Datenschutz unD Datensicherheit beim clouD computingtelekom.rabnews.de/ausgaben/140117_NL_Mittelstand/WhitePaper...4 5 einleitung Cloud Computing hat 20.12 den Hype-Status abgelegt

Datenschutz unD Datensicherheit beim clouD computing

white paper

3

inhaltsverzeichnis

Einleitung ............................................................................................................................................................................... 4 Wesentliche Risiken des Cloud Computings ........................................................................................................... 5Datenschutz und Compliance ........................................................................................................................................... 8. Einleitung ....................................................................................................................................................................... 8. Welcher Datenschutz greift? ....................................................................................................................................... 8. Vertragsinhalte ............................................................................................................................................................... 9. Anforderungen ............................................................................................................................................................10. Service Level Agreement ...........................................................................................................................................10. Compliance ..................................................................................................................................................................10. Datenschutz und Compliance der Cloud-Angebote der Telekom ......................................................................11Gefahren und Sicherheitsmaßnahmen beim Cloud-Nutzer .......................................................................................14 Einleitung ......................................................................................................................................................................14 Netze (LAN/WAN) .......................................................................................................................................................14 WLAN-Verschlüsselung ..............................................................................................................................................15 Datenverschlüsselung .................................................................................................................................................15 Desktops und Software ..............................................................................................................................................16. Risiko USB-Sticks ........................................................................................................................................................16. Verwaltung von Anmeldedaten (Benutzername/Passwort) .................................................................................16. Antiviren-Software und Spamschutz ........................................................................................................................17. Smartphones/Tablet-PCs/Laptops ..........................................................................................................................17. E-Mail .............................................................................................................................................................................19.Gefahren und Sicherheitsmaßnahmen beim Cloud-Anbieter ....................................................................................20. Einleitung ......................................................................................................................................................................20. Sicherheit von Rechenzentren ..................................................................................................................................20. Zertifizierung/Auditierung .........................................................................................................................................21 Notfallmanagement ....................................................................................................................................................22 ID- und Rechtemanagement .....................................................................................................................................23 Personalmanagement ................................................................................................................................................23 Server-/Software-Sicherheit ......................................................................................................................................24 Virtuelle Trennung der Nutzer ...................................................................................................................................24 Netzsicherheit ..............................................................................................................................................................25 Verschlüsselung und Schlüsselmanagement ........................................................................................................25 Security Information and Event (Incident) Management ......................................................................................26. Computer Notfallteams (Cert) ...................................................................................................................................26. Glossar .................................................................................................................................................................................27.

54

einleitung

Cloud Computing hat 20.12 den Hype-Status abgelegt und entwickelt sich 20.13 zu einem ernst zu nehmen-den Angebot für Unternehmen jeder Größe und geschäftlichen Ausrichtung. Für James Staten, Analyst bei Forrester Research, „kommen wir 20.13 endlich zu einem vernünftigen Umgang mit dem Thema Cloud.“ Cloud-Services und -Plattformen würden nun in die formellen IT-Portfolios integriert. Daher budgetieren etwa die Hälfte der europäischen Firmen laut Forrester in diesem Jahr Investitionen in die Cloud.

Auch bei den kleinen und mittelständischen Unternehmen (KMU) finden auf Cloud Computing basierende IT-Infrastrukturen immer mehr Akzeptanz. Analysten der International Data Corporation (IDC) machen eine Reihe von Faktoren aus, warum Cloud Computing auch bei den KMUs zunehmend eine Rolle spielen wird. So benötigen sie keine großen Rechnersysteme mehr, senken ihre Wartungskosten für Anwendungen sowie Services, und geschäftskritische Daten sind jederzeit und über mobile Kanäle verfügbar. Ein Vorteil ist auch, dass sie neue Anwendungen kurzfristig nutzen sowie auf- und abwärts skalieren können. Nicht zuletzt stellen laut IDC Anbieter von Cloud-Diensten die Daten und Anwendungen sicher und redundant bereit. Auch Mit-arbeiter treiben den Einsatz von Cloud-Diensten voran: Sie fordern flexible und moderne Arbeitsmodelle, die sich mit Angeboten aus der Cloud leichter umsetzen lassen.

Trotz aller Euphorie halten sich aber nach wie vor hartnäckige Vorbehalte gegenüber Cloud Computing. Noch immer fürchten Unternehmen die angeblich mangelnde Datensicherheit, den ungenügenden Da-tenschutz sowie die geringere Verfügbarkeit. Dies sehen Analysten wie IDC jedoch anders. Sie sind davon überzeugt, dass professionelle Cloud-Anbieter meist besser vor Cyberangriffen und Diebstahl von geschäfts-kritischen Daten schützen als firmenintern betriebene IT-Infrastruktur.

IT-Sicherheit und Cloud sind also kein Widerspruch per se, denn Cloud Computing hat nur wenige neue Sicherheitsrisiken, die es zuvor nicht auch beim Vor-Ort-Betrieb oder beim klassischen IT-Outsourcing ge-geben hat. Zumal es im eigenen Interesse eines Cloud-Anbieters liegt, das Vertrauen in die bereitgestellten Cloud-Dienste zu gewinnen und alles für dieses Vertrauen zu tun. Der Vorteil für Kunden kann sogar sein, dass sie vom hohen Sicherheitsniveau des Anbieters profitieren und das eigene Sicherheitslevel steigern. Laut einer PAC-Studie vom Frühjahr 20.13 schätzen mehr als zwei Drittel der Unternehmen, die bereits Cloud-Konzepte einsetzen, die erhöhte Datensicherheit im Vergleich zum Eigenbetrieb. Eine von Microsoft beauftragte ältere Studie vom Mai 20.12 bestätigt diese Annahme. So sagten mehr als ein Drittel der KMUs, die in ihren Unternehmen zwischen 10.0. und 250. PCs einsetzen, dass sie mit dem Schritt in die Cloud ein erheblich höheres Sicherheitsniveau erreicht haben. Jeweils ein weiteres Drittel der Befragten gab an, sie würden sich seitdem weniger Sorgen um Cyberattacken machen und sparten deutlich Zeit für die Gewähr- leistung der Sicherheit ihrer Infrastruktur.

Für den Einsatz von Cloud-Diensten spricht auch, dass Unternehmen ihre Budgets für IT-Sicherheit in den nächsten Jahren aufgrund der stark zunehmenden Gefahren aus dem Cyberspace deutlich erhöhen müssen. 20.11 und 20.12 sind Gartner zufolge die Ausgaben für IT-Sicherheit schon jeweils um rund neun Prozent gestiegen. Dieser Trend wird sich fortsetzen. So wollen 45 Prozent der Unternehmen 20.13 ihre Budgets für IT-Sicherheit erhöhen, die Hälfte erwarten gleichbleibende Ausgaben.

Bisher geben KMUs für IT-Sicherheit deutlich weniger pro Mitarbeiter aus als Großunternehmen. Dies zeigt eine im Januar 20.13 veröffentlichte Umfrage von Kaspersky Lab. Kleine Unternehmen zwischen 10. und 9.9. Mitarbeitern investieren in IT-Sicherheit 27. Euro pro Jahr und Mitarbeiter. Bei den mittelgroßen Unternehmen mit bis zu 9.9.9. Mitarbeitern sind es immerhin schon 38. Euro. Konzerne mit mehr als 1.0.0.0. Mitarbeitern lassen sich die IT-Sicherheit jährlich rund 110. Euro pro Mitarbeiter kosten.

wesentliche risiKen Des clouD computings

Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass mindestens 8.0. Prozent der Sicherheitsrisiken durch Cloud Computing nicht neu sind. Andere Experten bestätigen diese Größenordnung. Es stellt sich die Frage, welche zusätzlichen Risiken Cloud Computing tatsächlich gegen-über klassischem IT-Outsourcing verursacht.

Die hier beschriebenen Risiken, wie auch die bekannten Risiken, die im Cloud Computing nicht anders zu bewerten sind als im klassischen Outsourcing oder in der eigenen IT-Infrastruktur, lassen sich mit einem ganzheitlichen Datensicherheits- und Datenschutzansatz minimieren. Dazu müssen Anbieter und Nutzer von Cloud-Diensten infrastrukturelle, organisatorische, personelle und technische Maßnahmen zum Schutz der bereitgestellten Dienste umsetzen. Hundertprozentigen Schutz gibt es allerdings nirgendwo.

Wenn Cloud-Anbieter und Cloud-Nutzer sich wirksam absichern wollen, müssen sie alle Einzelaspekte des Cloud Computings betrachten. Nur so lässt sich die Vertraulichkeit, Integrität und Verfügbarkeit übertragener und gespeicherter Informationen schützen. Das BSI empfiehlt in seinem Eckpunktepapier zur Sicherheit bei den Cloud-Computing-Anbietern: „Neben einem gut strukturierten Vorgehensmodell für alle IT-Prozesse sind insbesondere der Aufbau einer Sicherheitsarchitektur zum Schutz der Ressourcen (Mitarbeiter, Gebäude, Netze, IT-Systeme, Anwendungen, Daten etc.) und eine sichere Isolierung der Mandanten wichtig. Eine robuste Trennung der Kunden auf allen Ebenen des Cloud Computing Stacks (Anwendung, Server, Netze, Storage etc.) ist eine der grundlegenden Anforderungen, die jede Cloud Computing Plattform erfüllen sollte. Diese Anforderung gilt gleichermaßen für Public Clouds wie auch für Private Clouds.“

einleitung

7.6.

einletung

Folgende Bereiche sollten Nutzer und Anbieter bei jeder Form des Outsourcings – also auch beim Cloud Computing – sichern:

mobile netzwerKeDa sich immer mehr Benutzer von vielen verschiedenen Standorten aus anmelden, stellt dies die Netzwerksi-cherheit in ihrer herkömmlichen Form auf eine harte Probe. Firewalls werden immer durchlässiger, da Mitarbeiter über Smartphones, Tablets, Laptops und PCs auf Dienste zugreifen. Daher sind in diesem Bereich Sicherheits-lösungen erforderlich, die auf dem Niveau einer klassischen VPN-Anbindung, beispielsweise von Laptops, sind. Für viele Unternehmen liegt ein Fokus darauf, kleine Außenstellen oder Home -Offices besser anzubinden. In der IT-Planung kommt es dann darauf an, dass der plattformübergreifende Zugriff auf Unternehmensdaten sicher gestaltet wird – auch wenn die Netzwerkgrenzen immer weiter verschwimmen.

Diebstahl von zugangsDatenWenn Angreifer Zugangsdaten für den Zugriff auf Daten und Vorgänge stehlen, können sie Daten manipulie-ren, verfolgen und missbrauchen. Dieser Zugriff lässt sich durch Sicherheitsmaßnahmen verhindern.

FehlenDe verschlÜsselungIm Cloud Computing greifen Unternehmen sowohl mobil als auch über den herkömmlichen Anschluss auf Anwendungen und Daten zu, die im Cloud-Rechenzentrum betrieben und gespeichert werden. Damit kommt dem Übertragungsweg von der zugreifenden Hardware (Smartphones, Tablets, Laptops und PCs) eine besonders wichtige Rolle zu. Daten sollten daher grundsätzlich verschlüsselt übertragen werden.

unsichere schnittstellenWer Cloud-Dienste anbindet, muss die Schnittstellen der Anbieter kennen. Letztere versprechen das Ein-halten von Sicherheitsstandards. Sie sind aber nicht in irgendeiner Weise gesetzlich verpflichtet, diese Standards einzuhalten. Wer also sicher gehen will, dass Daten verschlüsselt und auf hohem Sicherheits-niveau übertragen werden, muss dies kontrollieren oder selbst dafür sorgen.

Mobile Endgeräte gegen Zugriff schützen, bei Verlust sperren und Daten löschen

Verbindung in die Cloud sichern und Daten verschlüsseln

ssl

E-Mails verschlüsseln und signieren

Netzwerke (LAN/WAN) schützen

Anmeldung und Zugriffsrechte der Mitarbeiter managen

Vertragsgestaltung, insbesondere Service Level Agreements, definieren

WLAN verschlüsseln

sicherheitsmassnahmen beim clouD-anwenDer

einleitung

unsichere inFrastruKturIm Unterschied zum klassischen Outsourcing werden in einem Cloud-Rechenzentrum die Daten und An-wendungen der Kunden oftmals nicht auf getrennten Infrastrukturen betrieben und verarbeitet. Dies erfor-dert neue Technologien, die eine logische Trennung auf virtueller Ebene sichern.

Kriminelle mitarbeiterDer Kunde vertraut dem Cloud-Anbieter seine Daten an. Er weiß aber meist nicht, welche technischen und organisatorischen Maßnahmen der Cloud-Anbieter anwendet, um den Umgang der Mitarbeiter mit Kundendaten zu regeln. Dazu gehören etwa Rechte und Richtlinien für den Zugriff auf Systeme und Daten. So könnten beispielsweise einzelne Mitarbeiter des Anbieters volle Zugriffsrechte auf die Daten besitzen – beispielsweise Administratoren – und sie für kriminelle Zwecke nutzen.

intransparente sicherheit beim clouD-anbieterOb und wie ein Cloud-Anbieter seine Rechenzentren sowie die Hard- und Software sichert, ist nicht so ein-fach überprüfbar. Daher sollten Cloud-Nutzer, die geschäftskritische Daten oder dem Datenschutz unterlie-gende persönliche Daten in der Cloud verarbeiten, nur seriösen und vertrauenswürdigen Anbietern trauen. Vertrauen basiert dabei auf der Einschätzung, ob ein Anbieter alle Risiken ausreichend, angemessen und nachhaltig abgedeckt hat, sowohl diejenigen aus dem Bereich der Informationssicherheit als auch aus Be-reichen wie Datenschutz, Technik und Recht. Einer transparenten Beschreibung der getroffenen technischen und organisatorischen Maßnahmen ist entlang der gesamten Produktionskette besondere Bedeutung beizu-messen. Eine Zertifizierung des Anbieters nach der Norm ISO 27.0.0.0. kann hier als Orientierung dienen.

in welchem rechenzentrum steht Die clouD-inFrastruKturAus datenschutzrechtlicher Sicht können der Standort eines Rechenzentrums, die Herkunft des Cloud-An-bieters und seiner Dienstleister sowie die Standorte, von welchen aus auf die Daten zugegriffen wird, wichtig sein. Vorgaben und Anforderungen des Auftraggebers können ebenso wie gesetzliche Anforderungen die Standortwahl einschränken. So dürfen personenbezogene Daten laut deutscher Datenschutzgesetzgebung ohne besondere Voraussetzungen nicht in jedem Land verarbeitet und gespeichert werden.

sicherheitsmassnahmen beim clouD-proviDer

Rechenzentren zertifizieren

Sicherung des Rechenzentrums

Standort des Rechenzentrums

Administrationsrechte definieren und Zugriffe monitoren

Sicherung von Hard- und Software

9.8.

Datenschutz unD compliance

einleitung

Mangelhafter Datenschutz wird häufig als grundsätzliches Risiko für Cloud-Dienste angeführt. Dabei wird aller-dings oftmals sehr unpräzise über die datenschutzrechtlichen Aspekte berichtet. Grundsätzlich ist aus Sicht des Datenschutzes Cloud Computing nur dann relevant, wenn der Cloud-Anbieter in seinen Rechenzentren perso-nenbezogene Daten verarbeitet, das heißt, sich Einzelangaben einer bestimmten oder bestimmbaren Person zuordnen lassen. Derartige Daten können dabei sowohl Kunden- als auch Mitarbeiterdaten sein, die ein Cloud-Nutzer mittels einer Software verarbeitet oder in der Cloud speichert. Personenbezogene Daten sind etwa Angaben zu Wohnort, Geschlecht, Alter, Religion oder Augenfarbe, aber auch Informationen darüber, welches Auto jemand besitzt oder welche Verträge jemand abschließt. Bei den Mitarbeitern kommen beispielsweise noch Informationen zur schulischen Ausbildung, Gehaltsangaben oder auch Leistungsbewertungen hinzu.

Solche Angaben unterliegen in Deutschland einem sehr strengen Datenschutzrecht – insbesondere dem Bundesdatenschutzgesetz. Für einen Provider wie die Telekom greifen darüber hinaus weitere Gesetze wie das Telekommunikations- (TKG) oder das Telemediengesetz (TMG). Allen Gesetzen gemein ist, dass sie auch für Cloud-Dienste greifen können. Daher ist es zunächst unerheblich, ob ein Unternehmen personenbezo-gene Daten in eigenen Rechenzentren, als Outsourcing in fremden Rechenzentren oder in Cloud-Rechen-zentren verarbeitet und speichert.

Eine Besonderheit macht die datenschutzrechtliche Bewertung von Cloud-Angeboten jedoch komplizierter: Clouds können grenzüberschreitend gestaltet sein. Dies gilt besonders für weltweit agierende Cloud-Anbieter, die Rechenzentren auf mehreren Kontinenten und in zahlreichen Ländern betreiben. Bei Massendaten, wie sie in der Regel bei Cloud-Angeboten für Privatkunden anfallen, bleibt oftmals unklar, in welchen Ländern auf welchen Servern personenbezogene Daten gespeichert sind und von welchen Ländern aus darauf zuge-griffen werden kann. Anbieter solcher Cloud-Angebote sollten deutlich machen, in welchen Ländern bzw. Rechenzentren sie Daten speichern und verarbeiten.

Denn nutzen Unternehmen Cloud Computing, sind sie als Auftraggeber verpflichtet, das Datenschutzrecht des eigenen Landes zu beachten – unabhängig vom tatsächlichen Standort des Rechenzentrums.

Innerhalb des europäischen Binnenmarktes gibt es mit der Europäischen Datenschutzrichtlinie (EU-DSRL) eine gesetzliche Grundlage für eine grenzüberschreitende Datenverarbeitung. Richtlinien wirken jedoch nicht unmittelbar, sondern müssen erst in nationales Recht umgesetzt werden. Derzeit arbeitet die EU an einer EU-Datenschutz-Grundverordnung, die sofort nach ihrer Verabschiedung in allen EU-Mitgliedstaaten greifen soll. Bis zur Verabschiedung ist für das grenzüberschreitende Cloud Computing daher nur gewährleistet, dass in den betroffenen Staaten Regelungen zum Datenschutz bestehen, die den grundsätzlichen Vorgaben der EU-DSRL entsprechen. Hinsichtlich der konkreten nationalgesetzlichen Ausgestaltung des Datenschutzes besteht für die EU-Mitgliedstaaten jedoch ein gewisser Umsetzungsspielraum. Dies führt dazu, dass die Datenschutz-gesetzgebung in einigen EU-Ländern weitaus weniger restriktiv ist als etwa in Deutschland oder Polen.

welcher Datenschutz greiFt?

Charakteristisch für Cloud Computing ist die Weitergabe der Daten vom Cloud-Nutzer an den Cloud-Anbieter. Damit handelt es sich im Sinne des Datenschutzrechts um eine Auftragsdatenverarbeitung – also nichts Neues: Die Auftragsdatenverarbeitung ist im Bundesdatenschutzgesetz schon seit Jahren geregelt. Kurz zusammenge-fasst bedeutet die Auftragsdatenverarbeitung, dass Unternehmen ihre Daten unter bestimmten Bedingungen an Dritte zur Verarbeitung – also etwa in ein externes Rechenzentrum – geben dürfen. Bei der Auftragsdaten-

verarbeitung verbleibt die datenschutzrechtliche Verantwortlichkeit allerdings beim Cloud-Nutzer als Auftrag-geber. Er verantwortet als Auftraggeber damit die datenschutzrechtliche Zulässigkeit der Datenverarbeitung.

Für die Auftragsdatenverarbeitung sind eine Reihe formaler Anforderungen umzusetzen. Sie setzt eine schrift-liche Vereinbarung voraus, die im Bundesdatenschutzgesetz (§ 11 Abs. 2) genauer geregelt ist. So darf der Cloud-Computing-Anbieter als Auftragnehmer über die Verarbeitung und Nutzung der Daten nicht eigenver-antwortlich entscheiden. Er unterliegt also den Weisungen des Cloud-Nutzers. Der Auftraggeber hat die Pflicht, sich beim Auftragnehmer vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Dies muss nicht zwingend stets durch eine Vor-Ort-Kontrolle geschehen, sondern kann unter bestimmten Voraussetzungen auch durch unabhängige Stellen oder entsprechende Dokumentationen des Cloud-Anbieters testiert werden.

Für das Cloud Computing ergibt sich eine zusätzliche, aber lösbare Herausforderung bezüglich des Daten-schutzes: Es sollte dem Cloud-Nutzer transparent sein, in welchem Land sich ein Rechenzentrum und damit seine Daten befinden. In einem klassischen IT-Outsourcing-Projekt ist dem einzelnen Kunden immer bekannt, in welchem Rechenzentrum seine Daten gespeichert werden. Eine Auslagerung der Daten in ein anderes Rechenzentrum ist ohne vorherige Kundenzustimmung regelmäßig vertraglich ausgeschlossen oder reglementiert. Meist kann der Kunde das Rechenzentrum betreten und sich persönlich einen Überblick über physikalische Sicherheitsmaßnahmen verschaffen. Beim Cloud Computing ist es Kunden dagegen nur dann möglich zu überprüfen, wo Daten gespeichert oder virtuelle Maschinen betrieben werden, wenn ihm die Standorte der Rechenzentren bekannt sind. Daher sollten Auftraggeber vertraglich genau festlegen, wo welche Daten verarbeitet und gespeichert werden dürfen. In Outsourcing-Projekten großer Unternehmen ist diese Vorgehensweise gang und gäbe.

Dazu ein Beispiel: Ein deutsches Unternehmen nutzt in der Cloud eine Software, mit der es Kunden verwaltet, Angebote und Rechnungen erstellt sowie Mahnverfahren steuert. Das Unternehmen muss nun prüfen, ob es hier personenbezogene Daten in die Cloud stellt. Ist dies der Fall, greift unter anderem das Bundesdatenschutzgesetz. Das Unternehmen müsste daher mit dem Software-Anbieter klären, wo dieser seine Software betreibt und wo er die Daten speichert. Weist der Anbieter nach, dass er Rechenzentren ausschließlich in Deutschland oder in einem Staat der EU oder des Europäischen Wirtschaftsraums (EWR) betreibt, ist die Nutzung der Software in der Cloud aus gesetzlicher Sicht grundsätzlich möglich. Betreibt der Anbieter Rechenzentren in sonstigen Staaten, könnte es kritisch sein. Dann könnte der Cloud-Nutzer zum Beispiel vereinbaren, dass seine Daten nur in Staaten mit anerkanntem Datenschutzniveau verarbeitet werden. Dafür sind zusätzliche vertragliche Vorkehrungen zu treffen.

vertragsinhalte

Der Auftraggeber ist verantwortlich für die rechtskonforme Verarbeitung seiner Daten; der Auftragnehmer muss die Anforderungen sicherstellen. Während die Kontrolle im klassischen Outsourcing noch überschau-bar ist, lässt sich dieser Verantwortung in Cloud-Strukturen schwieriger gerecht werden. Insbesondere dann, wenn die Dienstleister gegenüber dem Cloud-Nutzer keine Auskunft zur Art und zum Ort der Verarbeitung und zu den Sicherungsmaßnahmen geben können. Wenn das der Fall ist, ist die Verarbeitung durch einen solchen Dienstleister gesetzeswidrig.

Dem gegenüber ist eine datenschutzgerechte Datenverarbeitung in der Cloud vorstellbar, wenn dem Cloud-Nutzer als verantwortlicher Stelle umfassende Transparenz über diese Rahmenbedingungen und Wahlmög-lichkeiten gewährt werden. Die Telekom ermöglicht diese Transparenz für ihr gesamtes Cloud-Angebot, sowohl für KMUs als auch für Großunternehmen und Privatnutzer.


1110.


Die genauen Modalitäten der Nutzung von Cloud-Services sollten klar geregelt werden. Dazu gehören neben der Beschreibung der gewünschten Leistungen inklusive Dienstgütevereinbarungen unter anderem die Klä-rung von Punkten wie Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestal-tung der Sicherheitsvorkehrungen, Umgang mit Kundendaten und Weitergabe von Informationen an Dritte.

anForDerungen

Der Cloud-Anbieter muss seinen Kunden überzeugend darlegen können, wie und unter welchen Rahmenbe-dingungen er seine Rechenzentren betreibt und sichert. Nur so kann der Kunde das notwendige Vertrauen aufbauen, um seine Daten dem Provider anzuvertrauen. Insbesondere Anbieter von Public-Cloud-Diensten stehen in der Pflicht, die notwendigen Informationen zu liefern. Dazu gehört es, die Vertrags- und Geschäfts-bedingungen verständlich und nachvollziehbar offenzulegen. Beim Public-Cloud-Computing werden stan-dardisierte IT-Ressourcen durch einen externen Dienstleister bereitgestellt. Dabei teilen sich viele Kunden eine virtualisierte Infrastruktur. Die Daten und Anwendungen werden hierbei zwar auf denselben physischen Rechnern gespeichert, aber mittels Virtualisierungstechnologien logisch voneinander getrennt. Public-Cloud-Lösungen eignen sich für Unternehmen jeder Größe. Besonders für Unternehmen ist es bedeutend, dass der Anbieter von Cloud-Diensten bereit ist, Service Level Agreements (SLAs) zu vereinbaren. Hier wird verbindlich festgelegt, in welchem Umfang ein Kunde Dienste nutzen kann, wie verfügbar ein Service sein muss oder wie die Reaktionszeiten sind, falls es zu Ausfällen und Fehlern kommt.

Ein Cloud-Anbieter muss auch offenlegen, an welchen Standorten – Länder und Regionen – er die Daten speichert und verarbeitet. Es sollte auch transparent sein, wie Anbieter ihre Standorte absichern und welche Schutzmaßnahmen sie insgesamt für den sicheren Betrieb ihrer Rechenzentren ergreifen. Es ist auch wichtig zu erfahren, wie sich lokale rechtliche Regelungen auf die Kundendaten auswirken können. Besonders im unternehmerischen Kontext ist es auch bedeutend zu wissen, wie die Rechts- und Besitzverhältnisse des Anbieters aussehen. Einige Anbieter von Software-as-a-Service betreiben ihre Software nicht auf eigenen Plattformen und Infrastrukturen. Dann müssen die Anbieter den Cloud-Nutzern deutlich machen, welche Subunternehmen an welchen Standorten welche Zugriffe auf die Kundendaten haben.

service level agreement

Ein Service Level Agreement (SLA) hält die Leistungen vertraglich fest, die der Cloud-Anbieter erbringen muss. Dazu gehören funktionale und juristische Vereinbarungen. Teilweise sind in SLAs konkrete Werte für die Leistungserbringung definiert. Diese müssen für den Kunden messbar sein, beziehungsweise muss der Service-Anbieter nachweisen können, dass die Leistungen wie vereinbart erbracht worden sind. Typische Beispiele für solche Vereinbarungen sind die Verfügbarkeit eines Dienstes oder die Wiederherstellungszeit eines Services. Sagt der Anbieter seinem Kunden etwa zu, dass er einen Service zu 9.9.,5 Prozent erbringt, dann darf die Ausfallzeit diesen Wert über einen definierten Zeitraum nicht überschreiten. Auch sicherheits-relevante Inhalte sollten Bestandteil der SLAs sein. Über diese lassen sich bei Bedarf über das Normalmaß hinausgehende Sicherheitsmaßnahmen definieren. Dies stärkt das Vertrauensverhältnis von Cloud-Nutzer und Cloud-Anbieter.

Verlagert der Cloud-Anbieter seinen Standort oder muss schlimmstenfalls Insolvenz anmelden, sollte gere-gelt sein, wie der Kunde seine Daten bekommt. In Deutschland regelt dies im Grundsatz das Insolvenzrecht. Es empfiehlt sich aus Gründen der Rechtssicherheit – insbesondere bei ausländischen Anbietern – jedoch, die Verpflichtung und die Art und Weise der Übergabe genau festzuhalten. Dazu gehört es auch, dass der


Anbieter nach Übergabe die Daten löscht. Gleiches gilt auch, wenn der Cloud-Nutzer sein Vertragsverhältnis beendet. Dann muss sichergestellt sein, dass er seine Daten erhält und der Anbieter sie anschließend löscht.

compliance

Oftmals handelt es sich bei den in einer Cloud-Anwendung gespeicherten Informationen um Daten, die ein Unternehmen aus gesetzlichen Gründen über einen längeren Zeitraum vorhalten muss. Dazu gehören unter anderem steuerrelevante Daten. Wer also IT-Services aus der Wolke bezieht, muss neben der Erfüllung des Datenschutzes auf weitere Compliance-Vorgaben beim Cloud-Anbieter achten. Bei Verwendung der Cloud-Anwendungen müssen Cloud-Nutzer also die geforderten sonstigen rechtlichen Bestimmungen einhalten. Dazu gehören etwa Verordnungen wie Basel II oder EuroSox sowie � gesetzliche Dokumentations- und Archivierungspflichten, � steuer-, handels- und bilanzrechtliche Anforderungen, � spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, Kreditwesengesetz, MaRisk etc., oder das Strafgesetzbuch für Verschwiegenheitspflichten.

KMUs fällt es schwer, die Vielzahl der Gesetze, Verordnungen und Regelwerke zu überblicken. Sie können sich in der Regel keinen Compliance-Fachmann leisten. Jedoch enthebt sie dies nicht ihrer Verantwortung. Dagegen verfügt ein Anbieter von Cloud-Services meist über eine höhere Kompetenz in Bezug auf Com-pliance-Regeln. So kann er beratend unterstützen und, falls notwendig, unter anderem Daten inklusive der Protokolle revisionssicher speichern.

Datenschutz unD compliance Der clouD-angebote Der teleKom

Die Telekom verarbeitet die eigenen Kundendaten in Deutschland. Dritte greifen allenfalls im Rahmen von Wartungsarbeiten oder 3rd Level Support auf unsere Systeme zu – was nicht notwendigerweise den Zugriff auf Kundendaten beinhaltet. Darüber hinausgehende Übermittlungen erfolgen nur mit ausdrücklichem Einverständnis im Einzelfall.

Die Deutsche Telekom bietet für Mittelstands- und Privatkunden eine Reihe von Cloud-Lösungen an. Privat-personen können beispielsweise Bilder, Videos, E-Mails, Kontakte, Termine und Dokumente in der Cloud speichern und zu jeder Zeit, an jedem Ort und von jedem Gerät darauf zugreifen.

Für den Mittelstand stellt die Telekom auf dem Business Marketplace eine ganze Reihe von eigenen Software-Angeboten sowie von Drittanbietern aus der Cloud bereit. Dazu gehören etwa Office 36.5 sowie der effektive Schutz vor Viren und Malware mit der Symantec Endpoint Protection. Mit der Produktreihe „STRATO HiDrive“ können Mitarbeiter Dateien nicht nur speichern, sondern auch teilen und gemeinsam bearbeiten. Mit Pro-dukten von „Scopevisio“ können KMUs in der Cloud ihre gesamte Buchhaltung sowie das Kundenmanage-ment durchführen. Mit „SilvERP“ steht eine auf Branchen fokussierte Geschäftssoftware zur Verfügung, mit der sich die Material- und Warenwirtschaft eines Unternehmens in der Cloud umsetzen lässt.

Die meisten Cloud-Services – für KMUs und Privatkunden – erbringt die Telekom aus eigenen Cloud-Rechenzentren in Deutschland. Alle diese Cloud-Rechenzentren erfüllen höchste Anforderungen an die Sicherheit. Das Hosting und der Betrieb der Applikationen in Deutschland gewährleisten den Nutzern der Cloud-Services, dass ihre Daten der strengen Datenschutzgesetzgebung in Deutschland entsprechen.

1312


Einige Cloud-Angebote auf dem Business Marketplace werden von den Anbietern der Software in deren eigenen oder bei Dritten angemieteten sicheren Rechenzentren außerhalb Deutschlands betrieben. Die An-gebote der Partner werden durch die Telekom vorab einer strengen Prüfung und danach einer regelmäßigen Kontrolle unterworfen. Damit Geschäftskunden hier volle Transparenz haben, hat jeder Cloud-Service des Business Marketplace eine eindeutige Kennzeichnung in Bezug auf den Sitz des Rechenzentrums, in dem die Applikation betrieben wird, sowie den Sitz des Anbieters. Die Plattform, auf der der Cloud-Marktplatz der Telekom betrieben wird, hat von der TÜV Saarland Gruppe das Siegel „Geprüfte Cloud-Sicherheit“ erhalten. Dazu wurde das Portal unter anderem auf Aspekte wie Datenschutz und Datensicherheit untersucht.

Die Managed IT Services der Telekom sind Private-Cloud-Angebote, das bedeutet, dass den Nutzern Ser-verkapazitäten exklusiv zur Verfügung stehen. Diese Managed Services werden stets in Rechenzentren in Deutschland gehostet und betrieben.

Da es sich bei der Nutzung von Software aus der Cloud regelmäßig um Auftragsdatenverarbeitung handelt, bietet die Telekom im Rahmen der Nutzung gemäß § 11 Bundesdatenschutzgesetz (BDSG) dem Cloud-Nutzer den Abschluss eines Vertrages über die Verarbeitung der Daten an. Dazu steht ein Vertrag über die Verarbeitung personenbezogener Daten zum Download bereit. Aufgrund der vielfältigen Nutzungsmög-lichkeiten der Cloud-Anwendungen obliegt es jedoch dem Cloud-Nutzer zu prüfen, ob er im Rahmen der Nutzung der Cloud-Anwendung personenbezogene Daten erhebt, verarbeitet oder nutzt und es daher im jeweiligen Einzelfall der Abschluss eines solchen Vertrages erforderlich ist.

Der Vertrag definiert unter anderem die Schutzpflichten der Telekom. Danach verpflichtet sich die Telekom beispielsweise dazu, Daten für keine anderen Zwecke zu nutzen und sie grundsätzlich nicht an Dritte weiter-zugeben. Die Telekom trifft weiterhin die zum Schutz der Daten erforderlichen technischen und organisato-rischen Maßnahmen gem. der Anlage zum § 9. BDSG.

Sie gibt etwa vor, � Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

� zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

� zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

� zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezo-gene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

� zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

Damit Cloud-Nutzer die Umsetzung der Vorgaben kontrollieren können, stellt die Telekom entsprechende Testate bereit. Sie werden dem Kunden auf Anfrage zur Verfügung gestellt und in regelmäßigen Abständen, mindestens alle 24 Monate, aktualisiert. Auch Einzelkontrollen durch einen Kunden selbst oder durch einen von ihm beauftragten Dritten sind in den meisten Fällen auf Kosten des Kunden möglich.

Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien vernichtet die Telekom entspre-chend der vertraglichen Vereinbarung datenschutzgerecht. Ausnahme stellen Daten dar, die die Telekom aufgrund gesetzlicher Verpflichtung vorhalten muss. Nach Ablauf der gesetzlichen Aufbewahrungspflichten werden aber auch diese Daten gelöscht.

Die Telekom unterstützt den Kunden bei der Wahrnehmung seiner datenschutzrechtlichen Pflichten. Geprüft wird die Einhaltung des Datenschutzes durch den Datenschutzbeauftragten, der die Aufgaben gem. § 4g Bundesdatenschutzgesetz (BDSG) wahrnimmt.

Die Verträge enthalten zudem genaue Angaben über die Standorte der Datenverarbeitung und ggf. eingesetzte Subunternehmer.

Weiterhin definiert der Vertrag die technisch-organisatorischen Maßnahmen, um die IT-Sicherheit zu gewährleisten.

Schon im Entwicklungsprozess prüft die Telekom alle sicherheitsrelevanten Aspekte eines Produktes: Spezia-lisierte Sicherheitsexperten, die die Entwicklung des Produktes nicht begleitet haben, suchen dabei gezielt nach Sicherheitslücken – und zwar mit aktuellen Hacker-Methoden. Auch die Produkte von Zulieferern werden auf diese Weise auf Herz und Nieren gerüft. Der gesamte Produktentwicklungsprozess ist außerdem nach ISO 27.0.0.1 zur Informationssicherheit durch die Deutsche Gesellschaft für Qualität (DGQ) zertifiziert.


1514

geFahren unD sicherheits-massnahmen beim clouD-nutzer

einleitung

IT-Sicherheit betrifft nicht allein den Cloud-Anbieter. Häufig treten beim Cloud-Nutzer auch Sicherheitsmän-gel auf. In der Regel sind diese nicht spezifisch für Cloud Computing. Vielmehr gelten diese Sicherheits-mängel für jede Form der IT-Nutzung. Typische Beispiele dafür sind unzureichend oder gar nicht gesicherte lokale und standortübergreifende Netze, nicht gesicherte Desktops sowie mobile Endgeräte wie Smart-phones oder Laptops.

Eine Untersuchung des Deutschland sicher im Netz e. V. (DsiN) zur IT-Sicherheitslage von KMUs in Deutschland zeigt, dass mehr als die Hälfte der Unternehmen keinen E-Mail-Schutz nutzen, ein Drittel keine organisatorischen Maßnahmen für mehr IT-Sicherheit aufsetzen und 29. Prozent keine Benutzer- und Rechteverwaltung verwenden. Dabei stellen Mitarbeiter selbst ein nicht unerhebliches Risiko dar – meist durch unbewusst falsches Handeln, aber auch mit kriminellen Motiven. Dazu gehört zum Beispiel, wenn sie aus Unzufriedenheit mit ihrem Arbeitgeber bewusst Daten missbrauchen. Häufig können unberechtigte Mitarbeiter, aber auch externe Dienstleister völlig ungehindert Serverräume betreten oder beliebig auf Software und Daten zugreifen. Auch nicht gesicherte E-Mail-Kommunikation oder mobile Speichermedien wie USB-Sticks, externe Festplatten oder Smartphones stellen Ge-fahrenquellen dar, insbesondere dann, wenn mit ihnen unbewusst Viren oder Trojaner in Systeme eingeschleppt werden. Auch wenn viele dieser Gefahren nicht typisch für Cloud Computing sind, spielen Sicherheitsmaßnahmen des Cloud-Nutzers hierfür eine wichtige Rolle, um sich ganzheitlich gegen Gefahren und Risiken abzusichern.

Eine repräsentative Umfrage im Auftrag des Hightech-Verbands BITKOM unter Erwerbstätigen ergab 20.12, dass ein Fünftel (21 Prozent) der Beschäftigten von ihrem Arbeitgeber keinerlei Vorgaben zur Verhinderung von Computerkriminalität bekommen. Dazu gehören etwa Regeln für die Benutzung von Passwörtern oder den Umgang mit externen Datenträgern wie USB-Sticks. Laut der Umfrage sagt nur jeder zweite Erwerbstätige, dass es in seinem Betrieb Richtlinien für die Benutzung von Passwörtern gibt. 41 Prozent der Unternehmen verfügen über Vorgaben für den Umgang mit externen Datenträgern. Dabei dienen USB-Sticks häufig als Träger von Viren oder anderen Schadprogrammen. Nur ein Drittel (31 Prozent) der befragten Erwerbstätigen erhält von seinem Arbeitgeber Regeln für den Umgang mit mobilen Endgeräten wie Smartphones, Notebooks oder Tablet-PCs.

netze (lan/wan)

Cloud-Services, Mobilgeräte, Telemitarbeiter und WLANs weiten Netzwerke immer mehr über ihre traditio-nellen Unternehmensgrenzen aus. Je komplizierter diese Netzwerke werden, desto mehr müssen IT-Abtei-lungen sich Gedanken machen, wie sie ihre Daten effektiv schützen können.

Sollen schutzbedürftige Daten über nicht vertrauenswürdige Netze, wie beispielsweise das Internet, übertra-gen werden, sind Sicherheitsmaßnahmen zu realisieren. Zur effektiven und effizienten Verwaltung der Netz-werke sind weitere IT-Sicherheitsmaßnahmen erforderlich. Marktbeobachter gehen davon aus, das sogenann-te „Advanced Persistent Threats“ (APTs) – bei dem Angreifer gezielt in Netze eindringen – auf lange Sicht das größte Risiko für Unternehmen sein werden.

Eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 20.11 zeigt, dass 26. von 30. befragten mittelständischen Unternehmen bereits Virtual Private Networks (VPN) nutzen, die den Schutz der Daten beim Transport gewährleisten. Etwa acht von zehn Unternehmen nutzen schon ein Netz- und Systemmanagement, womit sie Netzwerkkomponenten und IT-Systeme verwalten und steuern. Diese Systeme zeigen automatisiert an, wenn Netzfehler auftreten oder Angriffe auf das Netz erfolgen. Damit lassen sich dann aktiv Gegenmaßnahmen einleiten.

Auch die WLAN-Dichte nimmt immer mehr zu. Eine Umfrage von Sophos zur Netzwerksicherheit im Jahr 20.12 ergab aber, dass nur 21 Prozent aller IT-Entscheidungsträger von der Sicherheit ihrer Unternehmens-WLANs überzeugt sind. Die Studie, für die Sophos 57.1 IT-Entscheider befragt hat, ergab außerdem, dass 44 Prozent al-ler Befragten das wachsende Bedürfnis nach cloudbasierten Services als zentrales Anliegen bei der Absiche-rung von Netzwerken einstufen. Jedes fünfte Unternehmen hatte schon einmal infolge einer Malware-Infektion einen Netzwerkausfall verkraften müssen.

Einer der größten Nachteile eines WLANs ist der fehlende physikalische Schutz einer Kabelverbindung. Ein Funknetz strahlt in der Regel deutlich über die Hauswand hinaus. Dies eröffnet potenziellen Angreifern viele Möglichkeiten, in sicherer Entfernung zum Ausgangspunkt des WLANs Funkübertragungen auszuspionieren.

wlan-verschlÜsselung

Die Verschlüsselung des WLANs bietet erste Sicherheit gegen Missbrauch. Hierfür sollten Nutzer eine sichere WPA2-Verschlüsselung anwenden, denn sie bietet mehr Schutz. Ein komplexes Passwort unterstützt die Ver-schlüsselung zusätzlich.

Maßnahmen zur WLAN-Sicherheit: � Eigenen, frei wählbaren Namen (SSID) für das WLAN vergeben. Bei Auswahl des Namens für die SSID sollte Folgendes beachtet werden: Die SSID sollte keine Rückschluss auf Orts-, Personen- Firmen-, Geräteangaben beinhalten.

� Eigenes Administrations-Passwort für den Access Point vergeben. � Das Startpasswort zur Administration muss vollständig geändert werden und muss sich vom WPA2-Schlüssel unterscheiden.

� Als Verschlüsslungsminimum sollte WPA2 mit mindestens 14-stelligem Schlüssel eingesetzt werden. Ältere Verschlüsselungen bzw. keine Verschlüsselung muss vermieden werden.

� Virtuelles Privates Netzwerk (VPN) bei unverschlüsselten Hotspots einsetzen (beim Einsatz der oben genannten Kryptographie überflüssig).

� WLANs von anderen Netzwerk-Segmenten logisch trennen. WLANs logisch zu trennen ist nicht notwendig, wenn sich Geräte eindeutig über Zertifikate identifizieren können – im besten Fall mit Sperrlistenfunktion.

� Regelmäßige Audits mit aktuellen Hacker-Tools.

DatenverschlÜsselung

Durch Verschlüsselung der übertragenen Datenpakete lassen sich viele Angriffe vermeiden. In Cloud-Computing-Systemen ist eine verschlüsselte Übertragung der Daten vom Konsumenten zum Anbieter weit verbreitet und sollte für alle Daten stets verwendet werden. Der verschlüsselte Kanal sollte dabei jedoch nicht beim Übergang des öffentlichen in das private Netzwerk des Cloud-Anbieters enden. Häufig sind die Daten im privaten Netzwerk des Cloud-Anbieters unverschlüsselt und werden unverschlüsselt abgespeichert. Innerhalb der privaten Netzwerke des Anbieters sind ggf. passive Angriffe möglich, sodass der Anbieter Vorkehrungen, z. B. die Isolierung des Datenverkehrs einzelner Benutzer, treffen sollte.

geFahren unD sicherheitsmassnahmen beim clouD-nutzer

17.16.


DesKtops unD soFtware

Desktop-Nutzer gehen nach wie vor allzu leichtsinnig mit Hard- und Software um. Auch Cloud-Nutzer sollten aktuelle Viren-Schutz-programme und ein Anti-Spyware-Programm installieren. Wer eine Personal Firewall einsetzt und sie regelmäßig aktualisiert, schützt sich vor Angriffen aus dem Internet. Es ist wichtig, den Schutz der Software auch dann vorzunehmen, wenn Sicherheitsmaßnahmen bereits im Netzwerk vorhanden sind. Hier gilt das Motto: Doppelt gemoppelt hält besser.

Häufig ignorieren PC-Nutzer auch die Hinweise auf Sicherheitsupdates für ihr Betriebssystem und sonstige Software. Diese Sicher-heitsupdates sind jedoch wichtig, da sie Schwachstellen in Betriebssystemen, Browsern oder anderen Programmen schließen. Betriebssysteme bieten die Möglichkeit, sich als Nutzer mit eingeschränkten Rechten oder als Administrator anzumelden. Als Administrator sollten sich nur geschulte Mitarbeiter anmelden können. Beim Surfen sollten Anwender immer auf Administratorrechte verzichten. Manche Browser warnen vor bösartigen Webseiten. Daher sollten insbesondere Cloud-Nutzer Browser mit sehr guten Sicherheitseigenschaften wählen.

risiKo usb-sticKs

Der Flame-Virus hat sich über mobile Speichergeräte wie USB-Sticks verbreitet. War ein PC mit Internetverbindung infiziert, hat sich die Malware auf das Gerät kopiert. Steckte der Nutzer den Stick an einen anderen Rechner, zog sich Flame die Daten und übermittelte sie an seine Entwickler. Dies passiert sogar, wenn ein Rechner keine Internetverbindung hatte. Dann erfolgte die Übermittlung der Daten bei erneuter Verbindung zum Internet. Über solche Viren werden Mitarbeiter ohne ihr Wissen für Datentransporte missbraucht und ermöglichen so den Datendiebstahl aus geschützten und unzugänglichen Umgebungen.

Experten raten daher, � fremde USB-Sticks nicht am eigenen Rechner zu verwenden, � falls doch notwendig, den USB-Stick mit aktueller Anti-Virensoftware prüfen zu lassen. Autorun- und Autoplay-Funktionen zu deaktivieren, � ein USB-Stick-Management einzuführen und nur verschlüsselte und dem System bekannte USB-Sticks zu verwenden, � eigene USB-Sticks mit sensiblen Daten nicht in fremde PCs zu stecken, da sie ausgespäht werden könnten, � USB-Sticks mit einem Schreibschutz vor Schadsoftware zu schützen.

verwaltung von anmelDeDaten (benutzername/passwort)

Die Identitäts- und Berechtigungsverwaltung ist ein wichtiger Bestandteil der Zugriffskontrolle. Ein Cloud-Anbieter muss den Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern. Der Cloud-Nutzer kann entweder ein eigenes ID- und Rechtemanagement einführen und betreiben. Oder der Cloud-Serviceanbieter stellt dem Kunden ein ID-Management zur Verfügung oder baut eine Schnittstelle zu einem externen Identitätsanbieter auf. Grundsätzlich benötigt ID-Management die Elemente Authentisierung und Autorisierung.

authentisierungDas Identitäts- und Berechtigungs-Management sorgt dafür, dass nur befugte Personen IT-Ressourcen nutzen können, sowohl bestimmte Hardware als auch Software. Der Zugriff wird durch Identifikation und Authentifikation der Benutzer abgesichert. Je sicherheitskritischer eine Anwendung ist, desto stärker sollte das Authentisierungsverfahren sein. Banken zum Beispiel setzen für das Online-Banking auf eine Zwei-Faktor-Authentisierung. Kunden müssen sich zunächst mit einer nur ihnen bekannten PIN in das Online-Banking einloggen. Kunden müssen dann jede Aktion wie etwa eine Überweisung mit einer eTAN oder mobileTAN, die wiederum nur ihnen bekannt ist, bestätigen. Direkte Zugriffe auf Cloud-Angebote über das Internet sollten Unternehmen über eine starke Authenti-sierung absichern.

autorisierungEin Rechtemanagement gewährleistet, dass Mitarbeiter nur auf die Daten einer Cloud-Anwendung zugreifen können, die sie zur Erfüllung ihrer Aufgabe tatsächlich benötigen. Dafür definiert der Cloud-Nutzer die unter-schiedlichen Rollen und weist ihnen Berechtigungen zu. So kann es sein, dass Mitarbeiter zwar Einsicht in Daten einer Software erhalten, aber diese Daten nicht verändern können. Andere wiederum dürfen bestimmte Anwendungen gar nicht nutzen. Es kann auch verhindert werden, dass Mitarbeiter Daten auf ihrem PC oder auf externen Medien wie USB-Sticks speichern. Wenn Nutzer universelle Rechte erhalten, dann sollten ihre Aktionen nachvollziehbar und nachweisbar dokumentiert sein. Importiert oder exportiert jemand Daten, lässt sich dann genau prüfen, welche Daten zu welchem Zeitpunkt auf welchem Medium gespeichert wurden. Für besonders kritische Aktionen kann es sinnvoll sein, ein Vier-Augen-Prinzip anzuwenden. Dann müssen immer zwei Personen mit ihren Zugangsbe-rechtigungen die Aktion autorisieren.

antiviren-soFtware unD spamschutz

Der Cloud-Anbieter schützt seine Cloud-Dienste sowie seine Rechenzentren unter anderem mit einer Vielzahl von Firewalls oder Antiviren-Software. Die Cloud-Nutzer müssen aber auch ihre Rechner gegen Schadpro-gramme wie Trojaner, Viren und Würmer schützen. Inzwischen gibt es nahezu kein Unternehmen mehr, das noch keine Antispam-/-Antivirensoftware auf seinen Rechnern installiert hat.

Eine Antiviren-Software überprüft Dateien, darunter auch Anhänge von E-Mails, auf mögliche Infektionen. Dafür ist es aber unerlässlich, die Abwehrsoftware laufend auf dem neuesten Stand zu halten. Daher sollte die Aktuali-sierungsfunktion nicht abgeschaltet werden, da ansonsten Rechner schon in kürzester Zeit neuen Gefahren aus-gesetzt sind. Experten gehen davon aus, dass täglich Tausende neuer Schadprogramme im Internet auftauchen.

Auch eine Personal-Firewall zwischen PC und Internet ist für Unternehmen unerlässlich. Eine Firewall kontrol-liert den Datenverkehr und verhindert, dass gefährliche Datenpakete überhaupt ins System gelangen oder jemand von außen unerlaubt auf einen PC zugreift. Einen Überblick über Angriffe aus dem Netz bietet die Internetseite www.sicherheitstacho.eu.

smartphones/tablet-pcs/laptops

Mobile Endgeräte übernehmen immer mehr klassische PC-Aufgaben. Dadurch erweitert sich das Bedrohungs-potenzial deutlich. Allein schon deshalb, weil die Kommunikation oft ganz ungesichert per WLAN erfolgt. Weiter-hin besitzen mobile Betriebssysteme und Applikationen aus technischer Sicht noch keinen hohen Reifegrad. Die größten Sicherheitsbedrohungen für Mobilgeräte liegen neben Würmern und Trojanern im gezielten Dieb-stahl der Geräte, und damit auch der Daten und Informationen. Dies birgt ein hohes Risiko, denn Mobilgeräte – oft gleichzeitig beruflich und privat genutzt – enthalten eine Fülle wertvoller und persönlicher Informationen.

Angreifer, so der aktuelle „Threat-Landscape-Bericht“ der EU-Agentur für Netz- und Informationssicherheit Enisa, suchen in Zukunft vor allem Sicherheitslecks in mobilen Geräten und damit Zugriff auf eine Server-Wolke. Die Attacken richten sich vorwiegend auf niedrige Ebenen der Cloud-Infrastruktur. Dazu zählen die Programmier-schnittstellen, insbesondere dann, wenn sie Sicherheitsaufgaben wie die Datenverschlüsselung übernehmen.


19.18.

Der Schutz von persönlichen Informationen kann also schwierig sein, zumal immer mehr personenbezogene Daten auf Handys und Tablets gespeichert werden. Laut dem Lookout-App-Genome-Report sind 28. Prozent der kostenlosen Apps in Google Play und mehr als ein Drittel der kostenlosen Apps in Apples App Store in der Lage, auf den Standort zuzugreifen. Nicht zuletzt sind mobile Geräte anfällig für Verlust oder Diebstahl. So verlieren Münchner, Hamburger und Berliner alle zwei Jahre ihr Handy, Kölner durchschnittlich jedes Jahr. Manche Apps, die auf Daten zugreifen, um beispielsweise Dienste mit Ortsbezug anbieten zu können, greifen dabei auf mehr Informationen zu, als für den Dienst nötig ist – zum Beispiel auf SMS-Nachrichten und Anga-ben zur persönlichen Identität. Deshalb sollten Smartphone-Nutzer genau prüfen, auf welche Daten eine App tatsächlich zugreift. Es gibt inzwischen Apps, die die Aktivitäten anderer Apps überwachen und ihnen Rechte entziehen. So lässt sich beispielsweise feststellen, welche Apps auf private Daten zugreifen.

Wer sich in einem ungeschützten WLAN mit dem Internet verbindet, läuft Gefahr, dass jeder in diesem Netz-werk die Daten lesen kann. Daher sollten offene Netzwerke generell gemieden werden. Erfordert eine Websei-te eine Anmeldung, dann sollte die Adresse mit „https“ beginnen. Hier besteht dann eine sichere, verschlüs-selte Netzwerkverbindung. Wer ein öffentliches Netzwerk genutzt hat, sollte den Link auf seinem Smartphone aktiv löschen. So lässt sich verhindern, dass sich das Gerät erneut automatisch mit dem Netzwerk verbindet.

Eines der größten Risiken ist der Verlust des Gerätes. Die einfachste Möglichkeit des Schutzes besteht dann darin, eine Bildschirmsperre für ein Mobilfunkgerät per PIN, Passwort oder Mustererkennung einzurichten. An-sonsten laufen Besitzer bei Verlust Gefahr, persönliche und vertrauliche Informationen preiszugeben. Es ist auch sinnvoll, eine App zur Geräteortung herunterzuladen. Damit lässt sich ein verlorenes Handy orten und möglicher-weise wiederfinden. Zudem lässt sich das Gerät per Fernzugriff sperren und darauf enthaltene Daten löschen.

Die Telekom bietet gemeinsam mit Lookout erste Geräte mit vorinstallierter „Lookout Mobile Security“-App an. Die App schützt Kunden sofort und anwenderfreundlich vor Malware, Phishing und Datenverlust ebenso wie vor Bedrohungen der Privatsphäre bei Verlust oder Diebstahl des Handys. In jedem Fall ist es wichtig, Smart-phones vergleichbar einem PC zu schützen. Es empfielt sich auch, hier Anti-Viren-Programme einzusetzen.

mobile Device managementMithilfe des Mobile Device Management (MDM) der Telekom lassen sich beliebig viele Smartphones und Tablets unabhängig vom Betriebssystem inklusive Anwendungen zentral inventarisieren, administrieren und steuern. Dazu gehören auch Sicherheitstools wie Firewall oder Virenschutz inklusive Updates. Die Unternehmen können ihre individuelle Sicherheits-Policy auf das MDM übertragen – sei es nun bezogen auf Passwörter und Anwendungen oder auf die Trennung zwischen privater und geschäftlicher Nutzung. Mithilfe einer Black-White-Liste legen sie im Vorfeld fest, welche Apps und Anwendungen überhaupt auf den Geräten genutzt werden dürfen und welche tabu sind. Einmal installiert, lassen sich Anwendungen künftig auch in einem sogenannten Container abkapseln, damit sie sich nicht mit dem Firmenserver verbinden. Das kann bei Apps sinnvoll sein, die der Mitarbeiter privat nutzen will. Auch bei Verlust oder Diebstahl müssen sich die Unternehmen keine Gedanken machen, dass ihre Daten in falsche Hände geraten: Über die Mobile Device Management Plattform lokalisieren sie alle Geräte und löschen die darauf gespeicherten Daten und Anwen-dungen aus der Ferne.


e-mail

Obwohl immer häufiger sicherheitsrelevante Informationen wie Protokolle, Verträge und Rechnungen über das Internet ausgetauscht werden, verfügen laut einer Studie des Deutschland sicher im Netz e. V. (DsiN) aus dem Jahr 20.12 nur 46. Prozent der Unternehmen über einen passenden E-Mail-Schutz.

Einsatz von Verschlüsselung und Signatur bei der E-Mail-Kommunikation: Werden vertrauliche Informationen und/oder Daten mit hohem Integritätsanspruch übertragen, so sollten kryptographische Verfahren eingesetzt werden.

Schadprogramme werden oft über Dateianhänge in E-Mails verbreitet. Im Zweifelsfall fragen Sie vorsichtshal-ber beim Absender nach, ob der Anhang tatsächlich von ihm stammt.


2120.

einleitung

Wer sich als Unternehmen für Cloud Computing entscheidet, sollte ein Mindestmaß an Risikoanalyse durchführen.

Wichtige Aspekte und Fragen sind unter anderem: � In welchem Land stehen die Rechenzentren des Cloud-Anbieters und wo werden meine Daten gespeichert? � Wie sind die Rechenzentren gesichert? � Welche Maßnahmen zum Schutz der Cloud-Umgebung existieren; also Virenschutz, Intrusion Detection System (IDS), Abwehrmaßnahmen von Denial-of-Service-Angriffen, Firewall-Konfigurationen, Patch- und Änderungsmanagement etc.?

� Gibt es Informationen über die Historie von Server- und Netzausfällen und damit auch Ausfällen der Cloud-Anwendungen?

� Welche Software hat der Cloud-Anbieter auf seinen Host-Systemen installiert? � Mit welchen Maßnahmen wird die Verfügbarkeit gesichert, maximale Ausfallsicherheit gewährt und wie werden Back-ups der Systeme und Daten erstellt?

� Welche Mitarbeiter beim Cloud-Anbieter haben wie Zugriff auf Daten, Konfigurationen, Logdateien etc.? � Informiert der Anbieter über Sicherheitszwischenfälle – und wenn ja, wie? � Ist der Anbieter nach einer Sicherheitsnorm (z. B. ISO 27.0.0.0.) zertifiziert?

sicherheit von rechenzentren

Rechenzentren bilden die Herzstücke des Cloud Computings. Daher muss die Sicherheit der Anlagen nach dem aktuellen Stand der Technik gewährleistet sein. Dazu zählt die Sicherung eines Rechenzentrums nach außen, aber auch die gegen äußere Einflüsse wie Hochwasser oder Feuer. Auch der Standort eines Rechen-zentrums selbst muss gut geplant sein. Hochwasser- oder stark erdbebengefährdete Gebiete kommen norma-lerweise nicht für den Bau eines Rechenzentrums in Frage. Genauso sind Einflugschneisen von Flughäfen für den Standort von Rechenzentren ungeeignet.

Die Sicherheitsmaßnahmen beginnen an den Eingangstüren und -toren. Eigenes Personal darf der Zugang nur nach Sicherheitsprüfung und fremden Personen nur in Begleitung gewährt werden. Die Eingangstore müssen dafür permanent überwacht werden. Dies erfolgt mit Videoüberwachungssystemen, Bewegungssensoren, Alarmsystemen, Vereinzelungsanlagen und geschultem Sicherheitspersonal.

Da der Betrieb eines Rechenzentrums wesentlich von der Stromversorgung abhängt, muss diese redundant ausgelegt sein. Dafür bieten sich zum Beispiel Generatoren an, die bei Stromausfällen sofort anspringen und Ersatzstrom liefern. Dies sichert auch die Klimatisierung in den Serverräumen. Da Serverfarmen eine enorme Hitze entwickeln, müssen sie permanent gekühlt werden, um nicht zu überhitzen und dann auszufallen. Auch die Netzanbindung lässt sich ohne Strom nicht aufrechterhalten

Auch Brandschutzvorkehrungen müssen auf dem neuesten Stand der Technik sein. Dazu gehören etwa Sprinkleranlagen oder Brandschutztüren, die sich automatisch schließen. Wichtig ist es auch, alle Sicherheits-maßnahmen regelmäßig zu testen. Ein Generator, der monatelang nicht zum Einsatz kommt, springt ansonsten bei Bedarf nicht an.

Werden in Rechenzentren geschäftskritische IT-Systeme für Unternehmen betrieben oder Daten gespei-chert, müssen die Systeme und Daten in einem zweiten Rechenzentrum gespiegelt werden. Dies sichert die

geFahren unD sicherheits-massnahmen beim clouD-anbieter

geFahren unD sicherheitsmassnahmen beim clouD-anbieter

Verfügbarkeit in besonders hohem Maße. Solche redundanten Rechenzentren – auch Twin Core genannt – kompensieren Teil- oder Totalausfälle eines Rechenzentrums in der Regel in so kurzer Zeit, dass Kunden davon nichts merken und keine Daten verloren gehen. Dafür werden alle Systeme und Daten in Echtzeit gespiegelt, und die Rechenzentren sind über Netze verbunden, die extrem hohe Übertragungsraten ermöglichen. Um die Sicherheit weiter zu erhöhen, sind Twin-Core-Rechenzentren darüber hinaus redundant miteinander vernetzt. Sollte also eine Verbindung gekappt werden – beispielsweise durch einen Bagger – dann steht immer eine Ausweichstrecke zur Verfügung. Zudem sind die beiden Zwillingsrechenzentren geografisch so weit voneinan-der getrennt zu betreiben, dass Schadensereignisse wie Feuer, Explosion oder Unfälle nicht gleichzeitig beide Rechenzentren treffen können.

Die Telekom betreibt weltweit 9.0. Rechenzentren, davon einen Großteil für Cloud Computing. Alle Rechen-zentren, in denen geschäftskritische IT-Systeme oder Daten für Kunden verarbeitet und gespeichert werden, verfügen über ein Twin-Core-Rechenzentrum. Die Sicherheitsvorkehrungen entsprechen höchsten Anforderun-gen, teilweise gehen sie über die vorgeschriebenen Sicherheitsmaßnahmen hinaus.

zertiFizierung/auDitierung

Um die Sicherheit von Informationen in Rechenzentren nachzuweisen, gibt es eine Vielzahl von Zertifizie-rungen, die national und international anerkannt sind.

Das wichtigste internationale Zertifikat zu einem Informationssicherheits-Managementsystem (ISMS) beschei-nigt die Erfüllung von Anforderungen der ISO/IEC 27.0.0.1. Die ISO/IEC 27.0.0.1 definiert unter anderem die Bedingungen für Herstellung, Durchführung, Betrieb, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung eines dokumentierten ISMS. Es zeigt, ob ein Rechenzentrumsbetreiber die Anforderungen dieser Norm umsetzt sowie berücksichtigt und die Risiken innerhalb der gesamten Organisation spezifiziert. Das ISMS bildet damit die Basis für die Auswahl geeigneter und angemessener Sicherheitskontrollen. Es legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt, plant, einsetzt, durchführt, überwacht und verbessert.

Seit 20.0.5 setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem IT-Grundschutz auf dieser Norm auf und bietet eine Zertifizierung ISO 27.0.0.1 auf Basis von IT-Grundschutz an. Gerade im deutschsprachigen Raum ist es eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Die Zertifizierung gilt als Nachweis für die Einhaltung des durch den BSI definierten IT-Grundschutzes. Die Maßnahmen des IT-Grundschutzes sind hierbei sehr viel detaillierter als die Anforderungen der ISO/IEC 27.0.0.1 festgelegt und bieten damit eine gute Best-Practice-Sammlung zur Umsetzung des internationalen Standards.

In seinem Eckpunktepapier empfiehlt das BSI mindestens den internationalen Standard ISO/IEC 27.0.0.1 als Basisanforderung für jeden Cloud-Anbieter. Der Standard ist überall dort von Bedeutung, wo der Schutz vertraulicher Daten gewährleistet sein muss – also auch für Cloud Computing.

Weitere Zertifikate sind etwa das EuroCloud SaaS Star Audit des EuroCloud Deutschland_eco e.V. sowie SAS 7.0. des American Institute of Certified Public Accountants (AICPA) oder entsprechende Zertifikate der Cloud Security Alliance. Auch wenn Unternehmen mit diesen Zertifikaten ein hohes Sicherheitsniveau ihrer Rechen-zentren nachweisen können, sind diese keine explizit auf Cloud Computing zugeschnittenen Standards und Normen. Sie widmen sich also nicht den besonderen Risiken, die sich durch die Cloud-Architektur ergeben. Damit bleibt festzuhalten, dass bis heute noch kein De-facto-Standard existiert, der die besonderen Anforde-rungen zu Datensicherheit und Datenschutz in der Cloud nach deutschen Gesetzen erfüllt.

2322


Wollen Rechenzentrumsbetreiber ein ISO 27.0.0.1-Zertifikat erlangen, müssen sie ihre Geschäftsprozesse durch einen Auditor für ISO 27.0.0.1-Audits überprüfen lassen. Das gilt sowohl für das internationale ISO/IEC 27.0.0.1- Zertifikat als auch für das ISO 27.0.0.1-Zertifikat auf der Basis von IT-Grundschutz. Das Audit wird nach einem festgelegten Prüfschema in zwei Phasen durchgeführt. Der Auditor sichtet Referenzdokumente, führt Vor-Ort-Prüfungen durch und erstellt einen abschließenden Auditbericht mit einer entsprechenden Empfehlung zur Zertifikatserteilung. Der Auditbericht wird von der Zertifizierungsstelle überprüft, freigegeben, und bei positivem Ergebnis wird ein Zertifikat erteilt.

Zur Prüfung wendet der Auditor einen Kriterienkatalog an, der unter anderem Fragen nach Sicherheitsricht-linien, Schutzbedarf und Risiken beantwortet und einen bestimmten Schwellenwert überschreiten muss. Die Zertifizierung ist weltweit als Standard anerkannt und damit ein Muss für alle Cloud-Anbieter. Verfügt ein Rechenzentrumsbetreiber über ein ISO 27.0.0.1-Zertifikat, können Kunden sicher sein, dass das Unternehmen die geforderten Sicherheitsstandards einhält und die Daten vor Drittzugriff geschützt sind.

Die Cloud-Rechenzenten und Produktentwicklungsprozesse der Telekom sind alle nach der internationalen Norm ISO/IEC 27.0.0.1 zertifiziert, und die Zertifizierungen werden in regelmäßigen Abständen überprüft.

notFallmanagement

Vorbeugung ist ein wesentliches Element der IT-Sicherheit. Daher ist ein funktionierendes Notfallmanagement – Business Continuity Management (BCM) – unerlässlich für jeden Cloud-Betreiber. Etablierter Standard für ein BCM ist unter anderem der BSI-Standard 10.0.-4. Er beschreibt einen systematischen Weg für den Aufbau eines Notfallmanagements und wirkt zusammen mit dem vom BSI formulierten IT-Grundschutz. Der deutsche Stan-dard berücksichtigt auch weitere Standards zum Notfallmanagement, beispielsweise den zweiteiligen britischen Standard BS 259.9.9. oder die Good Practice Guidelines des ebenfalls in Großbritannien ansässigen Business Continuity Institute. Der BSI-Standard 10.0.-4 enthält auch viele Hinweise, wie Unternehmen die geforderten Anforderungen erfüllen können. Dazu gehört es, entsprechende organisatorische Strukturen aufzubauen sowie Konzepte zu entwickeln, die eine rasche Reaktion bei auftretenden Notfällen und die rasche Wiederaufnahme zumindest der wichtigsten Geschäftsprozesse ermöglichen.

Für einen Cloud-Provider empfiehlt es sich, wirtschaftliche Auswirkungen der einzelnen Cloud-Dienste aus Sicht der Nutzer zu bewerten und die Cloud-Dienste in Wiederanlaufklassen einzuteilen. Dies ist die Grundla-ge für eine schnelle Wiederaufnahme der für Kunden kritischsten Cloud-Anwendungen.

Regelmäßige Tests und Übungen des Notfallmanagements gehören wie bei der Feuerwehr zum Programm eines Cloud-Service-Providers. Nur so lässt sich nachvollziehen, inwieweit sich die aufgestellten Abläufe in der Realität umsetzen lassen. Auch die Mitarbeiter gewinnen damit Routine im Umgang mit Ausnahmesituationen. Typische Übungen sind: � Funktionstests (Stromaggregate, Klimaanlagen, zentrale Server), � Durchführung von Brandschutzübungen, � Wiederanlauf nach Ausfall von einzelnen Ressourcen oder Geschäftsprozessen, � Räumung eines Bürogebäudes und Bezug einer Ausweichlokation und � Ausfall eines Rechenzentrums und Inbetriebnahme des Ausweichrechenzentrums.


iD- unD rechtemanagement

Ebenso wie beim Cloud-Nutzer ist es Pflicht, dass der Rechenzentrumsbetreiber über ein fein gesponnenes ID- und Rechtemanagement verfügt. Die Mitarbeiter sollten nur auf die Systeme und Daten zugreifen können, die sie für administrative Zwecke absolut benötigen. So lassen sich die allermeisten Aufgaben – wie etwa Back-ups, Wiederherstellung und Loadbalancing auf Datenbankebene – automatisiert abarbeiten. Back-ups werden in der Regel verschlüsselt gespeichert. Ein Zugriff von außen kann daher stark reduziert werden. Der Kreis der berechtigten Personen ist auf ein absolutes Minimum beschränkt. Die Mitarbeiter unterliegen strengsten Geheimhaltungspflichten.

personalmanagement

Ein Risikofaktor in puncto Sicherheit sind auch in Cloud-Rechenzentren immer die Personen, die Zutritt in Ser-verräume und Zugriff auf die Hard- und Software haben. Ganz besonders gilt dies für Administratoren – auch wenn sie nicht mit kriminellem Hintergrund agieren. Administratoren müssen die Folgen von Konfigurations-änderungen abschätzen können. Daher ist es sehr wichtig, dass das Fachpersonal ausreichend eingearbeitet und zu allen eingesetzten Techniken regelmäßig geschult wird sowie sich auch in den Themen Informations-sicherheit und Datenschutz auskennt. Dies gilt besonders für das Cloud Computing, da hier eine Reihe neuer Techniken und IT-Komponenten eingesetzt wird und die Innovations- und Update-Zyklen sehr kurz sind. Hilf-reich ist es auch, insbesondere bei administrativen Tätigkeiten oder bei Aufgaben, in denen ein Mitarbeiter tief in Systeme eingreifen muss, nach dem Vier-Augen-Prinzip zu verfahren. So lassen sich operative und kontrol-lierende Funktionen auf verschiedene Personen verteilen. Alle Mitarbeiter müssen zudem vertrauenswürdig und zuverlässig sein. Ein oftmals unterschätztes Problem können weiterhin Partnerfirmen, Lieferanten, Handwerker oder auch Reinigungsteams darstellen. Während die eigenen Mitarbeiter strengstens kontrolliert werden und nur als registriertes Personal die Räume eines Rechenzentrums betreten dürfen, können externe Personen sich manchmal frei bewegen und werden nicht durchgehend begleitet. Damit besteht das Risiko, dass sich Personen mit kriminellen Zielen über Zweitfirmen in ein Rechenzentrum einschleichen. Es ist daher wichtig, auch Besuchern nur nach genauer Prüfung und nur in Begleitung Zutritt auf das Gelände eines Rechenzentrums zu gewähren.

Generell ist es schwierig, die Vertrauenswürdigkeit von neuem oder fremdem Personal überprüfen zu lassen, da es dafür insbesondere in Deutschland rechtliche Beschränkungen gibt. Polizeiliche Führungszeugnisse sind hilfreich, sagen aber nur etwas über registrierte Straftaten aus. Daher sind sie allein nicht aussagekräftig genug. Rechenzentrumsbetreiber sollten daher bei Mitarbeitern überprüfen, ob sie Referenzen vorweisen können und der vorgelegte Lebenslauf des Bewerbers aussagekräftig und vollständig ist. Soweit gesetzlich zulässig, sind auch Gespräche mit vorherigen Arbeitgebern oder auch Kunden hilfreich. Ähnliche Überprü-fungen sollten auch für externes Personal erfolgen

Deshalb müssen Customer Service Provider ihre Mitarbeiter regelmäßig so schulen, dass sie alle eingesetzten Techniken, Komponenten und Funktionen beherrschen. Die Mitarbeiter müssen aber auch alle Sicherheits-implikationen rund um diese Techniken kennen und im Griff haben. Dies gilt insbesondere für den Personen-kreis, der mit der Entwicklung und dem Betrieb von Cloud Services befasst ist.

2524


server-/soFtware-sicherheit

Die Server bilden quasi die Intelligenz, die Gehirne eines Rechenzentrums. Über sie laufen alle Prozesse und Berechnungen. Die Betriebssysteme auf den Servern sollten daher so gesichert sein, dass sie möglichst we-nig Angriffsfläche bieten. Für Server gilt auch: je weniger Software, desto besser. Das heißt: Auf einen Server kommen nur die Software-Pakete, die tatsächlich gebraucht werden. Jedes nicht benötigte Programm birgt zusätzliche Risiken und sollte daher erst gar nicht installiert sein.

Darüber hinaus sind weitere Maßnahmen zum Schutz von IT-Systemen empfehlenswert. Dazu gehören etwa gemanagte Deep Inspection Firewalls und Host Firewalls, die die Rechner vor Angriffen von außen schützen. Angriffserkennungssysteme (Host-based Intrusion Detection Systems) entdecken Angriffe auf Anwendungs- oder Betriebssystemebene. Sie ergänzen die Aufgaben einer Firewall, laufen oft direkt auf dem zu überwa-chenden Computersystem und erhöhen so die Sicherheit von Netzwerken. Diese Angriffserkennungssysteme registrieren aber auch Rechteüberschreitungen von Nutzern oder Login-Fehlversuche. Selbstverständlich sollten auch regelmäßige Software-Updates vorgenommen werden.

Die technischen Grundlagen für die Bereitstellung und Nutzung von Cloud-Diensten bilden vor allem Virtuali-sierungstechniken für Server. Die Virtualisierung macht die einzelnen Server zwar nicht unbedingt anfälliger gegen Angriffe als herkömmliche Server. Wenn ein Angriff auf die Virtualisierungstechnik aber erfolgreich sein würde, dann wären die Folgen möglicherweise fatal. Der Grund: Sogenannte Hypervisoren – also Überwacher –steuern als zentrale Komponente den Zugriff auf alle Ressourcen. Daher würde ein erfolgreicher Angriff sich auf alle vom Hypervisor gesteuerten Server auswirken. Mögliche Angriffspunkte liegen in der Natur der Virtua-lisierung selbst, weitere entstehen durch sorglose Administratoren.

Angriffe auf den Hypervisor sind bisher eher selten. Trotzdem sollten Cloud-Provider auf zertifizierte Hy-pervisoren zurückgreifen. Wie sich dies umsetzen lässt, wissen die Hersteller von Virtualisierungsservern. Grundlage der Zertifizierung sollten die weltweit abgestimmten „Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik“ oder kurz Common Criteria sein. Als Prüftiefe sollte bei der Zertifizierung mindestens Vertrauenswürdigkeitsstufe EAL 4 erreicht worden sein.

virtuelle trennung Der nutzer

Im klassischen IT-Outsourcing hosten und managen die Provider die Software und die Daten jedes Unterneh-menskunden auf eigenen Server-Infrastrukturen. Damit sind Rechenprozesse und Daten physisch getrennt. In Cloud-Infrastrukturen dagegen nutzen die Rechenzentrumsbetreiber die Server für mehrere Kunden gleichzei-tig. Nur so lassen sich die Kostenvorteile von Cloud Computing heben, da die Auslastung der einzelnen Server steigt – und damit die Betriebskosten sinken.

Da mehrere Kunden gemeinsam virtuelle Server nutzen, müssen deren Daten virtuell voneinander getrennt werden. Dies geschieht unter anderem mit Virtual Local Area Networks (VLAN) in Verbindung mit Firewalls. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches die Daten-pakete eines VLANs nicht in ein anderes VLAN weiterleitet, obwohl die Teilnetze an gemeinsame Switches angeschlossen sein können. VLANs verhindern also, dass Kunden, die gemeinsam eine Cloud-Anwendung nutzen, auf die Daten eines anderen Kunden zugreifen können.


netzsicherheit

Auch Rechenzentren sind permanent Angriffen aus dem Netz ausgesetzt. Die Sensoren der Telekom zeichnen pro Tag bis zu 8.0.0..0.0.0. Angriffe auf (www.sicherheitstacho.eu). Die Angreifer gehen zunehmend professionell vor und können großen Schaden anrichten. In der Vergangenheit sind Cloud-Computing-Plattformen zum Bei-spiel missbraucht worden, um dort Schadprogramme abzulegen. Diese Schadprogramme nutzen die Rechen-leistung der Server, um Massen-Spams zu versenden. Oder sie versuchten, Passwörter zu knacken, führten ein Login als Administrator durch und steuerten damit Bots. Dies sind Computerprogramme, die weitgehend automatisch Aufgaben abarbeiten. Bösartige Bots werden beispielsweise zum systematischen Ausspionieren von Softwarelücken von Servern eingesetzt.

Der Abwehr solcher professionellen Angriffe aus dem Netz kommt eine große Bedeutung zu. Dazu gehört mehr, als nur die bekannten IT-Sicherheitsmaßnahmen wie Virenschutz, Trojaner-Detektion, Spam-Schutz oder Fire-walls einzusetzen. Eine Maßnahme gegen Angriffe besteht unter anderem darin, Angreifer in eine Falle – so ge-nannte Honeypots – zu locken, den Angriff zu analysieren und beispielsweise mit einer Sperre der IP-Adresse zu reagieren.

Besonders gefährlich sind sogenannte „Distributed Denial of Service-“Angriffe (DDoS). Hier versuchen An- greifer auf verschiedenen Wegen, den Cloud-Anbieter lahmzulegen, wodurch Cloud-Dienste nicht mehr zur Verfügung stehen. Eine DDoS-Attacke wirkt sich auf einige wenige Zielrechner aus, kann aber auch ein ganzes Netzwerk betreffen. DDoS-Angriffe gibt es in drei Varianten: Entweder werden die Bandbreiten für den Daten-transport oder die Rechenressourcen verbraucht oder ganze Systeme und Anwendungen stürzen ab. Manche DDoS-Angriffe erreichen inzwischen Bitraten von über 10.0. Gigabit pro Sekunde, was normale Standard-Netze nicht verkraften können. Manche Cloud-Service-Provider können solche Angriffe dann kaum mehr abwehren. Vor diesem Hintergrund sollte jeder Cloud-Anbieter Maßnahmen zur Abwehr von DDoS-Angriffen durchführen.

verschlÜsselung unD schlÜsselmanagement

Eine zentrale Schwachstelle vieler Cloud-Angebote stellt die mangelnde Verschlüsselung dar, wenn die Nutzer Dateien in die Cloud übertragen oder in der Cloud speichern. Oftmals werden Daten in der Cloud im Klartext gespeichert. Wird eine Verschlüsselung angeboten, muss sie den gesamten Übertragungsweg vom Sender bis zum Empfänger abdecken, also konsequent eine durchgehende Ende-zu-Ende-Verschlüsselung bieten.

Auch die Passwörter sollen bei einem Login verschlüsselt übertragen und abgelegt werden. Für die Ablage eignen sich Einweg-Verschlüsselungsverfahren (Hashing). Mit diesem Verfahren verschlüsselte Passwörter lassen sich auch nicht mehr vom technischen Personal entschlüsseln, einsehen und verwenden.

Die zugrundeliegende Verschlüsselungstechnologie eines Systems ist wesentlich für die Einhaltung entspre-chender Sicherheitsstandards. Um sensible Informationen also sicher speichern, verarbeiten und transportie-ren zu können, sollten geeignete kryptographische Verfahren und Produkte eingesetzt werden. Die Verwaltung der kryptographischen Schlüssel in Cloud-Computing-Umgebungen ist komplex. Ein Kryptokonzept hilft zu klären, welche Verschlüsselungsaufgaben Cloud-Anbieter und Cloud-Nutzer übernehmen müssen.

27.26.

security inFormation anD event (inciDent) management

Für die Sicherheit ist ein Monitoring der Cloud-Computing-Anwendungen Pflicht für den Cloud-Anbieter. Besonders Unternehmen, die in der Cloud sicherheitskritische Daten verarbeiten, müssen schnell von sicher-heitsrelevanten Vorfällen beim Cloud-Anbieter erfahren. Nur so kann auch der Cloud-Kunde zum Beispiel die Eingabe von Daten stoppen und die Gefahr für die eigenen Systeme minimieren.

Ein entsprechendes Sicherheitsinformations- und Ereignis-Management (Security Information and Event Management, SIEM) erfasst Ereignis-, Bedrohungs- und Risikodaten und liefert fundierte Sicherheitsinforma-tionen, schnelle Reaktionen auf Sicherheitsvorfälle sowie lückenlose Protokolle. Die Protokolle erfassen auch die Status der Systeme oder fehlgeschlagene Authentisierungsversuche. Ergänzend sollten auch Netzaktivi-täten erfasst werden.

Bei höherem Schutzbedarf ergänzen Data-Loss-/Leakage-Prevention-Werkzeuge die Kontrolle des Daten-flusses. Sie schützen gegen den unerwünschten Abfluss von Daten, indem sie Datenlecks abdichten. Sie erkennen und verhindern auch, dass Mitarbeiter Daten über unsichere Wege – zum Beispiel ungeschützte WLANs – übertragen. Solche Tools erkennen außerdem, ob jemand Daten auf CD brennt oder auf einen USB-Stick kopiert. Wichtig ist es schließlich, alle administrativen Arbeiten an den Systemen zu protokollieren. Nur so lässt sich gegenüber den Kunden bei Bedarf nachweisen, wer wann welche Änderungen an den Systemen vorgenommen hat.

Auch die Überwachung der Performance zur Einhaltung der SLAs und für Abrechnungszwecke ist wesentlich für eine Cloud-Umgebung. Monitoringsysteme sollten rund um die Uhr laufen. Dazu gehört, falls in den SLAs vereinbart, bei hoher gewünschter Verfügbarkeit, dass beim Cloud-Anbieter ein Team rund um die Uhr die Cloud-Anwendungen und -Plattformen aktiv überwacht und erreichbar ist. Optimal ist es, wenn Cloud-Nutzer sich über eine Webseite des Cloud-Anbieters den Status der in Anspruch genommenen Dienste anzeigen las-sen können. Dazu gehören etwa Werte über die Performance der genutzten Dienste, die CPU- oder Netzaus-lastung sowie Latenz- und durchschnittliche Transaktionszeiten.

Viele Cloud-Provider scheuen es aus Imagegründen noch immer, Kunden über Sicherheitsvorfälle oder neue Schwachstellen zu informieren. Die Telekom gehört zu einem der ersten Unternehmen, die sowohl Behörden wie das BSI als auch Anbieter von Sicherheitssoftware und Kunden über neue Sicherheitslücken und Angriffs-typen umfassend und zeitnah informiert.

Für die Erkennung von aktiven Angriffen ist ein Security Monitoring sowohl auf Anbieter- als auch auf Kundensei-te durchzuführen. Dazu zählen auch regelmäßig anzufertigende Sicherheitsberichte und regelmäßige Penetrati-onstests. Für die Durchführung können Technologien wie Firewalls, Honeypots, IDS oder IPS eingesetzt werden.

computer notFallteams (cert)

Jeder Cloud-Anbieter sollte zudem über qualifiziertes Fachpersonal verfügen, das Angriffe auf Systeme bewertet und geeignete Gegenmaßnahmen einleiten kann.


3rd Level Support – höchste Eskalationsstufe innerhalb einer Supportorganisation (gemeinsam mit Hersteller)AICPA – American Institute of Certified Public AccountantsAPT – Advanced Persistent Threat (fortgeschrittene, andauernde Bedrohung) BaFin – Bundesanstalt für FinanzdienstleistungsaufsichtBasel II – Internationaler Standard des Basler Ausschusses für Bankenaufsicht BCM – Business Continuity Management (IT-Konzept zur Aufrechterhaltung der Geschäftsaktivitäten in Krisen)BDSG – Bundesdatenschutzgesetz (vom 14.0.1.20.0.3, BGBl. I S. 6.6.)BITKOM – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.Bot – (von engl. Robot) Computerprogramm, das automatisch sich wiederholende Aufgaben abarbeitetBSI – Bundesamt für Sicherheit in der InformationstechnikCC – Common Criteria for Information Technology Security Evaluation (Allg. IT-Sicherheitsbewertungskriterien) CERT – Computer Emergency Response Team (Gruppe von IT-Sicherheitsfachleuten)CPU – Central Processing Unit (Hauptprozessor)DGQ – Deutsche Gesellschaft für Qualität e. V.DDoS – Distributed Denial of Service (verteilte Diensteblockade durch Überlastung mehrerer IT-Systeme)DsiN – Deutschland sicher im Netz e. V.EAL 4 – Evaluation Assurance Level 4 (Stufe der Vertrauenswürdigkeit/Prüftiefe eines IT-Systems nach CC)EU-DSRL – Europäische Datenschutzrichtlinie (EG-DatSchRL; Richtlinie 9.5/46./EG vom 24. Oktober 19.9.5)EuroSox – Richtlinie 20.0.6./43/EG über die Prüfung von Jahresabschlüssen in der Europäischen UnionHoneypot – (engl. Honigtopf) Netzwerkdienste simulierender Server, um Angreifer anzulocken und zu analysierenhttps – Hypertext Transfer Protocol Secure (sicheres Hypertext-Übertragungsprotokoll)IDC – International Data CorporationIDS – Intrusion Detection System (Angrifferkennungssystem)IPS – Intrusion Prevention System (ein IDS, das einen entdeckten Angriff auch abwehren kann)ISMS – Information Security Management SystemsISO 27000 – Familie von Standards zu ISMS der International Organization for Standardization (ISO)KMU – Kleine und mittelständische UnternehmenMaRisk – Mindestanforderungen an das Risikomanagement (Rundschreiben 10./20.12 (BA) der BaFin)MDM – Mobile Device ManagementPAC – Pierre Audoin ConsultantsPIN – Persönliche IdentifikationsnummerSaaS – Software as a ServiceSIEM – Security Information and Event ManagementSLA – Service Level Agreement(s)SSID – Service Set Identifier (wählbarer Name eines Service Sets, d. h. der Gruppe der Geräte eines WLANs)TAN – TransaktionsnummerTGK – Telekommunikationsgesetz (vom 22.0.6..20.0.4, BGBl. I S. 119.0.)TGM – Telemediengesetz (vom 26..0.2.20.0.7., BGBl. I S. 17.9.)WLAN – Wireless Local Area NetworkWPA2 – Wi-Fi Protected Access 2 (Implementierung eines Sicherheitsstandards für Funknetzwerke)VLAN – Virtual Local Area NetworkVPN – Virtual Private Network

glossar

herausgeber

Telekom Deutschland GmbH53262 Bonn

KontaKt

� Persönlicher Kundenberater � freecall 0800 33 05400 � www.telekom.de/cloud

Stan

d 11

/20.1

3 |

Ände

rung

en u

nd Ir

rtüm

er v

orbe

halte

n |

Xcn

Documents

Datenschutz unD Datensicherheit beim clouD computingtelekom.rabnews.de/ausgaben/140117_NL_Mittelstand/WhitePaper...4 5 einleitung Cloud Computing hat 20.12 den Hype-Status abgelegt