Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

IT-Sicherheit Unternehmen brauchen auch für die Cloud eine Sicherheitsstrategie

Die Cloud bietet neue Einfallstore für Angreifer. Unternehmen sollten sich nicht allein auf ihre Dienstleister verlassen, um diese zu schließen.
Kommentieren
Bei Verträgen mit IT-Anbietern kommt es auf Details an. Quelle: Caiaimage/Getty Images
Techniker im Serverraum

Bei Verträgen mit IT-Anbietern kommt es auf Details an.

(Foto: Caiaimage/Getty Images)

Köln Die Zahlen sind erschreckend: Mehr als 41.000 IT-Sicherheitsvorfälle hat der US-amerikanische Telekommunikationskonzern Verizon in seinem jüngst veröffentlichten Jahresbericht „Data Breach Investigations Report“ zusammengetragen. In über 2000 Fällen hätten Unberechtigte direkten Zugriff auf Daten gehabt.

Ausgewertet werden konnten jedoch nur die Fälle, die den gut 70 beteiligten IT-Firmen überhaupt bekannt wurden. „Es gibt keine Chance zu wissen, wie viele Datenlecks es tatsächlich im Jahr 2018 gab“, räumen die Studienautoren ein. Rasant gewinnt das Thema Sicherheit an Dringlichkeit.

Denn die Digitalisierung schreitet in den Unternehmen weiter voran – und führt meist über die Cloud: Viele Programme laufen mittlerweile in den Rechenzentren von Dienstleistern, große Datenmengen werden auf extern angemieteten Servern verarbeitet. Datensicherheit müsse „von Anfang an in den Planungsprozess herein“, rät Thomas Uhlemann, Experte beim IT-Sicherheitsspezialisten Eset. In der Praxis aber zeigen sich viele Anwender und auch Anbieter nachlässig.

Service für den Mittelstand

„Einige Unternehmen denken, wenn sie in die Cloud gehen, können sie das Thema Sicherheit direkt mit auslagern“, erläutert Thomas Siebert, Leiter Protection Technologies beim Bochumer IT-Sicherheitsunternehmen G Data Software.

Grundsätzlich ist dieser Ansatz verständlich. Denn das Absichern von Servern zählt zum Kerngeschäft von Cloud-Providern, während es etwa in den kleineren IT-Abteilungen von Mittelständlern oft nur eine Aufgabe unter vielen ist.

Ein weiterer Vorteil der Cloud: Das Angebot an Sicherheitslösungen ist groß. Anbieter wie Amazon Web Services, Microsoft Azure oder auch die Deutsche Telekom betreiben digitale Marktplätze, auf denen entsprechende Lösungen ähnlich einfach wie Apps für das Privathandy heruntergeladen werden können.

Grafik

Doch gerade wenn Unternehmen immer größere Teile ihrer IT auslagern, benötigen sie eine verlässliche Sicherheitsstrategie. „Wenn ich keine eigene Sicherheitsstruktur betreiben kann, wäre es kühn zu erwarten, dass das plötzlich auf Ebene der Cloud funktionieren soll“, sagt Siebert. Zunächst entstehen neue mögliche Einfallstore.

Denn mit dem Gang in die Cloud übertreten Unternehmen Sicherheitsschranken, die sie etwa mithilfe von Firewalls und Antiviren-Scannern aufgebaut haben. Es ist nötig, konsequent gegenzusteuern. „Alles, was mein eigenes Netzwerk verlässt, sollte verschlüsselt sein“, sagt Security-Spezialist Uhlemann.

Das gilt sowohl für die Übertragung der Daten – als auch für das Ablegen von Dokumenten oder Informationen. „So ist die Chance um einiges höher, dass die Daten sicher bleiben“, erläutert Uhlemann. Die Übertragung schützt etwa das Protokoll HTTPS.Einige Cloud-Anbieter bauen die Verschlüsselung direkt in ihre Produkte ein.

Welche Dienstleister sind sicher?

Daneben gibt es zusätzliche Programme, die die Daten für Außenstehende unlesbar machen. Ein solches Verfahren hat das Hasso-Plattner-Institut (HPI) in Potsdam entwickelt. Beim Projekt Cloudraid würden Daten zunächst verschlüsselt und fragmentiert – und dann auf verschiedene Clouds verteilt, erläutert HPI-Direktor Christoph Meinel: „So kann keiner der Cloud-Provider Einblicke in die Daten erlangen und diese verwerten.“ Weiterer Vorteil: „Auch Abhängigkeiten von einzelnen Anbietern werden verhindert.“

Wie aber finden Unternehmen IT-Dienstleister, denen sie vertrauen können? Ein durchaus kniffliges Unterfangen: „Als Kunde hat man praktisch keine Chance, das Sicherheitsniveau des Cloud-Anbieters selbst zu überprüfen“, sagt Andreas Blum, Partner bei der Wirtschaftsprüfungsgesellschaft DHPG, die auch zu IT-Sicherheitsthemen berät.

Das Geschäftsmodell der meisten Dienstleister fußt darauf, Programme oder Speicherplatz so standardisiert wie möglich an so viele Kunden wie möglich zu vertreiben – gerne als „Cloud per Mausklick“. Ein Blick in den Maschinenraum ist höchstens für Großkunden vorgesehen.

Doch haben Unternehmen durchaus Möglichkeiten, die Verlässlichkeit von IT-Dienstleistern zu prüfen. Für Orientierung sorgen Zertifikate. In Deutschland populär sind der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie die ISO-Norm 27001. Beide belegen, dass die Anbieter Sicherheit systematisch angehen.

Spezieller Prüfstandard

Speziell an Cloud-Provider richtet sich der Prüfstandard C5 des BSI. Dieser legt Sicherheitsanforderungen grundsätzlich fest – die Ausgestaltung im Detail bleibt den IT-Dienstleistern selbst überlassen. Es muss etwa klar definierte Ansprechpartner im Krisenfall geben. Welchen genauen Titel sie tragen, ist unerheblich.

Und ein Kontrollsystem muss stets überwachen, ob im Rechenzentrum des Anbieters Überlastung oder anderes Unheil droht. „Vom Qualitätsniveau ist dieser Standard schon sehr ordentlich“, urteilt Blum. Wichtig ist auch der Blick auf weitere Vertragsbedingungen. Sie geben ebenso Aufschluss darüber, wie schnell sich der Cloud-Dienstleister bei Problemen kümmert. Gibt es eine 24-Stunden-Hotline? Oder geht im Ernstfall wertvolle Zeit verloren, weil der Kundendienst nur träge auf E-Mails reagiert?

Grafik

Unternehmen müssen parallel stets nach innen schauen. Häufig setzen sie auf Programme aus der Cloud, um Mitarbeitern den Zugriff von zu Hause oder auf Dienstreisen zu erleichtern. Von hoher Bedeutung bleibt daher die Absicherung von Endgeräten wie Laptops oder Smartphones. Nistet sich dort ein Schadprogramm ein, das etwa die eingetippten Mails oder gar Passwörter mitliest, kann sich für Angreifer eine Tür in die gesamte Cloud des Unternehmens öffnen.

Mit spezieller Software für die sogenannte Endpoint-Security schützen sich Unternehmen vor dieser Gefahr. Zentral ist zudem ein eindeutiges Rechtemanagement: Unternehmen müssen genau festlegen, welche Mitarbeiter in welchem Umfang auf die ausgelagerten Programme zugreifen dürfen. Und sie müssen darauf achten, dass sie Beschäftigten, die die Firma verlassen, diese Rechte auch wieder entziehen.

Die Verizon-Studie zeigt: Jeder dritte Sicherheitsvorfall ging von internen Akteuren aus. Einen Schritt vorher setzt das Identitätsmanagement an. Es soll sicherstellen, dass sich nur die Person, die dazu legitimiert ist, bei einem Programm oder einem virtuellen Server anmeldet. Damit dies nicht zu viel Arbeitszeit frisst, entwickeln viele IT-Anbieter Lösungen, die die Zahl der Registrierungen verringern.

Gerade Cloud-Provider setzen auf Single-Sign-on-Lösungen: Mit einer Anmeldung verifiziert sich der Nutzer für mehrere Programme. „Die Authentifizierung eines Nutzers wird komplexer – aber das sollte er möglichst wenig spüren“, sagt HPI-Forscher Meinel. Je mehr Hürden Nutzer überwinden müssen, desto eher suchen sie nach Umwegen oder ignorieren Vorgaben.

Dies verhindert die Zwei-Faktor-Authentifizierung (2FA). Dabei kombiniert der Nutzer ein festes Passwort mit einem zweiten, das er über einen separaten Kanal, etwa eine Handy-App, erhält. „Die meisten Cloud-Programme bieten das an“, sagt Experte Uhlemann. „Bei einigen ist die Aktivierung jedoch versteckt.“ Suchen lohnt sich. Der Verizon-Report fordert: „2FA für alles!“

Mehr: Das Strafmaß für Datenhehlerei ist geringer als für einen einfachen Diebstahl. Für Datenschützer ist das nicht tragbar. Auch die Union sieht Änderungsbedarf.

Startseite

Mehr zu: IT-Sicherheit - Unternehmen brauchen auch für die Cloud eine Sicherheitsstrategie

0 Kommentare zu "IT-Sicherheit: Unternehmen brauchen auch für die Cloud eine Sicherheitsstrategie"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote