Richtlinien für Cloud-Services

Rechtssicherheit in der Cloud

Große Datenmengen werden zunehmend in der Cloud gespeichert und bearbeitet. ­Dabei ist die Sicherheit umfassend zu gewährleisten, u. a. durch Compliance und Zugriffsrechte.

Waage, Bildquelle: Thinkstock/Stockbyte

Cloud Computing und Big Data zählen derzeit zu den Trendthemen in der IT. Den dadurch entstehenden Möglichkeiten für flexible Skalierbarkeit und umfassende Informationen in Echtzeit stehen jedoch einige Herausforderungen gegenüber. Diese betreffen vor allem die Sicherheit der Daten. Dabei herrscht ein weit verbreitetes Vorurteil, dass Private Clouds im eigenen Rechenzentrum (RZ) automatisch ein höheres Sicherheitsniveau aufweisen als Public-Cloud- oder Hybrid-Cloud-Lösungen. Dem ist jedoch nicht unbedingt so, denn interne Mitarbeiter stellen ein oft unterschätztes Risiko dar. Nicht geklärte oder nachlässig kontrollierte Zugriffsrechte erleichtern dabei die ungewollte oder auch absichtliche Verbreitung sensibler Informationen.

Strenge Zugriffsrechte für die Cloud

Jede cloud-basierte Lösung besitzt ein System zur Festlegung der Benutzerrechte. Doch wer entscheidet, welcher Mitarbeiter auf welche Informationen und Anwendungen zugreifen darf? Und auf welcher Grundlage erfolgt dies? Klar ist: Jedes Unternehmen, das Cloud-Services nutzt, benötigt umfassende Richtlinien zur Definition der Benutzerrechte. Hier sind verschiedene Führungsebenen wie Geschäftsführer, IT-Leiter, Abteilungsleiter und sogar einzelne Mitarbeiter zu involvieren, die aus der Praxis berichten, was sie für ihre tägliche Arbeit benötigen. Anschließend werden die Cloud-Computing-Richtlinien festgelegt, umgesetzt sowie streng kontrolliert.

Doch was geschieht, wenn ein Mitarbeiter die Abteilung wechselt, in der Hierarchie aufsteigt oder gar das Unternehmen verlässt? Hier erfolgt die Anpassung der Cloud-Benutzerrechte häufig mit erheblicher Zeitverzögerung. In diesem Zwischenraum besitzt der Mitarbeiter dann weiterhin Zugriffsrechte auf die Cloud, die er nicht mehr benötigt oder gar nicht mehr haben dürfte. Dies kann zu erheblichen Problemen führen, z. B. wenn ein ehemaliger Mitarbeiter der Entwicklungsabteilung weiterhin auf aktuelle Daten zugreifen kann, aber nun bei der Konkurrenz tätig ist. Daher müssen sämtliche Benutzerrechte sofort geändert werden. Am besten erfolgt dies in einem zentralen System, das die entsprechenden Änderungen automatisch auf sämtliche Systeme und Anwendungen im Unternehmen und in der Cloud überträgt.

Die Autorisierung, also die Freigabe von Benutzerrechten für einen Mitarbeiter, ist aber nur eine Seite der Medaille. Die andere ist die Authentisierung, also der Nachweis, dass der Nutzer auch diejenige Person ist, für die er sich ausgibt. Aktuelle Systeme basieren hierfür auf einer Zwei-Faktor-Authentifizierung. Das bedeutet, dass sich der Mitarbeiter auf zwei verschiedenen Wegen anmelden muss, bevor er Zugang erhält. Dies kann neben der herkömmlichen Nutzername/Passwort-Eingabe z. B. eine Mobile PIN sein, eine Smartcard, der neue Personalausweis, ein Token oder auch ein biometrischer Nachweis wie der Fingerabdruck.

Verschlüsselungstechnologien in der Cloud

Beim Aufrufen von Informationen steht als weitere Möglichkeit ein persönlicher „Entschlüsselungs-Key“ zur Verfügung. Dieser macht zuvor verschlüsselte Daten sichtbar. Überhaupt empfiehlt sich ein umfangreicher Einsatz von Verschlüsselungstechnologien in der Cloud. Dann können beispielsweise externe Mitarbeiter beim Cloud-Provider gar nicht auf die gespeicherten Kundendaten zugreifen.

Unternehmen sollten ihren Provider auch gezielt fragen, wo die Daten gespeichert werden. Denn in der Europäischen Union, vor allem in Deutschland, gelten strenge Datenschutzgesetze, die selbst dann ein Auslesen sensibler Daten verbieten, wenn sie offen liegen. Außerhalb der Europäischen Union ist dies nicht immer der Fall. Einige Länder wie z. B. die USA lesen oft mehr oder weniger offiziell sämtliche gespeicherten und kommunizierten Daten (nicht nur) in ihrem Hoheitsgebiet aus – wie der jüngste NSA-Skandal zutage brachte. Aus diesem Grund sollten deutsche Unternehmen darauf achten, dass der Cloud-Provider die Daten im eigenen Land speichert. Nur dann unterliegen die Daten der deutschen Gesetzgebung und sind vor Industriespionage oder dem Auslesen persönlicher Daten weitgehend geschützt, vorausgesetzt, es werden die empfohlenen Sicherheitsmaßnahmen umgesetzt. Dabei ist auch zu berücksichtigen, dass einige Cloud-Dienstleister Services von Drittanbietern nutzen. Hier ist klar nachzuweisen, wie der Zugang zur Infrastruktur geregelt ist, welche Kontrollmechanismen für die Drittanbieter existieren und wie Service Levels eingehalten werden.

Rechtskonform in der Cloud arbeiten

In Unternehmen gelten zudem strenge Compliance-Richtlinien. Während viele IT-Abteilungen hier oft gefordert sind, gehört dies für externe Dienstleister zur Routine. Denn nur wer entsprechende Zertifizierungen vorweisen kann, kommt für die Verwaltung und Aufbewahrung geschäftskritischer Informationen infrage. Doch welche Zertifizierungen sind bei Cloud-Providern relevant? Die wichtigsten sind ISO 27001 sowie ISAE 3402 Type 2. Die ISO-Norm 27001 ist ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen und verlangt ein vollständiges Informationssicherheitsmanagement für alle IT- und Geschäftsprozesse sowie sensitiven Informationen. Der International Standard on Assurance En­gagements (ISAE) prüft die Wirksamkeit des internen Kontrollsystems (IKS) von Dienstleistern. ISAE 3402 zielt darauf ab, das interne Kontrollsystem umfassend zu testen und hinsichtlich seiner Effektivität im Detail zu bewerten. So fordern zuverlässige Cloud-Anbieter von neuen Mitarbeitern etwa die Vorlage eines Strafregisterauszugs sowie die Unterzeichnung einer Datenschutzerklärung und einer Informationssicherheitsvereinbarung. Zudem sollte jede Aktivität im Cloud-RZ geplant, angekündigt, im Vier-Augen-Prinzip genehmigt, dokumentiert und nachvollziehbar sein, um vollständige Transparenz zu gewährleisten.

 

Checkliste Cloud-Anbieter

Bei der Auswahl des Cloud-Providers sollten folgende Fragen
geklärt sein:

  •   Wo liegen die Daten, sind sie in Rechenzentren in Deutschland gespeichert?
  •   Wie werden die Benutzer autorisiert?
  •   Wird die Autorisierung in Echtzeit mit den aktuellen Benutzerrechten abgeglichen?
  •   Gibt es eine strenge Authentisierung mit mindestens zwei Faktoren?
  •   Werden die Daten beim Cloud-Provider automatisch verschlüsselt?
  •   Folgt der Cloud-Anbieter den üblichen Standards?
  •   Besitzt er die nötigen Zertifizierungen, vor allem ISO 27001 und ISAE 3402?

Quelle: Mindbreeze

 

Bildquelle: Thinkstock/Stockbyte

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok