Sie sind hier: Startseite » Fachartikel » Hintergrund

Sicherheit für Unternehmensdaten in der Cloud


Mobilität versus Sicherheit: Sicheres Cloud Computing für KMU
Mobiler Datenverkehr und Datenspeicherung in der Cloud müssen abgesichert sein

Autor Karl Mayrhofer
Autor Karl Mayrhofer Bei der Zugriffssicherheit unterschätzen viele Kunden die Bedeutung des Cloud-Logins für die Sicherheit in der Cloud, Bild: Fabasoft

Von Karl Mayrhofer

(03.06.14) - Besonders kleine und mittlere Unternehmen profitieren von der Nutzung der Cloud, denn der Geschäftsalltag wird immer schnelllebiger und mobiler. Auch Home-Office gehört zum Alltag, wie die aktuelle Studie von IDC zum Thema "Mobile Content Management in Deutschland 2014" zeigt. Mitarbeiter steigern ihre Effizienz, wenn sie auf Unternehmensdaten und Dokumenten auch von unterwegs zugreifen können. Bei der Auswahl des richtigen Cloud-Angebotes sollten Themen wie Daten-, Zugriffs- und Rechtssicherheit sowie die Service-Qualität besonders kritisch betrachtet werden.

KMU stehen aufgrund von Marktveränderungen unter zunehmendem Wettbewerbsdruck. Zeit ist ein kostbares Gut – dieses bestmöglich zu nutzen Pflicht. Um auf lange Sicht wirtschaftlich erfolgreich zu bleiben, müssen sie sich kontinuierlich an die neuen Anforderungen ihres Geschäftsumfelds anpassen. So ist es auch im Interesse des Arbeitgebers, wenn Mitarbeiter von unterwegs auf geschäftsrelevante Inhalte zugreifen können: Arbeitsprozesse werden auf diese Art dynamischer, flexibler und effektiver. So einfach es klingt, die Umsetzung in der Praxis ist nicht trivial. Mobiler Datenverkehr und Datenspeicherung in der Cloud müssen abgesichert sein. Daher sollte es im Interesse des Unternehmens liegen, die entsprechenden Rahmenbedingungen für den sicheren Austausch von geschäftsrelevanten Daten zu schaffen, bevor Mitarbeiter Selbstinitiative ergreifen und unsichere Plattformen zum Austausch von Informationen nutzen.

Sicherheit für Unternehmensdaten
Dies fängt bei der wesentlichen Fragestellung im Bereich der Datensicherheit an: Wo speichert der Anbieter meine Daten? Bei der Auswahl eines Anbieters ist jedenfalls wichtig, dass dieser die Daten in Europa belässt, idealer Weise in Deutschland speichert. Natürlich sollte der Anbieter umfassende Verschlüsselungsverfahren (z.B. Schutz durch SSL-Verschlüsselung nach dem RSA-Verfahren, HTTPS Standard) einsetzen, sowohl für den Datentransfer zwischen den (mobilen) Endgeräten und den Rechenzentren, als auch für das Speichern in den Rechenzentren. Darüber hinaus macht es Sinn, sich die Professionalität des Rechenzentrumsbetriebs objektiv nachweisen zu lassen, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000 oder eine TÜV-Zertifizierung.

Lesen Sie zum Thema "IT Security" auch: IT SecCity.de (www.itseccity.de)

Auch die IDC Studie (Download IDC Studie "Mobile Content Management in Deutschland 2014") bestätigt, dass in Bezug auf Sicherheitsmaßnahmen von File-Sharing- und Synchronisationslösungsanbietern die deutschen Unternehmen auf zertifizierte Sicherheitsstandards vertrauen. Hierbei sind der TÜV (68 Prozent) und die ISO-Zertifizierungen (50 Prozent für ISO 2000 und 46 Prozent für ISO 27001) am bekanntesten.

Generell sind einheitliche Regelungen für Zertifizierungen von der EU für Unternehmen von Vorteil und wünschenswert. In der Europäischen Union wird derzeit an den Rahmenbedingungen für den Aufbau von unabhängigen Cloud Services getüftelt. Die Arbeitsgruppen "Cloud Select Industry Group" (Cloud Select Industry Group on Code of Conduct, Cloud Select Industry Group on Certification Schemes und Cloud Select Industry Group on Service Level Agreements)der Europäischen Kommission haben das selbst erklärte Ziel, rechtliche Rahmenbedingungen für sicheres Cloud Computing zu schaffen. und so den Grundstein für eine europaweite Standardisierung von Cloud Computing zu legen.

Zugriff nur für authentisierte Personen
Bei der Zugriffssicherheit unterschätzen viele Kunden die Bedeutung des Cloud-Logins für die Sicherheit in der Cloud. E-Mail-Adresse und Passwort bieten nur geringen Schutz vor dem Missbrauch eines Cloud-Zugangs. Besser sind Login-Methoden, die neben dem Wissen über Login-Name und Passwort einen zweiten Faktor voraussetzen (Zwei-Faktor-Authentifizierung). In diesem Fall wird zum Beispiel bei einem Anmeldevorgang eine "E-Mail PIN" versandt, oder eine "MobilePIN" an ein vorher registriertes Mobiltelefon gesandt, die zusätzlich zu E-Mail-Adresse und Passwort anzugeben ist. Eine Vorgehensweise, die sich im Businessumfeld immer mehr als Standard etabliert. Noch sicherer sind Login-Verfahren wie "Single-Sign-On" mit einem digitalen Zertifikat, die Nutzung des Firmen-Accounts für den Cloud-Login oder die Anmeldung mit einer digitalen Identität, wie dem deutschen Personalausweis.

Für die mobile Nutzung von Cloud-Services empfiehlt es sich Anbieter zu wählen, die dafür passende Apps anbieten. Auch sie sollten die Möglichkeit zur Authentisierung mit "E-Mail PIN", "MobilePIN" oder Zertifikat bieten und die Daten lokal am Endgerät verschlüsseln.

Datenspeicherung unter europäischem Recht
Rechtssicherheit bedeutet für den Kunden, dass er einen konkreten Vertragspartner in Europa bzw. in Deutschland hat, mit standardisierten Cloud-Verträgen nach europäischem bzw. deutschem Recht. Cloud Computing-Verträge müssen Klarheit und Transparenz schaffen und regeln im Idealfall auch Service-Levels, beispielsweise eine vertraglich zugesicherte Verfügbarkeit des Cloud Computing-Dienstes. Professionelle Firmen veröffentlichen die tatsächlich gemessenen Service Levels ihres Cloud-Dienstes. Viele Cloud Computing-Anbieter setzen heute auf Infrastruktur-Dienste anderer Hersteller auf (z.B. auf Amazon oder Microsoft Windows Azure). Hier ist zu beachten, dass damit der Cloud Computing-Services von den rechtlichen Vorgaben und den Service-Levels dieser Drittanbieter abhängig ist. Die bessere Wahl sind Anbieter, die im Besitz des Source Codes sind und die Cloud-Dienste selbst betreiben.

Gütesiegel für Qualitätssicherheit
Die richtige Wahl des Cloud Computing-Anbieters trägt wesentlich zum Erfolg eines Unternehmens bei. Eine gute Business-Cloud für den Mittelstand bietet nicht nur die technische Sicherheit des Speicherplatzes. Sie lässt sich auch ohne großen Aufwand in bestehende IT-Umgebungen und Sicherheitssysteme integrieren, garantiert eine Datenspeicherung in Deutschland oder Europa und bietet höchste Sicherheitslevels bei der Authentifizierung. Besonders in Zeiten von NSA und PRISM sollte der Fokus auf Cloud-Services "Made in Europe" liegen.

Autor des Fachartikels ist Karl Mayrhofer, Geschäftsführer Fabasoft Cloud GmbH
(Fabasoft: ra)

Fabasoft: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

  • Den richtigen Cloud-Service-Anbieter auswählen

    Vorschriften zur Datenhoheit, wie der Data Governance Act in Europa, können für Unternehmen eine Herausforderung darstellen. Eine der Hauptschwierigkeiten besteht darin, den Überblick darüber zu behalten, wo Daten gespeichert sind. Zudem müssen Unternehmen sicherstellen, dass die Speicherung mit den lokalen Datenschutzbestimmungen übereinstimmt.

  • Compliance vs. oder sogar mit IT-Sicherheit?

    Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things.

  • Mit richtiger Unterstützung zum MSSP-Erfolg

    Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und finanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke.

  • Keine Bestnoten für Deutschlands Rechenzentren

    Rechenzentren werden geplant, gebaut, in Betrieb genommen und dann viele Jahre lang mehr oder minder unverändert genutzt. Doch die Anforderungen der betreibenden Unternehmen, die technologischen Möglichkeiten und die gesetzlichen Rahmenbedingungen ändern sich im Laufe der Zeit. Um böse Überraschungen zu verhindern, Kosten zu sparen und Risiken zu vermeiden, ist es notwendig, Defizite in Bestandsrechenzentren zu entfernen und Optimierungspotentiale zu nutzen. Hierzu sollten Rechenzentren regelmäßig einer ganzheitlichen Betrachtung unterzogen werden.

Projekte mit Managementsoftware optimieren IT-Strategie - Inhouse versus Outsourcing

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen