Wie Cloud-Daten zu schützen sind

* Der Autor des Artikels ist selbstständig beratender Ingenieur in der Sicherheitsbranche. Seine Schwerpunkte liegen im vorbeugenden und planerischen Brandschutz sowie in der Informationssicherheit. Hierzu zählen vor allem Risiko- und Notfallmanagement, Spionage-Prävention und die Schulung von Mitarbeitern gegen Know-How-Verlust (Security Awareness). Der Artikel erschien in unserer Schwesterpublikation «Computerwoche.de». Forrester Research befragte 17 Cloud Provider nach ihren Security-Vorgaben. Versprochen wird vieles, oft genügen die Angebote jedoch nicht, um die Cloud-Anwendungen ausreichend abzusichern.Es gibt verschiedene Möglichkeiten, Cloud-Daten zu schützen - Verschlüsselung auf Server- oder Client-Seite sind nur zwei davon.Um produktiv mit der Cloud arbeiten zu können, müssen Anwender wohl oder übel den «goldenen Mittelweg» zwischen Sicherheit und Risiko gehen. Cloud Data Protection (CDP) ist im unternehmerischen Umfeld nicht nur wichtig, sondern obligatorisch. Für ihre Marktstudie «Cloud Data Protection Solutions» befragten die Analysten von Forrester Research 17 Anbieter nach ihren Security-Produkten und -Strategien für eine sichere und geschützte Wolke. Wichtige Erkenntnis: Die Security-Einstellungen der Cloud-Anbieter reichen oft nicht aus. Security Experten möchten aus der Auswahl von Sicherheitseinstellungen frei wählen - auch und gerade bei etablierten Cloud-Anbietern wie Dropbox, OneDrive, Gmail & Co. Denn im Falle eines Incidents wird nach der Verantwortung gefragt. Security-Spezialisten wissen das und misstrauen den Sicherheitseinstellungen der etablierten Cloud-Anbieter - durchaus berechtigt. Spätestens die NSA-Affäre hat gezeigt, was heutzutage möglich und zudem gängige Praxis ist. Eine eigene Verschlüsselung der hochgeladenen Daten wäre so eine zusätzliche Sicherheitsmassnahme, der sich Security Experten bedienen. Laut Forrester gaben rund 35 Prozent der der befragten Security-Experten an, Daten vor dem hochladen zu Cloud-Anbietern zu verschlüsseln. Misstrauen gegenüber Cloud-Diensten könnten auch externe Auditoren von besagten Unternehmen haben. Denn diese haben nicht nur die Aufgabe, eine Zertifizierung zu bestätigen oder voranzutreiben. Auch Auditoren stehen in der Verantwortung. Gerade wenn es um sensible Daten von kritischer Infrastruktur aus dem Finanzsektor oder dem Gesundheitswesen geht. Security-Appliances helfen «Der Einsatz zertifizierter Security-Appliances, welche für den Einsatz in der Cloud optimiert sind, hilft Anwendern und Auditoren bei der Umsetzung von Cloud Projekten gleichermassen», so Olaf Hansel, Geschäftsführer des Internetproviders cx-solutions in Niedereschbach. «Für den Anwender erleichtern sie den Umgang mit Verschlüsselung und ermöglichen die Kontrolle des Datenflusses. Auditor und Unternehmen profitieren von bereits zertifizierten Lösungen.» Die Aufklärung von Security Incidents ist für die Experten ebenfalls wichtig. Bei der Verwendung von Cloud-Diensten wird das aber tendenziell schwieriger. Zur Tataufklärung werden die Protokolldateien benötigt. Forrester macht klar, dass Cloud-Anbieter diese ungern herausgeben, da der Datenverkehr zunehmend mandantenfähig verläuft. Selbst wenn die Security-Abteilungen an die Daten herankommen, ist die Auswertung der Daten aufgrund der Menge und mangelnden Übersicht komplex. Für den Cloud-Anbieter hat diese Datenverwaltung durchaus Vorteile. Die zentrale und einmalig fällig Wartung und der geringere Speicher- und Kostenbedarf sind nur einige der Gründe, die für den Provider sprechen. Zusätzlich macht die Forrester-Studie klar, dass für Security-Experten die Identität der Cloud-Benutzer im Vordergrund steht. Durch mobiles Arbeiten und Geschäftsreisen muss sichergestellt sein, dass ausschliesslich autorisierte Benutzer auf Cloud-Dateien zugreifen können und Dateien sich nicht verfälschen lassen. Lesen Sie auf der nächsten Seite: Fünf Lösungsvorschläge für CDP Fünf Lösungsvorschläge für CDP Sobald man sich für das CDP-Modell entscheidet, stellt sich die Frage, wo und wie der Anbieter Dateien verschlüsselt, bevor sich diese lagern lassen. Forrester stellt hierfür fünf grundsätzliche Möglichkeiten dar: CDP Encryption gateway in the cloud Die erste Möglichkeit stellt die Verschlüsselung in der Cloud selbst dar. Und zwar vom Cloud-Provider. Diese Möglichkeit sieht Vorteile im Benutzermanagement und setzt kein grosses Hintergrundwissen voraus. Dagegen haben Nutzer dieser Lösung wenig Einsicht in die Verwaltung. Insgesamt erfordert diese Lösung gegenüber dem Anbieter einen gewissen Grad an zusätzlichem Vertrauen. CDP encryption gateway on-premises Dagegen gibt es die Möglichkeit, Dateien selbstständig zu verschlüsseln, bevor diese hochgeladen werden. Für dieses Verfahren sprechen unter anderem die klare Benutzerverwaltung und die daraus resultierende Kontrolle über die Schlüssel respektive die Passwörter. Auf der anderen Seite steht ein erhöhter Ressourcenbedarf. Dafür werden Sie mit der Kontrolle der Schlüsselverwaltung belohnt. CDP encryption using a user-side plug-in Vor dem Upload kann der Benutzer in dieser Lösung die Dateien selbst verschlüsseln. Dabei kann er ein dafür vorgesehenes Plug-in nutzen. Für diese Alternative spricht ein hoher Grad an Kontrolle über die Schlüssel. Folglich lassen sich so Incidents besser aufklären. Gegenüber stehen erneut höhere Kosten durch mehr Verwaltungsarbeit und eventuell nötige Lizenzen. Centralized Drive Encryption in the cloud at a virtual or physical level Diese Methode ähnelt der ersten. Die Verschlüsselung erfolgt wiederum in der Cloud. Dabei lassen sich Dateien aus einer virtuellen Maschine verschlüsseln und anschliessend physisch lagern. Alternativ kann ein Hypervisor die Dateien verschlüsseln und sichern. Bei Verwendung dieser Methode lässt sich beispielsweise der Datenstrom gut verfolgen, dafür ist die Abhängigkeit vom Cloud-Provider zwecks Sicherheit relativ hoch. Cloud Data Governance Platforms Zum Abschluss stellt Forrester noch eine Möglichkeit vor, die ohne Verschlüsselung auskommt. Stattdessen lässt sich genau nachvollzeihen, wer auf welche Daten zugreift. Die Software wird hierfür in der Regel zur Verfügung gestellt. Der Nachteil dieser Lösung liegt auf der Hand: Es gibt keine Verschlüsselung. Die Analysten vergleichen in einer Marktübersicht die verschiedenen Lösungen in den einzelnen Bereichen miteinander. Wer Details zu den Anbietern erfahren möchte, kann die Studie hier erwerben. Lesen Sie auf der nächsten Seite: Qualität durch Verschlüsselung Qualität durch Verschlüsselung Ein Qualitätskriterium für die Cloud ist die Verschlüsselung. Hierzu macht Forrester deutlich, dass Security-Experten hohen Wert darauf legen, Dateien vor dem Upload zu verschlüsseln. Provider bevorzugen zudem die «Zero-Knowledge-Policy», da diese so keinen Zugriff auf die Informationen haben. Denn sobald Cloud-Anbieter Daten entschlüsseln können, besteht konkrete Gefahr, dass Daten massenhafter Überwachung ausgesetzt sind. Olaf Hansel resümiert: «Verschlüsselung und gesicherte Datenübermittlung haben ihren Preis - sei es finanziell oder in Form von zusätzlich notwendigen Massnahmen. Um ein Vielfaches höher ist jedoch der Preis für den Verlust wichtiger Daten.» Und nun? Verschlüsseln oder nicht? Und wenn doch, dann gleich alle Daten, wie es zum Beispiel Edward Snowden empfiehlt oder nur partiell? Dem Cloud-Anbieter vertrauen und verschlüsseln lassen oder doch das Prinzip «Bring your own encryption» (ByoE) nutzen? Letztlich ist es eine individuelle Entscheidung des Unternehmens, die in einer wirklich exakten Risikobeurteilung zu treffen ist. Die Kosten-Nutzen-Relation darf auch nicht aussen vor bleiben. Die Kehrseite der Cloud-Verschlüsselung Die Verschlüsselung von Cloud-Daten kann auch zu Problemen führen. So stellt sich zum Beispiel die Frage, wie nach verschlüsselten Dokumenten zu suchen ist. Security-Experten sollten bedenken, wie stark verschlüsselt wird. Denn es gilt, Inhalte beispielsweise vor Reverse Engineering zu schützen. Hinzu kommt die gewünschte möglichst schnelle Verfügbarkeit von Daten - überall und zu jeder Zeit. Ein hoher Komfort für die Nutzer mit minimalen Latenzzeiten also - im Idealfall gepaart mit einer schnell funktionierenden Ver- und Entschlüsselung. Auch stellt Forrester fest, dass Datenlecks schwer aufzuklären sind und die Data Loss Prevention (DLP) häufig unzureichend funktioniert. Dagegen hilft eine Optimierung des DLP-Systems selbst und der entsprechenden Richtlinien (Policy). Lesen Sie auf der nächsten Seite: Zusammenfassung der Studie Zusammenfassung der Studie Ein ganzheitliches Cloud-Konzept schafft Vertrauen. Dabei spielt neben der Verschlüsselung eine klare und benutzerfreundliche Zugänglichkeit eine wichtige Rolle. Denn laut Forrester geben die meisten befragten Security-Experten an, dass die Produktivität Hand in Hand mit den Sicherheitseinstellungen gehen soll. Darüber hinaus ist die Nachvollziehbarkeit des Datenverkehrs wichtig - kommt es zum Breach, muss feststellbar sein, wer welche Dokumente hoch- oder runtergeladen hat. Erfüllen CDP-Lösungen diese Anforderung nicht, sind Sie zum Scheitern verurteilt. Mehr Kontrolle bedeutet aber auch mehr Aufwand. Sobald Sie einen höheren Grad an Sicherheit erreichen möchten, erhöhen sich sowohl administrativer Aufwand als auch die Kosten. Fazit Durch die Zunahme der Datenmenge steht eine strikte Abkehr vom Cloud Computing nicht zur Debatte. Für Unternehmensanwender gibt es keine realistische Alternative, was den Umgang mit grossen Datenmengen angeht. Bevor Daten in die Cloud gestellt werden, kann es sinnvoll sein, diese zu klassifizieren und nur ausgewählte Daten in eine Cloud hochzuladen. Für solche Entscheidungen kann eine Business Impact Analyse helfen. In jedem Fall gilt es bei der Auswahl des Cloud-Anbieters, auf einen starken und verlässlichen Datenschutz sowie eine akzeptable Benutzerfreundlichkeit zu achten. Die lokale Gesetzgebung des Providers sollte ebenfalls in die Entscheidung einfliessen. Die Marktentwicklung ist ebenfalls ein spannendes Thema. In dieser Branche spielt Vertrauen eine grosse Rolle und dieses könnte im amerikanischen Markt dahinschwinden. Das wiederum könnte dem europäischen und asiatischen Markt einen Wettbewerbsvorteil verschaffen.