Datenschutz, Datensicherheit

Sicheres Cloud Computing

17.02.2014
Von Dr. Niels Fallenbeck und Iryna Windhorst

Sichere Speicherung der Daten in der Cloud

Bei der Speicherung der Daten spielt die Verschlüsselung eine zentrale Rolle. Die Verwaltung der Schlüssel stellt für viele Anwender eine Herausforderung dar. Ihr Verlust bedeutet immer auch den Verlust verschlüsselter Daten; eine Kompromittierung der Schlüssel bedeutet eine Gefährdung der Datensicherheit.

  • Sicherer Transfer der Daten in die Cloud

Neben der sicheren, isolierten Aufbewahrung der Daten spielt der sichere Transport der Daten vom Kunden in die Cloud und zwischen den Cloud-Rechenzentren eine wichtige Rolle. Daten sollten nur über verschlüsselte Kanäle übertragen werden und lassen sich beispielsweise über ein verschlüsseltes virtuelles privates Netzwerk (VPN) in die bestehende IT-Infrastruktur des Anwenders einbinden. Um Management-Schnittstellen oder die Verwendung von SaaS-Angeboten via Web-Browser abzusichern, sind ausschließlich sichere HTTPS-Verbindungen anzuraten.

  • Sichere Datenverarbeitung

Was die Datenverarbeitung angeht, ist es besonders wichtig, alle Zugriffe und Aktivitäten innerhalb der Speicherdienste und Cloud-Anwendungen zu protokollieren, um Angriffe zu erkennen. Des Weiteren spielen Portabilität und Interoperabilität eine wichtige Rolle, um die Gefahren eines Vendor-Lock-ins - die zwangsweise Bindung an einen Anbieter aufgrund fehlender Daten-Export-Schnittstellen oder wegen unüblicher Export-Datenformate - zu minimieren. Um einen Lock-in-Effekt zu vermeiden, müssen gegebenenfalls Vereinbarungen mit dem Cloud-Anbieter getroffen werden, um die gespeicherten Daten in einem Standardformat zur Verfügung gestellt zu bekommen. Das kommt dem Anwender dann zu Gute, wenn er später den Cloud-Provider wechseln möchte. Für die Integration von Cloud-Services in die eigene Infrastruktur und bei der Nutzung mehrerer Angebote (Hybrid Cloud) ist die Interoperabilität der Infrastrukturen wichtig. Mit standardisierten und offenen Schnittstellen, Protokollen und Open-Source-Plattformen lässt sich dieser Zustand erreichen.

  • Sicherer Zugang zu den Cloud-Diensten

Nicht nur die Daten selbst, sondern auch die Zugangsdaten für Cloud-Dienste und eigene Anwendungen müssen geschützt werden. Eine verschlüsselte Übertragung und ein regelmäßiger Wechsel des Logins sind zu empfehlen. Hier sollten starke Authentifizierungsmechanismen wie eine Zwei-Faktor-Authentifizierung verwendet und Zugriffsrechte individuell nach dem Need-to-know-Prinzip vergeben werden. Die verteilten Rollen und Rechte sind regelmäßig zu überprüfen.

  • Sichere Datenarchivierung

Das verschlüsselte Archivieren von Daten ist ratsam. Um regulatorische Vorgaben zu erfüllen und forensische Untersuchungen zu ermöglichen, sind hier Mechanismen anzuwenden, die die Suche nach und Extraktion von Daten jederzeit möglich machen.

  • Sichere Datenlöschung/-vernichtung

Die dauerhafte Löschung der Daten in der Cloud ist sehr wichtig, egal ob dies durch gesetzliche Vorgaben vorgeschrieben oder bei dem Wechsel des Anbieters nötig geworden ist. Da ein Anwender oft keinen Zugriff auf das vom Cloud-Provider vorgehaltene Backup hat, bietet es sich an - sofern der Service dies ermöglicht -, die Daten ausschließlich verschlüsselt zu speichern. Beim Löschvorgang wird dann der zugehörige Schlüssel vernichtet und eine Datenentschlüsselung damit quasi hundertprozentig ausgeschlossen.

Fazit

Aus jeder bedrohlichen Wolke kann mit der richtigen Strategie ein blauer Himmel werden.
Aus jeder bedrohlichen Wolke kann mit der richtigen Strategie ein blauer Himmel werden.
Foto: philliefan99, flickr

Den Vorteilen von Cloud Computing (Skalierbarkeit, Elastizität, Pay-per-Use, …) stehen einige Herausforderungen gegenüber, mit denen sich ein Anwender auseinandersetzen muss. Er sollte zum einen überlegen, wie ihn Cloud-Infrastrukturen in seinen Prozessen unterstützen können. Zum anderen aber auch, welche Daten er in der Cloud verarbeitet möchte respektive überhaupt verarbeiten kann. Darüber hinaus muss er sich bewusst sein, dass auch Cloud-Computing-Systeme zeitweise nicht erreichbar sein können und geeignete Strategien für Ausfallzeiten entwickeln. Wird eine hohe Erreichbarkeit benötigt, besteht die Möglichkeit, mehrere unterschiedliche Clouds zu verwenden, was durch fehlende Schnittstellen aber in der Umsetzung schwierig sein kann.

Nichtsdestotrotz hebt die Nutzung von Cloud-Infrastrukturen das Sicherheitsniveau von Anwendern, die kein Wissen im Bereich IT-Sicherheit und der sicheren Administration der eigenen Server besitzen, oft sogar an: Cloud-Anbieter beschäftigen spezialisierte IT-Security-Mitarbeiter, die über aktuelle Angriffe frühzeitig informiert sind und die Systeme bei kritischen Schwachstellen zeitnah aktualisieren.