Herausforderung Cloud Computing: Wie schütze ich meine Kundendaten richtig?

Cloud Computing lebt vom Gedanken einer komplexen, geteilten IT Infrastruktur, die dem Endbenutzer auf einfache Weise Services zur Verfügung stellt. Zwei Punkte dieser Grunddefinition sprechen grundsätzlich gegen Cloud Computing für Branchen mit hoch sensitiven Daten:

  • Die Cloud Infrastruktur wird unter mehreren Kunden „geteilt“
  • der Fakt, dass die Infrastruktur von einer Drittpartei (also nicht unter dem betriebsinternen Dach) betrieben wird

Trennung der Daten

Alle Daten der Kunden sind bei Cloud-Anbietern grundsätzlich auf derselben Infrastruktur. Echte Cloud-Services haben beispielsweise einen geteilten Datenspeicher (Storage), geteilte Datenbanken und geteilte Serverinfrastrukturen.

Um den Bedürfnissen von Unternehmen mit besonders schützenswerten Daten zu befriedigen, werden verschiedene Technologien eingesetzt. Durch logische Trennung der Daten durch einen Applikationslayer wird sichergestellt, dass auf Daten nicht unerlaubt zugegriffen werden kann. In spezialisierten Sicherheits-Cloud Angeboten kann zudem sichergestellt werden, dass die Netzwerke und die virtuellen Datenpartitionen komplett separiert werden können (Absicherung mittels Firewall, separaten Netzwerk VLANs und virtuell separierten Datenpartitionen). Somit ist es auch bei applikatorischen Fehlfunktionen oder Hacker-Angriffen nicht möglich auf Daten von anderen Unternehmen zuzugreifen. Zudem werden in diesem Ansatz applikatorisch keine gemeinsamen Ressourcen unter den Kunden geteilt.

Ein weiteres Augenmerk gilt es auf die Backupinfrastruktur zu legen. Die gesamte Separierung und Trennung der besonders schützenswerten Daten bringt nichts, wenn in einem gemeinsamen Backup (zum Beispiel auf Disk Medien oder auf Tapes) die Daten schlussendlich wieder unter den einzelnen Cloud-Kunden gemischt werden. Der ganze Prozess bis und mit Backup muss also total getrennt funktionieren.

Authentifizierung

Durch Technologien, die Authentifizierung sicherstellen, wird gewährleistet, dass der Benutzer, der auf Daten zugreift auch wirklich der Benutzer ist, der für den Datenzugriff authorisiert ist. In Standard-Authentifizierungs-Verfahren wird der Benutzer durch eine simple Angabe des Benutzernamens und des Passworts authentifiziert. Diese Technologie reicht bei hoch sensitiven Daten zuwenig weit – zu einfach kann man an das Passwort kommen (zum Beispiel durch einen Brute Force Attack = erraten des Passworts durch gängige Passwortkombinationen).

Bei sicherheitsspezialisierten Cloud-Angeboten wird bei hoch sensitiven Kundendaten eine erhöhte Authentifizierungsstufe eingesetzt. Durch Einsatz eines RSA-Tokens (vergleichbar mit einem Token bei einer E-Banking-Anwendung) wird echte two-factor Authentifizierung ermöglicht. Diese Technologie authentifiziert ein zweites Sicherheitselement neben dem Passwort, welches die Sicherheit massiv erhöht.

Ein ähnliches Verfahren bietet die two-factor Authentifizierung über SMS, deren Sicherheit ebenfalls als sehr hoch einzuschätzen ist.

Durch diese Technologien ist ein sehr hoher Authentifizierungsstandard möglich, der ebenbürtig zu aktuellen E-Banking Applikationen ist.

Verschlüsselung

Selbstverständlich kommt der Verschlüsselung eine sehr hohe Bedeutung zu. Wir unterscheiden dabei zwischen der Übertragungsverschlüsselung (zwischen dem Kunde und dem Cloud-Provider) und der eigentlichen Datenverschlüsselung auf den Speichermedien (Storage) innerhalb der Cloud-Infrastruktur.

Es ist heute gängig, die Übertragungsverschlüsselung mittels VPN oder SSL Technologie abzusichern. Bei sehr sensitiven Daten ist die VPN Site to Site Verschlüsselung zu bevorzugen, da generell komplexere und damit sichere Verschlüsselungsraten möglich sind. Aktuell sind 2048bit starke Schlüssel für IPSEC Verschlüsselung im Site to Site Umfeld durchaus möglich. Allerdings muss eine optimale Balance zwischen Performance der Datenübertragung und Sicherheit der Schlüsselstärke gefunden werden.

Um die Datenverschlüsselung innerhalb der Cloud Infrastruktur sicherzustellen, werden normalerweise Datenverschlüsselungsprodukte auf Ebene des Storage oder auch mittels Softwareverschlüsselungstechnologien eingesetzt. Ein Zugriff der Daten in einem solchen Umfeld ist ausschliesslich möglich, wenn man den Schlüssel besitzt.

Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/

Fazit

Vorausgesetzt, man vertraut dem Unternehmen, das die Cloudlösung betreibt, steht also technisch gesehen eine Cloud Infrastruktur (sofern richtig implementiert) einer internen Implementation in nichts nach. Trotzdem haben es Cloud Lösungen – insbesondere in den deutschsprachigen Ländern –schwer, die Vorurteile mit sachlichen Argumenten zu schlagen.

 

Pressekontakt:

Herr Mateo Meier

Online Marketing AG

www.online-marketing.ch

pressrelease.om@gmail.com

Firmenportrait:

www.itrust.ch

www.ueber-den-wolken.ch