der Datenverlust endgültig sein.
Die Gefahren für Daten in der virtuellen Welt haben sich als allzu real erwiesen. Unternehmen in der Gesundheitsbranche speichern regelmäßig große Datenmengen in der Cloud. Sie zählen auch zu den beliebtesten Zielen von Cyberkriminellen. Beim Angriff auf eine Datenbank der Krankenversicherungsgesellschaft Anthem wurden im Jahr 2015 bis zu 80 Millionen Kundendaten exponiert. Berichten zufolge wurden in jenem Jahr die Patientenakten von jedem dritten Amerikaner gehackt.
Tatsächlich wird angenommen, dass unzureichende Sicherheitsvorkehrungen im Zusammenhang mit Cloud-Computing eine Rolle bei einigen der größten jemals verzeichneten Datenangriffe aller Zeiten gespielt haben: angefangen vom Angriff auf die Unternehmen Sony Pictures und Home Depot im Jahr 2014 bis hin zu den erst kürzlich erfolgten Angriffen auf LinkedIn und Yahoo.
Verständlicherweise tun die IT-Abteilungen der Unternehmen ihr Bestes, um sämtliche Daten so gut wie möglich zu schützen. Dies hat einige Unternehmen dazu gebracht, eine Insellösung nach der anderen zur Minimierung der Sicherheitsrisiken zu implementieren, wann immer neue Dienste oder Applikationen mit ihrem System verbunden werden.
Das Ergebnis ist mitunter verwirrend. Möglicherweise ist IT-Managern dadurch nicht klar, welche Daten durch welche Maßnahmen gesichert werden sollen. Geht es um den Datenschutz in der Cloud, so gilt: Wo Zweifel sind, sind auch Schwachstellen. Effektive Sicherheit für Cloud-Daten erfordert einen ganzheitlichen Ansatz und beruht auf der Erkenntnis, dass nicht alle Daten essentiell sind.
Stattdessen sollten Unternehmen ihre Daten in unterschiedliche Kategorien einteilen. Werden beispielsweise die Kreditkarteninformationen von Kunden als hochsensibel eingestuft, sollten sie multiplen Schutzschichten mit größtmöglicher Überwachung und Kontrolle unterworfen sein. Dasselbe gilt für alle anderen unternehmenswichtigen Daten.
Bei Cloud-Applikationen, die für Unternehmen geeignet sind, wie die des Anbieters Salesforce, beruht das gesamte Geschäftsmodell auf dem sicheren Datentransfer zwischen der Cloud und ihren Unternehmenskunden. Ebenso betreuen Service Provider im Bereich Cloud-Anwendungen Tausende von Unternehmenskunden mit zuverlässigen Dienstleistungen für vollkommene Sicherheit und umfassenden Schutz.
Der Menge der Angriffe auf Cloud-Daten in den Nachrichten nach zu urteilen, müssen die IT-Abteilungen der Unternehmen jedoch mehr für den Schutz der Daten tun, die dynamisch zwischen Cloud-Applikationen, Mobilgeräten, IIoT und Unternehmensdatenbanken fließen. Eine Vielzahl von Cybersecurity-Maßnahmen ist hierbei notwendig, angefangen von soliden Datenrichtlinien zur Gewährleistung, dass IIoT-Geräte über integrierte Sicherheit verfügen, über Multi-Faktor-Authentisierung bis hin zu starker Verschlüsselung. Im Zusammenhang mit Management, Orchestrierung und Überwachung von Cloud-Dienstleistungen sind Schnittstellen und APIs essentielle Komponenten. Gibt es bei diesen Komponenten Schwachstellen, können Unternehmen Sicherheitsprobleme bekommen.
Eine der effektivsten Methoden zum Schutz von Daten bei ihrer Übertragung ist der Aufbau eines verschlüsselten Tunnels unter Verwendung von VPN. Die VPN-Software ist nicht nur einfach in ein bestehendes Unternehmenssystem zu integrieren, sie sichert außerdem den Datenverkehr auch auf Geräteebene. Dies sorgt dafür, dass die Informationen auf ihrem Weg zwischen Cloud-Anwendungen und den IIoT- und Mobilgeräten, die auf sie zugreifen, verschlüsselt und privat bleiben.
VPNs bieten Schutz für Schnittstellen und APIs. Zudem ermöglichen sie eine sichere Authentisierung. Für zusätzlichen Komfort sorgt ein zentrales Management. Damit können Gerätekonfigurationen, Softwareverteilung sowie Skalierung per Fernzugriff verwaltet werden.
Alles in allem sind die IT-Abteilungen der Unternehmen noch dabei, mit der veränderten Denkweise klarzukommen, die in Bezug auf das Management und die Sicherung von Daten erforderlich ist – jetzt, da sie sich regelmäßig zwischen verschiedenen Geräten, Unternehmensdatenbanken und der Cloud bewegen. Ein sinnvoller Ansatz besteht in der Klassifizierung der verschiedenen Arten von Daten und ihrer unterschiedlichen Behandlung.
Gleiches gilt für Schutz, Authentisierung und Sicherheit sämtlicher Verbindungspunkte. VPN-Software erzeugt einen verschlüsselten Tunnel für den Hin- und Rückfluss sensibler Daten zwischen dem Unternehmen und verschiedenen Zielen in der Cloud. Dadurch reduziert sich das Gesamtrisiko enorm, dem das Unternehmen beim Durchlauf der Daten durch die virtuelle Welt der Cloud ausgesetzt ist.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.