Sicherheitsstrategien für das Cloud Computing

Immer mehr Unternehmen nutzen die Vorteile des Cloud Computing, denn es verspricht Flexibilität, Schnelligkeit und Unabhängigkeit. Doch sensible Unternehmensdaten müssen auch ausreichend geschützt sein. Deshalb ist eine Sicherheitsstrategie unerlässlich bei der Einführung des Cloud Computing.

„Niemand weiß, wie man Computer wirklich sicher macht“, äußerte der IT-Sicherheitsexperte Dan Kaminsky unlängst in einem Interview für Zeit-Online. Doch seine Aussage soll kein Unternehmen davon abhalten sich mit Cloud Computing zu befassen. Denn Dan Kaminsky hält nichts davon, sensible Daten nur offline vorzuhalten. Vielmehr setzt er auf eine intelligente Steuerung von (Daten-) Zugriffsrechten und Bandbreiten.

Von der Private Cloud zur Hybrid Cloud

Damit kommt die Sicherheitsstrategie ins Spiel und mit ihr auch die Frage, welche Art von Cloud Computing überhaupt realisiert werden soll. Während man vor einigen Jahren noch davon ausging, dass in Zukunft die meisten Unternehmen eine Private Cloud nutzen und somit alle Daten auslagern würden, trifft man heute eher auf hybride Strukturen. Dabei wird ein Teil der Daten weiterhin im eigenen Unternehmen vorgehalten, während für andere Teile Public und Private Clouds genutzt werden.

Somit stehen zunächst einmal anwendungsbezogene Überlegungen sowie Compliance-Bedenken im Vordergrund. Der Begriff des Cloud Computing bekommt damit für jedes Unternehmen ein ganz individuelles Gesicht. Im nächsten Schritt wird der Aspekt der Sicherheit betrachtet.

Datensicherheit als Strategie

Hier können vier verschiedene Ansatzpunkte gewählt werden, um alle relevanten Sicherheitsfragen in den Blick zu bekommen:

  1. Identitäts- und Zugriffsverwaltung (auf der Nutzerebene)
  2. Netzwerksicherheit (Infrastruktur)
  3. Endpunkt-Sicherheit (alle Endgeräte wie Server, PCs, Tablets, Smartphones)
  4. E-Mail-Sicherheit (gehostete und lokale Lösungen)

Eine zeitgemäße Sicherheitsstrategie für das Cloud Computing berücksichtigt alle vier Ebenen gleichermaßen. Im Detail geht es dann etwa um Lösungen wie die Multi-Faktor-Authentifizierung, bei der die Nutzer nicht nur die üblichen Anmeldedaten wie ihren Benutzernamen und ein Passwort brauchen, sondern sich noch durch weitere Faktoren wie etwa ihr Smartphone ausweisen müssen.

Auf der Ebene der Netzwerksicherheit wäre die Frage der Bandbreiten zu diskutieren. Denn über die Steuerung der Bandbreiten kann verhindert werden, dass innerhalb kurzer Zeit zu große Datenmengen abgezogen werden. Aspekte der Usability müssen hier gegenüber Sicherheitsfragen abgewogen werden.

Wollen sich Unternehmen umfassend mit allen vier Aspekten befassen, bieten die Sicherheitslösungen von Dell einen hervorragenden Ansatz. Das amerikanische Unternehmen, das vielen nur als Hersteller von günstigen PCs bekannt ist, hat in den letzten Jahren seine Angebotspalette deutlich differenziert und durch Zukäufe seine Expertise u. a. in den Bereichen Network Security, Cloud Computing und Encryption massiv ausgeweitet. Damit ist Dell heute in der Lage, nicht nur einzelne Bausteine einer Sicherheitsarchitektur zu liefern, sondern Lösungen für eine alles umfassende Sicherheitsstrategie.

Richtlinien für Datensicherheit

Schließlich sollte in jedem Unternehmen der sichere Umgang mit Daten in einer Richtlinie geregelt sein. Wie wichtig eine solche Richtlinie sein kann, zeigt das Beispiel des Hackerangriffs auf den deutschen Bundestag im Frühjahr 2015. Erst im Zuge der Aufarbeitung desselben kam heraus, dass auf der Ebene der mobilen Endgeräte der Bundestagsabgeordneten keine klare und verbindliche Regelung zur Schnittstellensicherheit vorlag.

Unternehmen sollte das eine Warnung sein. Während ein zu restriktiver Umgang mit modernen Endgeräten wie Tablets oder Smartphones (sprich: ein Verbot) zwar die Sicherheit fördert, zugleich aber die Produktivität herabsetzt, ist das genaue Gegenteil davon ebenso schädlich.

Anregungen für den Datenschutz bzw. für eine Richtlinie zur Datensicherheit bietet u. a. das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Hacker beauftragt durch den Mittelstand

Ganz zum Schluss hat Dan Kaminsky noch einen besonderen Rat: Unternehmen, also auch Mittelständler, sollten mehr mit Hackern zusammenarbeiten und diese gezielt beauftragen, ihre Systeme zu überprüfen und zu hacken. Auf diese Weise identifizierte Sicherheitslücken können dann sofort geschlossen werden.

Die Zusammenarbeit mit Hackern als Teil einer Sicherheitsstrategie ist ein unorthodoxer Ansatz. Doch beim Cloud Computing hat die Sicherheit bekanntlich oberste Priorität. Dabei gilt es flexibel, schnell und unabhängig zu arbeiten – nicht nur auf der Anwenderseite, sondern auch im Bereich der IT-Sicherheit.