Forrester zu Cloud Data Protection

Wie Cloud-Daten am besten zu schützen sind

19.07.2015

Von

Stanislav Wittmann ist selbstständig beratender Ingenieur in der Sicherheitsbranche. Seine Schwerpunkte liegen im vorbeugenden und planerischen Brandschutz sowie in der Informationssicherheit. Hierzu zählen vor allem Risiko- und Notfallmanagement, Spionage-Prävention und die Schulung von Mitarbeitern gegen Know-How-Verlust (Security Awareness). Mehr Infos gibt es auf seiner Website.

Alle Posts des Autors Email:

Qualität durch Verschlüsselung

Ein Qualitätskriterium für die Cloud ist die Verschlüsselung. Hierzu macht Forrester deutlich, dass Security-Experten hohen Wert darauf legen, Dateien vor dem Upload zu verschlüsseln. Provider bevorzugen zudem die "Zero-Knowledge-Policy", da diese so keinen Zugriff auf die Informationen haben. Denn sobald Cloud-Anbieter Daten entschlüsseln können, besteht konkrete Gefahr, dass Daten massenhafter Überwachung ausgesetzt sind. Olaf Hansel resümiert: "Verschlüsselung und gesicherte Datenübermittlung haben ihren Preis - sei es finanziell oder in Form von zusätzlich notwendigen Maßnahmen. Um ein vielfaches höher ist jedoch der Preis für den Verlust wichtiger Daten."

Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten.
EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit".
Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können.
TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft.
SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert.
Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert.
Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.

Und nun? Verschlüsseln oder nicht? Und wenn doch, dann gleich alle Daten, wie es zum Beispiel Edward Snowden empfiehlt oder nur partiell? Dem Cloud-Anbieter vertrauen und verschlüsseln lassen oder doch das Prinzip "Bring your own encryption" (ByoE) nutzen? Letztlich ist es eine individuelle Entscheidung des Unternehmens, die in einer wirklich exakten Risikobeurteilung zu treffen ist. Die Kosten-Nutzen-Relation darf auch nicht außen vor bleiben.

Die Kehrseite der Cloud-Verschlüsselung

Die Verschlüsselung von Cloud-Daten kann auch zu Problemen führen. So stellt sich zum Beispiel die Frage, wie nach verschlüsselten Dokumenten zu suchen ist. Security-Experten sollten bedenken, wie stark verschlüsselt wird. Denn es gilt, Inhalte beispielsweise vor Reverse Engineering zu schützen. Hinzu kommt die gewünschte möglichst schnelle Verfügbarkeit von Daten - überall und zu jeder Zeit. Ein hoher Komfort für die Nutzer mit minimalen Latenzzeiten also - im Idealfall gepaart mit einer schnell funktionierenden Ver- und Entschlüsselung. Auch stellt Forrester fest, dass Datenlecks schwer aufzuklären sind und die Data Loss Prevention (DLP) häufig unzureichend funktioniert. Dagegen hilft eine Optimierung des DLP-Systems selbst und der entsprechenden Richtlinien (Policy).

Sync-Ordner
Speichert man eine Datei im Viivo-Ordner, wird sie verschlüsselt und in einen Cloud-Ordner kopiert.
Konfigurieren
Über ein Konfigurationsprogramm kann man Voreinstellungen ändern.
Cloud-Dienste
Viivo unterstützt Dropbox, Box, One Drive und Google Drive, weitere Dienste kann man über eine manuelle Konfiguration einbinden.
Freigeben
Nach der Verschlüsselung kann man die Datei für ausgewählte Nutzer freigeben.
Drag & Drop
Zieht man eine Datei auf die Dropzone, ein Programmsymbol auf dem Schreibtisch, wird sie verschlüsselt.
Nutzerverwaltung
Die Business-Version bietet eine Verwaltungsfunktion für das Überwachen der verschlüsselten Dateien.

Zusammenfassung der Studie

Ein ganzheitliches Cloud-Konzept schafft Vertrauen. Dabei spielt neben der Verschlüsselung eine klare und benutzerfreundliche Zugänglichkeit eine wichtige Rolle. Denn laut Forrester geben die meisten befragten Security-Experten an, dass die Produktivität Hand in Hand mit den Sicherheitseinstellungen gehen soll. Darüber hinaus ist die Nachvollziehbarkeit des Datenverkehrs wichtig - kommt es zum Breach, muss feststellbar sein, wer welche Dokumente hoch- oder runtergeladen hat. Erfüllen CDP-Lösungen diese Anforderung nicht, sind Sie zum Scheitern verurteilt.

Mehr Kontrolle bedeutet aber auch mehr Aufwand. Sobald Sie einen höheren Grad an Sicherheit erreichen möchten, erhöhen sich sowohl administrativer Aufwand als auch die Kosten.

Fazit

Durch die Zunahme der Datenmenge steht eine strikte Abkehr vom Cloud Computing nicht zur Debatte. Für Unternehmensanwender gibt es keine realistische Alternative, was den Umgang mit großen Datenmengen angeht.

Bevor Daten in die Cloud gestellt werden, kann es sinnvoll sein, diese zu klassifizieren und nur ausgewählte Daten in eine Cloud hochzuladen. Für solche Entscheidungen kann eine Business Impact Analyse helfen. In jedem Fall gilt es bei der Auswahl des Cloud-Anbieters, auf einen starken und verlässlichen Datenschutz sowie eine akzeptable Benutzerfreundlichkeit zu achten. Die lokale Gesetzgebung des Providers sollte ebenfalls in die Entscheidung einfließen.

Im Idealfall erfüllt der Cloud-Provider hohe Anforderungen an zuverlässigen und starken Datenschutz sowie an die Benutzerfreundlichkeit.
Foto: Stanislav Wittmann

Die Marktentwicklung ist ebenfalls ein spannendes Thema. In dieser Branche spielt Vertrauen eine große Rolle und dieses könnte im amerikanischen Markt dahinschwinden. Das wiederum könnte dem europäischen und asiatischen Markt einen Wettbewerbsvorteil verschaffen. (sh)

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren