Trotz aller Vorteile der Cloud-Services: Unternehmen müssen Sicherheitsmechanismen gemäß der Risikoabschätzung und des angestrebten Sicherheitsniveaus beachten und bei Bedarf zusätzlich zum eigentlichen Cloud-Angebot einen Schutzschild implementieren. Denn Cloud-Service-Provider sind ein lukratives Ziel für Hacker, Industriespione und andere Angreifer. Dies verstärkt den Schutzbedarf der Daten, da Unternehmensdaten oft unverschlüsselt in derartigen Cloud-Applikationen vorliegen.

Eine generische Lösung zur Absicherung von Unternehmensdaten innerhalb öffentlicher Cloud-Applikationen wie Office365 kann hier Abhilfe schaffen: Ob ein zusätzlicher Authentifikationsmechanismus, ein Verschlüsselungs-Layer innerhalb der Applikation oder eine Absicherung der „letzten Meile“ zur und von der Cloud – der richtige Mix aus Mechanismen zum Schutz von Unternehmensdaten in Cloud-Applikationen kann das Sicherheitsniveau im Unternehmensumfeld entscheidend stärken. Die Cloud bietet diverse Möglichkeiten, aber auch Fallstricke bei der Umsetzung dieser zusätzlichen Sicherheitsstruktur, sowohl in organisatorischer als auch in technischer Hinsicht.

Die Cloud Security Alliance Top Threats Working Group nennt im Report „The Treacherous 12“ (Februar 2016) als zwei der zwölf signifikantesten Bedrohungen von Cloud-Systemen Datenverluste (Data Breaches) und ein schwaches Identitäts- und Zugriffs-Management. Daher sollte ein besonderer Fokus auf der Absicherung der Daten innerhalb von Cloud-Applikationen und auf dem Datenzugriff liegen.

Der Verlust unternehmensrelevanter Daten lässt sich auf mehreren Ebenen unterbinden. Im Allgemeinen wird von bidirektionalen Interaktionen zwischen Benutzer, Cloud und Service ausgegangen, hier sollen jedoch nur die Wege in die und aus der Cloud betrachtet werden. Der Grund: Die Interaktion zwischen Service und Nutzer tritt auch in klassischen Architekturmodellen auf, zudem lassen sich Service und Cloud dabei als Einheit betrachten.

Es gilt zunächst, die Endbenutzer zu schützen, beispielsweise vor gezielten Phishing-Attacken zur Erlangung von Zahlungs- oder anderweitig unternehmensrelevanten Informationen, etwa für die Industriespionage. Bestenfalls erfolgt dies bereits, bevor der Datenverkehr den Nutzer oder das Unternehmensnetzwerk erreicht. Angriffsvektoren können neben E-Mail auch Web-Kanäle sein. Meist reicht der Perimeterschutz nicht aus. Dann empfiehlt sich eine Cloud-basierte Kombination aus E-Mail-Sicherheit, Avanced Threat Protection und Web-Sicherheit.

Daten innerhalb von Cloud-Applikationen sind ebenfalls gegen Angriffe auf die Cloud abzusichern. Idealerweise liegen die in der Cloud gespeicherten Daten nur verschlüsselt vor und die Schlüsselhoheit obliegt dem Unternehmen selbst. Zudem ist der Weg aus der Cloud ins Unternehmen und auf die Endgeräte der Benutzer bestmöglich abzusichern. Auch dabei sind klassische Perimeterschutz-Mechanismen inzwischen überholt, da Mobilität und Flexibilität in der täglichen Anwendung stärker denn je zum Tragen kommen. Zum Beispiel nutzen heute Anwender in der Regel mehrere Endgeräte. Die letzte Meile bis zum Endgerät des Nutzers ist daher schutzbedürftig.

Fokus auf die „letzte Meile“

In Cloud-Applikationen ist ein gesonderter Fokus auf diese letzte Meile zu legen, insbesondere auf die Absicherung der Zugänge. Oft sichern Unternehmen nur administrative Konten durch Mehr-Faktor-Authentifikation ab. Doch auch klassische Benutzerzugänge können Zugriff auf sensible und unternehmensrelevante Daten ermöglichen, was den Schutzbedarf erhöht. Die Ursache für die Nicht-Absicherung klassischer Benutzerzugänge ist nicht immer nur eine Kostenfrage, sondern vielfach eine Frage der Bedienung: Die Kombination von zwei aus drei Faktoren der Kategorien Haben, Wissen und Sein (Biometrie) erfordert üblicherweise zusätzlichen Aufwand des Benutzers bei jedem Log-in. Dieser Aufwand wiederum schmälert die Akzeptanz der Lösung bei vielen Benutzern deutlich.

Der angebliche Zielkonflikt zwischen Bedienbarkeit und Sicherheit ist eigentlich widerlegt. In der Praxis jedoch parametrisiert man Lösungen aus Kostengründen entweder in Richtung Bedienbarkeit oder in Richtung Sicherheit. Systemimmanente Sicherheit („Security by Design“) hingegen ist als Entwicklungsprinzip von der Planungsphase an in den Produktentwicklungsprozess einzubinden. Dies ist aber gerade für Cloud-Anbieter, die ihre Services kontinuierlich optimieren und erweitern, noch nicht selbstverständlich.

Rechtsrahmen

Neben den technischen Aspekten sollte man bei der Auswahl und Kombination von Cloud-Lösungen auf die rechtlichen Rahmenbedingungen achten. Viele Cloud-Services bieten die Möglichkeit der E-Mail-Archivierung. Gerade in diesem Bereich bestehen aber aufgrund gesetzlicher Vorgaben Anforderungen an die Rechtssicherheit. Daher sollten deutsche Unternehmen bei der Auswahl einer Archivierungslösung auf GoBD-Konformität (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) achten. Dies ist mitunter per Add-on zu Cloud-basierten E-Mail-Postfächern ebenfalls aus der Cloud möglich.

Aus Datenschutz- und Compliance-Gründen fordern Unternehmen vielfach die Verarbeitung und Speicherung der Daten in deutschen Rechenzentren. Auch hier gilt: Augen auf bei der Anbieterwahl! Denn die eventuelle Notwendigkeit von Ketten über Datentreuhänder, die entsprechenden Garantien sowie die Dokumentation der Datenverarbeitung sind gegebenenfalls deutlich schwerer sicherzustellen als bei deutschen Unternehmen.

Die drei Haupt-Einfallstore für Cyber-Angriffe. Bild: Hornetsecurity

Für Cloud-Applikationen ist, ebenso wie für traditionelle IT-Infrastruktur, das Rollen- und Rechte-Management von hoher Bedeutung. Man sollte Rechte grundsätzlich nach dem Need-to-Know-Prinzip vergeben: Anwender erhalten nur die Rechte, die zur Ausübung der jeweiligen Rolle notwendig sind. Dies erfordert eine Berechtigungsmatrix, die regelmäßig auf ihre Aktualität zu überprüfen ist, beispielsweise durch den CISO oder IT-Sicherheitsbeauftragten. Verlieren Mitarbeiter bestimmte Berechtigungen, etwa wenn sie diese nicht mehr benötigen, sollte man dies klar als Sicherheitserfordernis kommunizieren und standardisieren. Ebenfalls wichtig ist es für Unternehmen, Überprüfungsmechanismen wie polizeiliche Führungszeugnisse vor der Vergabe von administrativen Berechtigungen standardmäßig zu validieren.

Bei API-Zugängen zu Cloud-Applikationen ist darauf zu achten, dass möglichst gesonderte Funktionskonten Verwendung finden und diese nicht an einzelne Personen gebunden sind. So lassen sich die Auswirkungen kompromittierter Zugänge minimieren und ihre unverzügliche Sperrung mit minimalen Änderungen einleiten. Derartige Funktionsadressen und ihre Zugangsdatenverbreitung sollte man jedoch auf ein Minimum reduzieren.

Im Umkehrschluss ist es ratsam, alle durch Menschen durchgeführten Aktionen auch mit ihren persönlichen Konten und nicht mit Standardbenutzern durchzuführen. Nur so ist eine eindeutige Zuordnung der Aktion zur Person gegeben. Für Mitarbeiter, die das Unternehmen verlassen, sollte ein Prozess vorliegen, der eine genaue Auflistung der vergebenen Konten, Rollen und Rechte umfasst. Für die strukturierte Abarbeitung der Sperrung von Zugängen und des Rückbaus von Berechtigungen sollte man realistische Zeitfenster definieren (zum Beispiel innerhalb von 24 Stunden) und deren Einhaltung anhand einer Protokollierung überprüfen.

Die Verwendung von Cloud-Services kann trotz aller hier diskutierten Risiken die Unternehmenssicherheit erhöhen: Cloud-Services können die drei klassischen grundlegenden Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) wirkungsvoller und effizienter sicherstellen als veraltete Betriebsmodelle. Gleiches gilt für die im Kontext der Datensicherheit relevanten Schutzziele wie Nichtabstreitbarkeit, Zurechenbarkeit, Authentizität und Zuverlässigkeit. Wichtig ist es allerdings, die richtigen Services bedarfsgerecht zu kombinieren.

Dr. Yvonne Bernard ist Head of Product Management bei Hornetsecurity, www.hornetsecurity.com/de.