Cloud-Sicherheit - Cloud-Dienste sicher verwenden

Die Sicherheit unserer Daten ist im digitalen Zeitalter ein wichtiges Thema. In der sicheren Verwendung von Cloud-Diensten scheint eine der größten Herausforderungen zu liegen: Immer wieder melden sich mahnende Stimmen, Daten könnten innerhalb einer Cloud grundsätzlich niemals sicher sein – weshalb vorsichtige Privatanwender oft davor zurückschrecken, entsprechende Dienste zu nutzen. Doch nicht nur im privaten Gebrauch ist die Cloud-Sicherheit von Bedeutung, gerade auch Unternehmer müssen sich mit diesem Thema auseinandersetzen – schließlich legen viele Firmen sowohl sensible Personendaten als auch ihre Firmengeheimnisse massenweise in der digitalen Wolke ab.

Das Volumen der in Clouds gespeicherten Daten steigt kontinuierlich an, denn trotz aller kolportierten Sicherheitsrisiken sind Clouds ungemein beliebt: Privatpersonen nutzen den Komfort, die eigenen Daten überall und in vollem Umfang verfügbar zu haben, und laden Backups ihrer Festplatte gerne in einen Onlinespeicher. Unternehmen wiederum können mithilfe der Cloud ihre Mitarbeiter besser miteinander vernetzen und so ihre Arbeitsprozesse effizienter gestalten. Außerdem sparen sie Kosten, denn beim Cloud-Hosting werden Ressourcen je nach Bedarf skaliert und weniger Infrastruktur vor Ort benötigt.

Die gängigste Variante der Cloud-Nutzung ist die sogenannte Public Cloud: Cloud-Anbieter wie Google Drive oder Box bieten ihren Kunden einen fertig eingerichteten Online-Speicherplatz an – inklusive eigener Sicherheitslösungen. Wer jedoch mehr Kontrolle über seine Daten haben möchte, erstellt sich eine Private Cloud oder eine Hybrid Cloud. Diese Onlinespeicher werden vollständig bzw. teilweise unabhängig von öffentlichen Anbietern eingerichtet. Damit bieten sie mehr Kontrolle über die Sicherheitsmaßnahmen, erfordern aber auch einen höheren technischen Aufwand. Besonders Unternehmen greifen aus Gründen des Datenschutzes und der IT-Sicherheit auf private oder hybride Clouds zurück. Mit einer Software wie ownCloud können sich allerdings auch Privatpersonen einfach eine selbstverwaltete Cloud einrichten.

Da immer mehr Bereiche des digitalen Lebens über Cloud-Dienste laufen, stellt sich die Frage nach ihrer Sicherheit umso dringlicher. Wie also können Privatpersonen und Unternehmen ihre Cloud-Zugänge bestmöglich schützen? Wir erklären, welche Probleme auftreten können und auf welche Sicherheitsaspekte man besonderen Wert legen sollte. Anschließend stellen wir verschiedene Methoden vor, um Cloud-Dienste aller Art sicher zu verwenden.

So viel Komfort Clouds bieten – ihre Nutzung ist eben auch mit Risiken verbunden. Um diese zu minimieren, braucht man zunächst eine Orientierung darüber, worin die Gefahren eigentlich liegen.

Es heißt immer wieder, es gebe keine vollkommen sichere Cloud – doch was genau sind die Gefahren? Die unbefriedigende Antwort lautet: Es gibt viele Probleme, wenn man Cloud-Dienste sicher verwenden möchte. Neben dem Datenverlust (etwa durch die Insolvenz eines Anbieters, technische Pannen oder unerwartete Sperrung des Accounts) beziehen sich die Risiken vor allem auf den unbefugten oder unerwünschten Zugriff durch Dritte. Welche Personengruppen könnten ein Interesse an den Daten haben? Dies sind die wichtigsten Akteure in diesem Zusammenhang:

1. „Datendiebe“: Eine Gefahrenquelle liegt bei Personen, die mit gestohlenen Daten Geld oder Karriere machen wollen. Nicht nur Bankverbindungen, sondern alle personenbezogenen Daten sind für Datendiebe interessant. Auch Industriespionage wird durch Datenklau aus unzureichend gesicherten Clouds betrieben.


2. Hacker: Hacker erproben ihre Fähigkeiten, indem sie die Sicherheitsschleusen von öffentlichen Institutionen oder Firmen zu durchdringen versuchen. Manche melden im Falle eines geglückten Hacks die Sicherheitslücke den Administratoren, manche verfolgen aber auch kriminelle Absichten.


3. Staatliche Organe: Die NSA-Affäre führte einer breiten Öffentlichkeit vor Augen, wie weitgehend Geheimdienste auf persönliche Daten der Bürger zugreifen können. Per Gerichtsbeschluss können sich auch andere Behörden in Verdachtsfällen Einsicht in die Daten der Cloud verschaffen. Daher sind auch staatliche Akteure in Bezug auf Datensicherheit ein Risikofaktor. Allerdings leitet sich aus dem deutschen Grundgesetz ein Schutz der Privatsphäre ab, weshalb legale Zugriffe eher selten sein dürften.


4. Cloud-Anbieter: Viele große IT-Unternehmen wie Google oder Apple beziehen ihre Marktmacht aus der Weiterverarbeitung von Nutzerdaten. Durch vage formulierte Nutzungsbedingungen räumen sie sich mitunter große Spielräume ein, die Daten für eigene Zwecke weiterzuverwenden. Ein Problem ist die Intransparenz der Provider: Nutzer haben wenig Kontrolle darüber, was mit den Daten in einer Public Cloud passiert.


5. Betriebsinterne Personen: Auch aktive oder ausgeschiedene Mitarbeiter eines Unternehmens stellen ein potenzielles Sicherheitsrisiko dar. Denn sie können ihr internes Wissen über Cloud-Zugänge missbrauchen oder dadurch gar erpressbar werden. Daher sollten insbesondere größere Unternehmen ein umsichtiges Identitäts- und Berechtigungsmanagement ihrer Cloud-Dienste pflegen.

Möchten Privatpersonen und Unternehmen ihre Cloud-Zugänge effektiv schützen, stehen sie vor jeweils unterschiedlichen Herausforderungen. Während Privatpersonen Cloud-Dienste vor allem durch allgemeine Datenschutzmaßnahmen sicher verwenden – klug gewählte Passwörter oder verschlüsselte Daten –, liegt der Fall für Unternehmen etwas komplizierter.

Im Gegensatz zu Privatpersonen arbeiten Unternehmen nicht mit einem einzelnen Cloud-Dienst, sondern mit komplexen cloudbasierten IT-Infrastrukturen, die von vielen unterschiedlichen Mitarbeitern genutzt werden. Das sogenannte Cloud-Computing ist der Oberbegriff für solche Infrastrukturen, die nicht primär über lokale Rechner des Unternehmens laufen, sondern mehrheitlich über das Internet bereitgestellt werden. Die Frage nach der Sicherheit stellt sich hier in vervielfachter Form: Viele Mitarbeiter greifen mit verschiedenen Geräten von unterschiedlichen Standorten auf die Cloud-Dienste zu – entsprechend wird die Sicherheit zur technischen Herausforderung.

Die besondere Herausforderung liegt im Identitätsmanagement, das die Zugangsdaten der Mitarbeiter verwaltet und somit regelt, auf welche Ressourcen sie innerhalb der Cloud zugreifen dürfen. Für einen besseren Workflow sind Unternehmen dazu angehalten, die unterschiedlichen Cloud-Zugänge ihrer Mitarbeiter in einer zentralen Benutzerverwaltung umzusetzen. Diese Herausforderungen stellen sich bereits, wenn Unternehmen lediglich einen Filesharing-Dienst wie Dropbox verwenden, auf den mehrere Mitarbeiter mit individuellen Zugangsdaten zugreifen. Doch in einer Multi-Cloud-Umgebung gilt: Je größer das Unternehmen, desto schwieriger das Identity-Management und desto wichtiger folglich das Augenmerk auf die Cloud-Sicherheit.

Für Privatpersonen misst sich die Qualität der Cloud-Sicherheit daran, wie gut allgemeine Datenschutzmaßnahmen umgesetzt werden. Neben der Verwendung sicherer Passwörter sollte man auf den Serverstandort des Cloud-Anbieters, faire Nutzungsbedingungen des Cloud-Anbieters und die Verschlüsselung der Daten achten.

Um Cloud-Dienste sicher zu verwenden, ist zunächst die datenschutzrechtliche Lage der Länder relevant, in denen sie ihre Server und ihren Firmensitz haben. Beide Faktoren entscheiden darüber, was mit den Daten in der Cloud passiert. Daher sollten sich private Nutzer gut überlegen, welchem Cloud-Provider sie ihre Daten anvertrauen.

Stehen die Server in den USA, unterliegt man auch als deutscher Nutzer den US-amerikanischen Gesetzen. Die rechtliche Lage ist entscheidend, denn neben Hackern können auch staatliche Behörden gegen den Willen der Nutzer auf Cloud-Daten zugreifen. Amerikanische Gesetze sehen einen niedrigeren Schutz der Privatsphäre vor als das EU-Recht und so gibt es anhaltende gerichtliche Auseinandersetzungen um den Umgang amerikanischer Unternehmen mit den Daten von EU-Bürgern. Daher empfiehlt es sich, einen Cloud-Dienst zu wählen, dessen Server in der EU bzw. in Deutschland stehen. Übrigens: Auch im Sinne der Geschwindigkeit ist dies wünschenswert.

Da viele Nutzer diese Empfehlung sehr ernst nehmen, speichern amerikanische Unternehmen die Daten europäischer Kunden immer häufiger auf Servern innerhalb der EU. Doch ist Usern im Zweifelsfall damit wenig geholfen, denn auch der Unternehmenssitz ist ein entscheidender Faktor für den Datenschutz: Selbst wenn die Server eines amerikanischen Unternehmens in Deutschland stehen, kann dieses dazu verpflichtet werden, persönliche Nutzerdaten an amerikanische Behörden herauszugeben. Doch auch dieses Thema ist noch immer Gegenstand von politischen und gerichtlichen Auseinandersetzungen.

Die Datenschutzbestimmungen des jeweiligen Cloud-Providers legen dar, was mit den gespeicherten Daten geschieht. Bedenkenswert ist in diesem Zusammenhang: Insbesondere die großen Anbieter wie Google oder Apple erzielen den Hauptteil ihres kommerziellen Gewinns nicht, indem sie Nutzungsgebühren erheben, sondern indem sie Nutzerdaten verwerten. Durch lockere Datenschutzrichtlinien, die Datenschützer immer wieder kritisieren, entstehen Spielräume, die die Konzerne für ihre Zwecke zu nutzen wissen.

Außerdem haben große IT-Unternehmen in der Regel mehr Mittel zur Verfügung, um aus den gesammelten Datenbergen der Cloud Muster zu extrahieren und sogenannte Digital Footprints von einzelnen Usern oder Usergruppen zu erstellen. Diese „digitalen Fußabdrücke“ wiederum lassen sich mit denen aus ihren anderen Diensten verknüpfen (im Falle von Google mit Search, Maps, Mail etc.) und werden somit noch aussagekräftiger. Möchte man Derartiges vermeiden, sollte man einen kleineren Anbieter wählen, bei dem man monatlich einige Euro Nutzungsgebühr für mehr Datensicherheit bezahlt.

CASB sind komplexe Meta-Lösungen zur Cloud-Sicherheit, unterschiedliche Authentifizierungsmethoden dagegen sind ihre wichtigste Teilkomponente. Authentifizierungslösungen kümmern sich um die Zugriffskontrolle eines Cloud-Dienstes und regeln, wer ihn verwenden darf. Unternehmen lagern die Authentifizierung mittlerweile häufig in eigene Authentifizierungsdienste (Identity-Provider) aus. Diese treten als dritte Instanz zwischen den Cloud-Anbieter und den Nutzer: Möchte ein Mitarbeiter einen IT-Dienst nutzen, so wird er zunächst auf einen Identity-Provider umgelenkt, bei dem er sich identifiziert, in der Regel mit einem Passwort. Der Identity-Provider bzw. die gewählte Authentifizierungsmethode ist für die sichere Verwendung eines Cloud-Dienstes entscheidend.

Besonders sicher ist eine Authentifizierungsmethode dann, wenn sie nicht nur über ein einzelnes Passwort funktioniert, sondern mindestens einen weiteren Parameter zur Authentifizierung heranzieht. Man spricht je nachdem von Zwei-Faktor-Authentifizierung oder Mehr-Faktor-Authentifizierung. Diese gelten als wichtigste Maßnahme, um einen Cloud-Zugang zu schützen. Besonders für sicherheitskritische Anwendungsbereiche sollten starke Authentifizierungsmethoden eingesetzt werden. So empfiehlt es sich für ein Unternehmen, administrative Aufgaben innerhalb der Cloud-Dienste mehrfach authentifizieren zu lassen. Außer der Kombination mehrerer Schlüssel (Passwörter) gibt es die Möglichkeit, Einmal-Passwörter zu nutzen oder Gegenstände in den Authentifizierungsprozess zu integrieren (etwa einen USB-Stick).

Das Rechtemanagement von Clouds bezieht sich aber nicht nur auf die Authentifizierung von Mitarbeitern, sondern auch auf die Autorisierung von Rechten. Das Wort „Autorisierung“ beschreibt den Zuspruch von Nutzungsrechten innerhalb einer Cloud. Diese Nutzungsrechte werden jedem einzelnen Mitarbeiter in der Multi-User-Umgebung eines Unternehmens individuell zugewiesen, in der Regel von einem oder mehreren Administratoren. Autorisierungen regeln etwa, wer Einstellungsänderungen vornehmen darf, wer Zugang zu Unterverzeichnissen hat, wer beschränkten Zugriffszeiten unterliegt oder wer Ansichtsrechte ohne Veränderungsrechte von Dokumenten besitzt.

Um Cloud-Dienste sicher zu verwenden, sollten Unternehmen über dynamische Autorisierungsverfahren verfügen: Autorisierungen sollten so individuell und aktuell gestaltet sein, dass jeder Mitarbeiter nur die Daten einsehen und bearbeiten kann, die für seine Rolle im Unternehmen unbedingt relevant sind (Least Privilege Prinzip). Autorisierungen sollten also rollenbasiert erfolgen und regelmäßig überprüft werden. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so müssen ihm alle Autorisierungen entzogen werden.

Um für die nötige IT-Sicherheit zu sorgen, müssen Unternehmen nicht nur einzelne Services, sondern auch die umgebende Struktur, also das Firmennetzwerk ausreichend schützen. Das ist besonders wichtig, sobald ein Unternehmen mit Cloud-Diensten arbeitet. Denn auch über ein unzureichend gesichertes Firmennetzwerk können Passwörter der Mitarbeiter abgeschöpft werden – und geklaute Passwörter zählen noch immer zur gängigsten Methode, sich unbefugten Zugriff zu Clouds zu verschaffen.

Größere Unternehmen, die mit komplexeren Netzwerken arbeiten, sollten zum Schutz ihres internen Netzwerks z. B. einzelne Sicherheitsvorrichtungen (Security Appliances) auslagern, etwa die Firewall oder den Virenschutz. So hat eine externe Firewall (auch Hardware-Firewall genannt) den Vorteil, dass sie gezielt entwickelt wurde, um die Verbindung zwischen zwei Netzwerken zu kontrollieren und unerlaubte Netzwerkzugriffe zu verhindern.

Insbesondere für große Unternehmen, die Mitarbeiter in vielen unterschiedlichen Städten und Ländern beschäftigen, ist die IT- und Cloud-Sicherheit eine Herausforderung. Möchten diese Unternehmen ihren Workflow auf cloudbasierte Arbeitsprozesse umstellen, so müssen sie die heterogenen Identitäten ihrer Mitarbeiter vereinheitlichen und zentralisieren. Während kleinere Unternehmen für eine zentrale Identity-Verwaltung häufig auf externe Sicherheitsdienste zurückgreifen, bauen sich größere Unternehmen ihre Infrastruktur meist selbst; und während jüngere Unternehmen von Beginn an auf Cloud-Computing setzten, müssen tradierte Unternehmen aufwendig „umbauen“. Eine sichere zentrale Identity-Verwaltung herzustellen, ist also eine weitere wichtige Aufgabe, um für gut geschützte Cloud-Zugänge zu sorgen.

Damit der Umbau gelingt und die Mitarbeiter-Identitäten sicher in einer zentralen Struktur zusammengeführt werden, bedarf es einer zusätzlichen „Integrationsschicht“, die in die Systemarchitektur des Netzwerks eingezogen wird. Sie bündelt die Identity-Informationen der Mitarbeiter und ermöglicht die zentrale Verwaltung dieser Daten. Durch die Implementierung einer solchen zusammenführenden Integrationsschicht gelingt es auch großen Unternehmen, sicher auf die Verwendung von Cloud-Diensten umzusteigen.