Die Sicherheit unserer Daten ist im digitalen Zeitalter ein wichtiges Thema. In der sicheren Verwendung von Cloud-Diensten scheint eine der größten Herausforderungen zu liegen: Immer wieder melden sich mahnende Stimmen, Daten könnten innerhalb einer Cloud grundsätzlich niemals sicher sein – weshalb vorsichtige Privatanwender oft davor zurückschrecken, entsprechende Dienste zu nutzen. Doch nicht nur im privaten Gebrauch ist die Cloud-Sicherheit von Bedeutung, gerade auch Unternehmer müssen sich mit diesem Thema auseinandersetzen – schließlich legen viele Firmen sowohl sensible Personendaten als auch ihre Firmengeheimnisse massenweise in der digitalen Wolke ab.
Das Volumen der in Clouds gespeicherten Daten steigt kontinuierlich an, denn trotz aller kolportierten Sicherheitsrisiken sind Clouds ungemein beliebt: Privatpersonen nutzen den Komfort, die eigenen Daten überall und in vollem Umfang verfügbar zu haben, und laden Backups ihrer Festplatte gerne in einen Onlinespeicher. Unternehmen wiederum können mithilfe der Cloud ihre Mitarbeiter besser miteinander vernetzen und so ihre Arbeitsprozesse effizienter gestalten. Außerdem sparen sie Kosten, denn beim Cloud-Hosting werden Ressourcen je nach Bedarf skaliert und weniger Infrastruktur vor Ort benötigt.
Die gängigste Variante der Cloud-Nutzung ist die sogenannte Public Cloud: Cloud-Anbieter wie Google Drive oder Box bieten ihren Kunden einen fertig eingerichteten Online-Speicherplatz an – inklusive eigener Sicherheitslösungen. Wer jedoch mehr Kontrolle über seine Daten haben möchte, erstellt sich eine Private Cloud oder eine Hybrid Cloud. Diese Onlinespeicher werden vollständig bzw. teilweise unabhängig von öffentlichen Anbietern eingerichtet. Damit bieten sie mehr Kontrolle über die Sicherheitsmaßnahmen, erfordern aber auch einen höheren technischen Aufwand. Besonders Unternehmen greifen aus Gründen des Datenschutzes und der IT-Sicherheit auf private oder hybride Clouds zurück. Mit einer Software wie ownCloud können sich allerdings auch Privatpersonen einfach eine selbstverwaltete Cloud einrichten.
Da immer mehr Bereiche des digitalen Lebens über Cloud-Dienste laufen, stellt sich die Frage nach ihrer Sicherheit umso dringlicher. Wie also können Privatpersonen und Unternehmen ihre Cloud-Zugänge bestmöglich schützen? Wir erklären, welche Probleme auftreten können und auf welche Sicherheitsaspekte man besonderen Wert legen sollte. Anschließend stellen wir verschiedene Methoden vor, um Cloud-Dienste aller Art sicher zu verwenden.
So viel Komfort Clouds bieten – ihre Nutzung ist eben auch mit Risiken verbunden. Um diese zu minimieren, braucht man zunächst eine Orientierung darüber, worin die Gefahren eigentlich liegen.
Es heißt immer wieder, es gebe keine vollkommen sichere Cloud – doch was genau sind die Gefahren? Die unbefriedigende Antwort lautet: Es gibt viele Probleme, wenn man Cloud-Dienste sicher verwenden möchte. Neben dem Datenverlust (etwa durch die Insolvenz eines Anbieters, technische Pannen oder unerwartete Sperrung des Accounts) beziehen sich die Risiken vor allem auf den unbefugten oder unerwünschten Zugriff durch Dritte. Welche Personengruppen könnten ein Interesse an den Daten haben? Dies sind die wichtigsten Akteure in diesem Zusammenhang:
Möchten Privatpersonen und Unternehmen ihre Cloud-Zugänge effektiv schützen, stehen sie vor jeweils unterschiedlichen Herausforderungen. Während Privatpersonen Cloud-Dienste vor allem durch allgemeine Datenschutzmaßnahmen sicher verwenden – klug gewählte Passwörter oder verschlüsselte Daten –, liegt der Fall für Unternehmen etwas komplizierter.
Im Gegensatz zu Privatpersonen arbeiten Unternehmen nicht mit einem einzelnen Cloud-Dienst, sondern mit komplexen cloudbasierten IT-Infrastrukturen, die von vielen unterschiedlichen Mitarbeitern genutzt werden. Das sogenannte Cloud-Computing ist der Oberbegriff für solche Infrastrukturen, die nicht primär über lokale Rechner des Unternehmens laufen, sondern mehrheitlich über das Internet bereitgestellt werden. Die Frage nach der Sicherheit stellt sich hier in vervielfachter Form: Viele Mitarbeiter greifen mit verschiedenen Geräten von unterschiedlichen Standorten auf die Cloud-Dienste zu – entsprechend wird die Sicherheit zur technischen Herausforderung.
Auch das Cloud-Hosting wird immer beliebter bei Unternehmen. Cloud-Hosting kann als Teil des Cloud-Computings verstanden werden und bedeutet, dass die Daten nicht mehr auf einem physischen Server, sondern in einer virtuellen Wolke gehostet werden. Meist kann man Cloud-Server wesentlich flexibler den Bedürfnissen des Unternehmens anpassen als physische Server.
Die besondere Herausforderung liegt im Identitätsmanagement, das die Zugangsdaten der Mitarbeiter verwaltet und somit regelt, auf welche Ressourcen sie innerhalb der Cloud zugreifen dürfen. Für einen besseren Workflow sind Unternehmen dazu angehalten, die unterschiedlichen Cloud-Zugänge ihrer Mitarbeiter in einer zentralen Benutzerverwaltung umzusetzen. Diese Herausforderungen stellen sich bereits, wenn Unternehmen lediglich einen Filesharing-Dienst wie Dropbox verwenden, auf den mehrere Mitarbeiter mit individuellen Zugangsdaten zugreifen. Doch in einer Multi-Cloud-Umgebung gilt: Je größer das Unternehmen, desto schwieriger das Identity-Management und desto wichtiger folglich das Augenmerk auf die Cloud-Sicherheit.
Für Privatpersonen misst sich die Qualität der Cloud-Sicherheit daran, wie gut allgemeine Datenschutzmaßnahmen umgesetzt werden. Neben der Verwendung sicherer Passwörter sollte man auf den Serverstandort des Cloud-Anbieters, faire Nutzungsbedingungen des Cloud-Anbieters und die Verschlüsselung der Daten achten.
Um Cloud-Dienste sicher zu verwenden, ist zunächst die datenschutzrechtliche Lage der Länder relevant, in denen sie ihre Server und ihren Firmensitz haben. Beide Faktoren entscheiden darüber, was mit den Daten in der Cloud passiert. Daher sollten sich private Nutzer gut überlegen, welchem Cloud-Provider sie ihre Daten anvertrauen.
Stehen die Server in den USA, unterliegt man auch als deutscher Nutzer den US-amerikanischen Gesetzen. Die rechtliche Lage ist entscheidend, denn neben Hackern können auch staatliche Behörden gegen den Willen der Nutzer auf Cloud-Daten zugreifen. Amerikanische Gesetze sehen einen niedrigeren Schutz der Privatsphäre vor als das EU-Recht und so gibt es anhaltende gerichtliche Auseinandersetzungen um den Umgang amerikanischer Unternehmen mit den Daten von EU-Bürgern. Daher empfiehlt es sich, einen Cloud-Dienst zu wählen, dessen Server in der EU bzw. in Deutschland stehen. Übrigens: Auch im Sinne der Geschwindigkeit ist dies wünschenswert.
Man kann man auch auf deutsche Cloud-Anbieter zurückgreifen, deren Server hierzulande beheimatet sind. 1&1 IONOS bietet seinen Cloud-Speicher für Mobilfunk- und DSL-Kunden sogar kostenlos an. Ein weiterer Vorteil: Dank nützlicher Apps für Dokumente, Fotos und Musik lassen sich die Daten in der Cloud noch bequemer verwalten. Auf Wunsch kann man auf einzelne Ordner auch offline zugreifen.
Da viele Nutzer diese Empfehlung sehr ernst nehmen, speichern amerikanische Unternehmen die Daten europäischer Kunden immer häufiger auf Servern innerhalb der EU. Doch ist Usern im Zweifelsfall damit wenig geholfen, denn auch der Unternehmenssitz ist ein entscheidender Faktor für den Datenschutz: Selbst wenn die Server eines amerikanischen Unternehmens in Deutschland stehen, kann dieses dazu verpflichtet werden, persönliche Nutzerdaten an amerikanische Behörden herauszugeben. Doch auch dieses Thema ist noch immer Gegenstand von politischen und gerichtlichen Auseinandersetzungen.
Die Datenschutzbestimmungen des jeweiligen Cloud-Providers legen dar, was mit den gespeicherten Daten geschieht. Bedenkenswert ist in diesem Zusammenhang: Insbesondere die großen Anbieter wie Google oder Apple erzielen den Hauptteil ihres kommerziellen Gewinns nicht, indem sie Nutzungsgebühren erheben, sondern indem sie Nutzerdaten verwerten. Durch lockere Datenschutzrichtlinien, die Datenschützer immer wieder kritisieren, entstehen Spielräume, die die Konzerne für ihre Zwecke zu nutzen wissen.
Außerdem haben große IT-Unternehmen in der Regel mehr Mittel zur Verfügung, um aus den gesammelten Datenbergen der Cloud Muster zu extrahieren und sogenannte Digital Footprints von einzelnen Usern oder Usergruppen zu erstellen. Diese „digitalen Fußabdrücke“ wiederum lassen sich mit denen aus ihren anderen Diensten verknüpfen (im Falle von Google mit Search, Maps, Mail etc.) und werden somit noch aussagekräftiger. Möchte man Derartiges vermeiden, sollte man einen kleineren Anbieter wählen, bei dem man monatlich einige Euro Nutzungsgebühr für mehr Datensicherheit bezahlt.
Ein weiterer wichtiger Punkt bei der Cloud-Sicherheit: Wer seine Daten online speichert, sollte sie in jedem Fall verschlüsseln. Verschlüsselungsverfahren gibt es viele, und da sie technisch teils sehr komplex sind, greifen die meisten Nutzer auf die Verschlüsselung des jeweiligen Cloud-Anbieters zurück. Dafür ist weniger technisches Wissen vonnöten, doch können Anwender nicht überprüfen, ob diese Maßnahmen ausreichend sind. Public Clouds bieten ihren Nutzern also eher wenig Transparenz, was mit den Daten tatsächlich geschieht.
Zusätzlich wächst die Zahl externer Verschlüsselungsprogramme für Cloud-Daten. Programme wie Cryptomator, CryptSync oder Boxcryptor sollen unabhängig zum Cloud-Betreiber für mehr Datensicherheit sorgen. Der Markt für Verschlüsselungssoftware ist mittlerweile unübersichtlich geworden, doch eine externe Chiffrierung macht es wesentlich sicherer, einen Cloud-Dienst zu verwenden.
Von besonders sensiblen oder wertvollen Daten sollte man in jedem Fall ein Backup erstellen. Schließlich können Daten in einer Cloud verloren gehen – sei es durch ein vergessenes Passwort, einen insolventen Anbieter oder einen anderen unvorhergesehenen Umstand. Daher sollten wichtige Daten immer zusätzlich offline gespeichert werden. Zur Arbeitserleichterung empfiehlt sich eine Synchronisations-Software wie SyncBack.
Für Unternehmen ist das Thema Cloud-Sicherheit ungleich komplexer als für Privatpersonen. Zwar sind der Serverstandort und ein wirkungsvolles Verschlüsselungskonzept ebenfalls wichtig, doch darüber hinaus stehen Unternehmen vor der Herausforderung, die Cloud-Zugänge vieler Mitarbeiter zu schützen und diese Daten dennoch zentral und effizient zu verwalten.
Dafür bedarf es komplexer Lösungen zum Rechte-Management von Mitarbeiter-Clouds: Die IT-Infrastruktur des Unternehmens wird von verschiedenen Mitarbeitern genutzt, deren Identität authentifiziert und deren Zugriffsmöglichkeiten innerhalb der Clouds autorisiert werden müssen. Authentifizierung und Autorisierung sind also die Kernbegriffe, um die es bei gut geschützten Cloud-Zugängen von Unternehmen geht. Wir stellen einige wirkungsvolle Lösungsansätze vor.
Eine besonders aktuelle Lösung, um Cloud-Dienste sicher zu verwenden, ist der Einsatz eines sogenannten Cloud Access Security Broker (CASB). Als CASB bezeichnet man eine Software, die speziell dafür entwickelt wurde, einen Cloud-Zugang zu kontrollieren und zu schützen. Diese relativ neue Form der Cloud-Sicherheitslösung wird zwischen dem Cloud-Dienst und dem Cloud-Benutzer platziert, steuert deren Kommunikation und ist damit eine externe Sicherheitsschleuse der Cloud. CASB haben darüber hinaus aber noch viele weitere Funktionen: Sie dienen als Monitoring- und Management-Instrumente innerhalb der Cloud, informieren über unregelmäßige Vorgänge und legen fest, welche Aktion im Falle einer Sicherheitsmeldung ausgeführt werden soll. CASB bilden also eine neue Gruppe von Software, die speziell für die cloudbasierten Workflows von Unternehmen entwickelt wurde.
Um die Cloud-Sicherheit zu gewährleisten, bieten CASB ganz unterschiedliche Leistungen: Mit ihnen lassen sich die User-Authentifizierung regeln, der Datenverkehr verschlüsseln, unerwünschter Datenverkehr blockieren, Malware identifizieren, Alarme bei verdächtigen Aktionen aktivieren oder zusätzliche Zugangsvoraussetzungen integrieren. Letzteres wäre etwa die Bedingung, dass ein CASB das Gerät, über das ein Mitarbeiter auf die Cloud zugreifen möchte, identifizieren und zulassen muss. Diese Sicherheitsmaßnahmen werden im Vorfeld definiert und dann vom CASB durchgesetzt. Dazu arbeiten viele CASB mit anderen Sicherheitslösungen zusammen, etwa solchen zur Verschlüsselung, zur Mehr-Faktor-Authentifizierung, zum IAM (Identity and Access Management) oder SIEM (Security Informationen and Event Management).
Dank dieser Leistungen kommen CASB aktuellen Sicherheitsanforderungen von Unternehmen sehr entgegen. Das Marktforschungsinstitut Gartner prognostizierte, dass bereits 2020 85 Prozent aller Unternehmen ihre Cloud-Zugänge über einen CASB-Dienst absichern werden. Angesichts dessen wundert es nicht, dass einige der jungen CASB-Dienste schon von größeren IT-Unternehmen aufgekauft wurden: Der Dienst Elastica etwa wurde von Blue Coat Systems übernommen (gehört zu Symantec), Adallom wiederum von Microsoft. Dies zeigt, wie viel Potenzial in dem Branchenzweig steckt – und auch, wie aktuell das Thema der Cloud-Sicherheit ist.
Damit CASB-Dienste wie CensorNet, Bitglass, Netskope oder CipherCloud reibungslos funktionieren, müssen sie gut in die vorhandene Infrastruktur des Unternehmens integriert werden. Das bedeutet, dass sie einerseits eine Verbindung zur Benutzerverwaltung des Unternehmens benötigen und gleichzeitig tief in die Clouds integriert sein müssen, die sie schützen sollen. Dafür unterstützen viele CASB bereits die im Unternehmensalltag üblichen cloudbasierten Dienste wie Office 365, OneDrive, Box, Google Apps oder Salesforce. Sie sind aber auch in der Lage, ihnen unbekannte Dienste zu implementieren.
Um CASB in ein Firmennetzwerk zu integrieren, gibt es unterschiedliche Varianten. Eine CASB-Software arbeitet entweder selbst cloudbasiert oder wird lokal betrieben. In die IT-Infrastruktur des Unternehmens wird sie entweder als zentrales Gateway oder als API-Anwendung integriert. Beide dieser Varianten haben Vor- und Nachteile: Ist der CASB als Gateway implementiert, so befindet er sich direkt zwischen Anwender und Cloud-Dienst. Er ist somit in den Datenstrom eingeschaltet und kann ungewünschte Aktionen direkt blockieren. Ein Nachteil dieser Variante ist jedoch, dass die Performance der Cloud bei wachsender Arbeitsauslastung beeinträchtigt werden kann. Hat ein Unternehmen viele Mitarbeiter, eignen sich daher API-basierte Lösungen. In diesem Fall befindet sich der CASB außerhalb der direkten Nutzer-Cloud-Kommunikation. So kann der CASB zwar nicht direkt in diese Aktionen eingreifen, wirkt sich aber auch nicht mindernd auf die Performance des Cloud-Dienstes aus.
CASB sind komplexe Meta-Lösungen zur Cloud-Sicherheit, unterschiedliche Authentifizierungsmethoden dagegen sind ihre wichtigste Teilkomponente. Authentifizierungslösungen kümmern sich um die Zugriffskontrolle eines Cloud-Dienstes und regeln, wer ihn verwenden darf. Unternehmen lagern die Authentifizierung mittlerweile häufig in eigene Authentifizierungsdienste (Identity-Provider) aus. Diese treten als dritte Instanz zwischen den Cloud-Anbieter und den Nutzer: Möchte ein Mitarbeiter einen IT-Dienst nutzen, so wird er zunächst auf einen Identity-Provider umgelenkt, bei dem er sich identifiziert, in der Regel mit einem Passwort. Der Identity-Provider bzw. die gewählte Authentifizierungsmethode ist für die sichere Verwendung eines Cloud-Dienstes entscheidend.
Besonders sicher ist eine Authentifizierungsmethode dann, wenn sie nicht nur über ein einzelnes Passwort funktioniert, sondern mindestens einen weiteren Parameter zur Authentifizierung heranzieht. Man spricht je nachdem von Zwei-Faktor-Authentifizierung oder Mehr-Faktor-Authentifizierung. Diese gelten als wichtigste Maßnahme, um einen Cloud-Zugang zu schützen. Besonders für sicherheitskritische Anwendungsbereiche sollten starke Authentifizierungsmethoden eingesetzt werden. So empfiehlt es sich für ein Unternehmen, administrative Aufgaben innerhalb der Cloud-Dienste mehrfach authentifizieren zu lassen. Außer der Kombination mehrerer Schlüssel (Passwörter) gibt es die Möglichkeit, Einmal-Passwörter zu nutzen oder Gegenstände in den Authentifizierungsprozess zu integrieren (etwa einen USB-Stick).
Das Rechtemanagement von Clouds bezieht sich aber nicht nur auf die Authentifizierung von Mitarbeitern, sondern auch auf die Autorisierung von Rechten. Das Wort „Autorisierung“ beschreibt den Zuspruch von Nutzungsrechten innerhalb einer Cloud. Diese Nutzungsrechte werden jedem einzelnen Mitarbeiter in der Multi-User-Umgebung eines Unternehmens individuell zugewiesen, in der Regel von einem oder mehreren Administratoren. Autorisierungen regeln etwa, wer Einstellungsänderungen vornehmen darf, wer Zugang zu Unterverzeichnissen hat, wer beschränkten Zugriffszeiten unterliegt oder wer Ansichtsrechte ohne Veränderungsrechte von Dokumenten besitzt.
Um Cloud-Dienste sicher zu verwenden, sollten Unternehmen über dynamische Autorisierungsverfahren verfügen: Autorisierungen sollten so individuell und aktuell gestaltet sein, dass jeder Mitarbeiter nur die Daten einsehen und bearbeiten kann, die für seine Rolle im Unternehmen unbedingt relevant sind (Least Privilege Prinzip). Autorisierungen sollten also rollenbasiert erfolgen und regelmäßig überprüft werden. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so müssen ihm alle Autorisierungen entzogen werden.
Autorisierungen hingegen wird definiert, welche Ressourcen Personen innerhalb einer Cloud verwenden dürfen. Für beide Bereiche der Cloud-Sicherheit existieren offene Protokolle, mit denen dies umgesetzt werden kann: OpenID eignet sich zur dezentralen Benutzerauthentifizierung, über OAuth wiederum wird eine sichere Autorisierung von Desktop- oder Webanwendungen gewährleistet.
Um für die nötige IT-Sicherheit zu sorgen, müssen Unternehmen nicht nur einzelne Services, sondern auch die umgebende Struktur, also das Firmennetzwerk ausreichend schützen. Das ist besonders wichtig, sobald ein Unternehmen mit Cloud-Diensten arbeitet. Denn auch über ein unzureichend gesichertes Firmennetzwerk können Passwörter der Mitarbeiter abgeschöpft werden – und geklaute Passwörter zählen noch immer zur gängigsten Methode, sich unbefugten Zugriff zu Clouds zu verschaffen.
Größere Unternehmen, die mit komplexeren Netzwerken arbeiten, sollten zum Schutz ihres internen Netzwerks z. B. einzelne Sicherheitsvorrichtungen (Security Appliances) auslagern, etwa die Firewall oder den Virenschutz. So hat eine externe Firewall (auch Hardware-Firewall genannt) den Vorteil, dass sie gezielt entwickelt wurde, um die Verbindung zwischen zwei Netzwerken zu kontrollieren und unerlaubte Netzwerkzugriffe zu verhindern.
Insbesondere für große Unternehmen, die Mitarbeiter in vielen unterschiedlichen Städten und Ländern beschäftigen, ist die IT- und Cloud-Sicherheit eine Herausforderung. Möchten diese Unternehmen ihren Workflow auf cloudbasierte Arbeitsprozesse umstellen, so müssen sie die heterogenen Identitäten ihrer Mitarbeiter vereinheitlichen und zentralisieren. Während kleinere Unternehmen für eine zentrale Identity-Verwaltung häufig auf externe Sicherheitsdienste zurückgreifen, bauen sich größere Unternehmen ihre Infrastruktur meist selbst; und während jüngere Unternehmen von Beginn an auf Cloud-Computing setzten, müssen tradierte Unternehmen aufwendig „umbauen“. Eine sichere zentrale Identity-Verwaltung herzustellen, ist also eine weitere wichtige Aufgabe, um für gut geschützte Cloud-Zugänge zu sorgen.
Damit der Umbau gelingt und die Mitarbeiter-Identitäten sicher in einer zentralen Struktur zusammengeführt werden, bedarf es einer zusätzlichen „Integrationsschicht“, die in die Systemarchitektur des Netzwerks eingezogen wird. Sie bündelt die Identity-Informationen der Mitarbeiter und ermöglicht die zentrale Verwaltung dieser Daten. Durch die Implementierung einer solchen zusammenführenden Integrationsschicht gelingt es auch großen Unternehmen, sicher auf die Verwendung von Cloud-Diensten umzusteigen.
Die Cloud ist für viele der Ort, an dem private Dokumente wie Musik, Bilder oder Videos online gespeichert bzw. ausgetauscht werden. Welche Technologie eigentlich dahintersteckt, ist für die meisten hingegen eine wolkige Angelegenheit. Wussten Sie zum Beispiel, dass unter anderem auch Websites oder Onlineshops in der Cloud gehostet werden können?
Dediziertes Serverhosting war gestern. Der Cloud gehört die Zukunft. Sie sind sich dennoch unsicher, ob Sie Ihren Serverbetrieb auf ein flexibles Cloud-Hosting umstellen sollen? Vier Argumente verdeutlichen, dass zeitgemäßes Webhosting auf der bedarfsgenauen Bereitstellung von Ressourcen über das Internet beruhen muss, um auch zukünftig den Anforderungen an eine wettbewerbsfähige Unternehmens-IT...
Auf der Suche nach der passenden Serverumgebung trifft man immer häufiger auf den Begriff des Managed Cloud-Hostings. Diese Lösung verspricht flexible Skalierbarkeit der benötigten Ressourcen in Echtzeit und ein umfangreiches Service-Angebot durch den Provider, das auch die Einrichtung und Instandhaltung der Hosting-Plattform beinhaltet. Doch wie funktioniert das Hosting in der Cloud überhaupt...
Man kann den Raspberry Pi mit der ownCloud-Software als eine private Cloud nutzen – ganz ähnlich zu den Cloud-Diensten von Google, Amazon oder Dropbox. Die Kosten hierfür sind überschaubar und obendrein bringt ein ownCloud-Server einige Vorteile mit sich – vor allem hinsichtlich der Datensicherheit. Unser Raspberry-Pi-Cloud-Tutorial erklärt Schritt für Schritt, wie Sie eine ownCloud einrichten.
