Sichere Digitalisierung im Mai: Secure Cloud Transformation – So gelingt die sichere Einbindung der Cloud
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im Mai:
European Identity and Cloud Conference, 09.-12.05.2023 in Berlin. Haben Sie Lust auf einen Kaffee mit Alpha Barry oder Sonna Barry? Melden Sie sich gern unter sonna.barry@secida.com für einen Termin. Wenn Sie unser Fazit der Konferenz interessiert, schauen Sie gerne in unserem Mai-Livestream (s.u.) vorbei.
Lust auf eine Karriere bei secida? Treffen Sie uns auf einer der folgenden Karrieremessen:
ITS.Connect Karrieremesse an der Ruhr-Universität Bochum, 09.05.2023, 10h-16h.
Conpract Karrieremesse and der Uni Duisburg-Essen, 10.05.2023, 10-15 Uhr.
Karrieretag Westfälische Hochschule Gelsenkirchen, 17.05.2023, 13-17 Uhr.
Unser Rückblick zur European Identity and Cloud Conference: LinkedIn-Livestream am Dienstag, den 23.05.2023, 12:00h: „Identity (and Access) Trends 2023“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.
Sichere Digitalisierung im Mai: „Secure Cloud Transformation – So gelingt die sichere Einbindung der Cloud“
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.
Was ist bei der Nutzung cloud-basierter Dienstleistungen zu beachten? Kann die Cloud auf genau dieselbe Art abgesichert werden wie lokale Rechenzentren?
Eine gute Nachricht vorab: Für Unternehmen mit geringerer Cybersicherheitsexpertise ist der Gang in die Cloud grundsätzlich kein Fehler. Professionelle Cloudanbieter arbeiten inzwischen auf einem Cybersicherheitsniveau, das Unternehmen ohne ein größeres auf Cybersicherheitsthemen spezialisiertes Team nur schwerlich erreichen können. Auch wenn Dienstleistungen oder Informationen von einem IT-Dienstleister mit lokalen Rechenzentren in die Cloud verschoben werden, sinkt der Level an Cybersicherheit in der Regel nicht signifikant.
Eine zentrale Sache gilt es allerdings zu bedenken: Bei cloud-basierten Dienstleistungen ist der Informationszugriff im Gegensatz zu lokal betriebenen Rechenzentren immer auch direkt aus dem Internet möglich. In der Cloud existiert immer ein aus dem Netz zugängliches Interface, bei dem sich mit Benutzernamen und Passwort angemeldet werden kann. Auch können oft Passwörter mehrmals ausprobiert werden, was Angreifern interessante Möglichkeiten eröffnet. Um eine ähnliche Attacke auf ein lokales Rechenzentrum durchzuführen, muss ein Hacker im Gegensatz dazu in das Netzwerk eindringen und sich durch Firewalls etc. arbeiten, bevor er eine Anmeldung überhaupt versuchen kann. Somit ist klar: Wenn Mitarbeitende sich nur aus dem Firmennetzwerk oder über einen VPN-Zugang von zuhause anmelden können, ist es deutlich schwerer für Hacker an Informationen heranzukommen. Allerdings ist es für Unternehmen langfristig kaum möglich, mit einer ausschließlich lokalen IT-Infrastruktur wettbewerbsfähig zu bleiben.
Zentrale Punkte für die Absicherung der Cloud
Durch die internet-basierten Zugriffsmöglichkeiten muss Cybersicherheit in der Cloud anders gedacht werden. Vor allen diese drei Lösungsansätze sollten berücksichtigt werden, um die Informationssicherheit zu steigern:
Multi-Faktor-Authentifizierung (MFA): Bei der Nutzung einer MFA-Lösung wird bei Anmeldung eine weitere Absicherung der Benutzeridentität verlangt. Zusätzlich zum Log-in mit Benutzernamen und Passwort, muss eine weitere Aktion, die über etwas gesteuert wird, das der Benutzer besitzt, durchgeführt werden. Beispielsweise wird ein via SMS gesendeter Code eingegeben oder eine zusätzliche Authentifizierung über eine App durchgeführt. Die zweite Authentifizierung via Smartphone ist deswegen so effektiv, weil kein anderer Gegenstand so oft genutzt und wegen seiner Bedeutung mit hoher Wahrscheinlichkeit konstant im Besitz des Benutzers ist. Auch ein Verlust wird verhältnismäßig schnell gemerkt und gemeldet. Die Nutzung von MFA ist auch im Privaten zu empfehlen.
Zugriff auf die Cloud ausschließlich aus dem Unternehmensnetzwerk: In diesem Fall wird der Informationszugriff nur ermöglicht, wenn der entsprechende Rechner im Unternehmensnetzwerk eingeloggt ist. Dieses Vorgehen entspricht von der Herangehensweise der Nutzung eines lokalen Rechenzentrums. Nachteil ist, dass so die Flexibilität, die die Cloud bezüglich des Zugriffs bietet, ausgeschaltet wird. Dies kann bei sehr sensitiven Informationen allerdings durchaus sinnvoll sein. Unternehmen sollten situationsabhängig entscheiden, ob diese Einschränkung für spezifische Informationen sinnvoll ist. Emails und Dinge, die für Kollegen, die berufsbedingt oft nicht vor Ort sind (z.B. Sales), wichtig sind, sollten anderweitig abgesichert werden, um einen ortsunabhängigen, flexiblen Zugriff zu ermöglichen.
Monitoring: Durch das höhere Zugriffsrisiko sollte bei cloudbasierten Dienstleistungen immer ein Monitoring implementiert werden. Es ist gerade hier wichtig schnellstmöglich feststellen zu können, ob riskante Aktivitäten stattfinden und diese ggf. direkt zu unterbinden. Clouddienstleister bieten diesen Service heute relativ kostengünstig an.
Erste Schritte zur Absicherung der Cloud
Wir empfehlen im ersten Schritt die Trennung von Cloudabsicherung und der schon bestehenden Absicherung lokaler Systeme. Beim Kauf einzelner cloud-basierter Dienstleistungen ist ein gutes Niveau an Datensicherheit schon dann gegeben, wenn native Sicherheitssysteme des Anbieters genutzt und auf eine Absicherungsgarantie seitens des Anbieters im Vertrag geachtet wird. Herausfordernder ist es, die Informationssicherheit bestmöglich zu garantieren, wenn über eine cloudbasierte Plattform wie z.B. Microsoft Dienste selbst entwickelt und/oder cloudbasierte Server verwendet werden. Was also tun, wenn unterschiedliche Cloudangebote sowie Infrastruktur-as-a-service-Lösungen implementieren werden sollen?
Wer eigene Server in der Cloud aufsetzt, muss sich der Cybersicherheit erneut anders nähern: Auch hier gibt es native Angebote des jeweiligen Cloud-Anbieters, die gekauft und verwenden werden können. Eine kleine Warnung: In Digitalisierungsprojekten erhöht dieser Faktor die Kosten pro Benutzer oft in einem wahrnehmbaren (und eventuell nicht direkt mitgeplanten) Maß. Dies kann zu der Annahme führen, dass die Erweiterung schon bestehender on-premise Cybersicherheits-Services auf die Cloud effektiver und kostengünstiger ist. Wir weisen deutlich darauf hin, dass eine effektive Erweiterung von bestehenden on-premise Cybersicherheitslösungen auf die Cloud Expertise und vor allem Erfahrung benötigt, damit eine bestmögliche Absicherung der dort gespeicherten Informationen garantiert werden kann. Wir empfehlen, im ersten Schritt die vom Anbieter angebotenen Dienste zu nutzen, um das interne IT-Team (das im Mittelstand häufig nicht direkt über notwendige Expertise, Erfahrung und Kapazität verfügt) nicht zu überlasten und sicherheitsrelevante Lücken zu riskieren.
Benötigt man zusätzliche Datenverschlüsselung in der Cloud?
Gerade Daten, die teils lokal, teils in Internet und Cloud bewegt werden, müssen bestmöglich vor unerlaubtem Zugriff geschützt werden. Hier ist Verschlüsselung das Mittel der Wahl. Für sämtliche Informationen gilt es zu analysieren, wie wichtig es ist, dass möglichst wenige Personen Zugriff haben. Sind z.B. sensitive Forschungsdaten auf dem eigenen lokalen Server unverschlüsselt gespeichert, sollten diese bei Transfer dieses Servers in die Cloud verschlüsselt werden, da dort z.B. auch Mitarbeitende des Anbieters auf sie zugreifen könnten.
IT-Infrastruktur-übergreifende Anmeldesysteme
Für reibungslose Abläufe ist es wichtig, wie Mitarbeitende auf einzelne Systeme und Informationen zugreifen können. Die einmalige Anmeldung zu Arbeitsbeginn (Single-Sign-On) ist nicht nur bequem, sondern erhöht auch die Informationssicherheit: Es muss sich nur ein Benutzername und Passwort gemerkt werden, um Zugriff auf alle relevanten Informationen zu erlangen. Die Verwendung eines einmaligen komplexen Passworts, das sich gemerkt und nicht aufgeschrieben wird, plus eine zweite Verifizierung durch z.B. eine Authentifizierungs-App kann von jedem Mitarbeitenden erwartet werden.Je mehr Dienstleistungen eine separate Anmeldung erfordern, das heißt, je häufiger ein weiteres Passwort benötigt und je diverser die zugehörigen MFA-Prozesse sind, desto wahrscheinlicher ist es, dass Mitarbeitenden sicherheitsrelevante Fehler unterlaufen. Doch ist es möglich in einer hybriden (also aus lokalen und cloud-basierten Komponenten zusammengesetzten) IT-Infrastruktur ein übergreifendes Anmeldesystem einzusetzen?
In unserem Arbeitsumfeld wird zumeist mit dem Microsoft-basierten Active Directory gearbeitet. Wenn sich in solchen Unternehmen mit Benutzernamen und Passwort angemeldet wird, gibt es ein Active Directory, in dem die Anmeldung auf Korrektheit überprüft und gecheckt wird, ob spezifisch der Zugriff auf die angefragte Information/Dienstleistung für diese Person erlaubt ist. Ähnliche Anmeldesysteme gibt es auch in der Cloud. Es ist möglich Hierarchien zu verwenden, in denen festgelegt ist, in welchem System eine Dienstleistung den Datenabgleich zur Verifizierung durchführt. Ist im definierten „Hauptsystem“ zu diesem Zeitpunkt schon eine verifizierte Anmeldung erfolgt, können Folgesysteme bei einer Zugriffsanfrage dort den Benutzer und seine Autorisierung verifizieren anstatt eine erneute, separate Anmeldung zu verlangen.
Fazit: Früher oder später wird jedes Unternehmen cloudbasierte Dienste nutzen um wettbewerbsfähig zu bleiben. Parallel kann davon ausgegangen werden, dass lokale Rechenzentren nicht vollständig verschwinden werden. So wird z.B. der Server, der die Produktion steuert, auch langfristig lokal in der Nähe der Produktionsstraße bleiben (und sei es nur um zu vermeiden, dass durch Probleme mit dem Internet direkt die gesamte Produktion zum Erliegen kommt). Auch bewährte IT-Systeme, die nicht mehr neu, aber noch zu effektiv für eine Abwicklung sind, werden nicht direkt ersetzt. Hybride IT-Systeme sind entweder schon da oder kommen auf uns alle zu. Je früher wir lernen sie sicher, kosteneffizient und effektiv zu gestalten desto besser.
