Schlagwort-Archiv itbusiness

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

Mit etablierten Verfahren können mittelständische Unternehmen bereits das eine oder andere Sicherheitsproblem von Cloud Computing entschärfen.


IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

Wer sich für den Weg in die „Cloud-Welt“ entscheidet, sollte Schutzmaßnahmen beachten.

In der Cloud-Computing-Debatte scheinen zwei Sichtweisen verbreitet zu sein: Auf der einen Seite die Befürworter, die vor allem die Vorteile einer ausgelagerten IT in die Wolke betonen. Auf der anderen Seite die Skeptiker, die Sicherheit nur innerhalb des eigenen Serverraums garantiert sehen. In letzter Zeit bekommt gerade diese Fraktion Zuspruch: In Zeiten der globalen Überwachung sei nicht einmal im eigenen Land auf die Integrität der Cloud-Anbieter Verlass.

Beide Extreme sind mitunter überspitzt. Die Frage, ob die Cloud gut oder schlecht ist, muss je nach Einzelfall entschieden werden. Sie hängt vor allem davon ab, wie viel Sicherheit das Unternehmen tatsächlich benötigt. Häufig ist ein besonderer Schutz überflüssig. Ein Beispiel aus dem Marketing: Um Texte und Grafiken mit Agenturen auszutauschen, ist die Cloud das ideale Medium. Wird ein Zugriff gehackt und eine Werbebroschüre steht frei im Internet, hält sich der Schaden in Grenzen. Dass sich daraus keine allgemeine Abgrenzung in sichere und unsichere Firmenbereiche vornehmen lässt, versteht sich von selbst: Denn gerät die gesamte Marketingplanung in falsche Hände, kann dies zu gravierenden Problemen führen.

Leider sind die wenigsten Daten in Unternehmen derart unproblematisch, dass sie ohne Gefahr in die Cloud gelegt werden könnten. Personenbezogene Daten sind ein gutes Beispiel: Hier sind Firmen gut beraten, auch bei einem vermeintlich hohen Sicherheitsniveau eine lokale Sicherung der Wolke vorzuziehen.

Vollständige Datenverschlüsselung

Als sichere Methode beim Speichern von Daten in der Cloud erweist sich eine vollständige Verschlüsselung. Und zwar eine solche, bei der der Schlüssel im Anwenderunternehmen verbleibt. Wenn dagegen US-amerikanische Cloud-Anbieter eine Verschlüsselung anbieten, ist dies nicht mehr als eine Marketing-Botschaft. Denn zum einen sollten die Daten durch die Verschlüsselung auch vor Mitarbeitern des Anbieters versteckt bleiben. Zum anderen möchten sich Unternehmen vom Zugriff etwa der NSA verschont wissen.

Datenschutzgefahr auch bei Bring Your Own Device

Neben Cloud Computing birgt auch die Strategie des „Bring Your Own Device“ (BYOD) für Anwender einiges an Gefahr: Wer ein hohes Sicherheitsniveau anstrebt, sollte sich jedoch davor hüten, das Thema in Einzelaspekte wie BYOD, die Cloud oder auch USB-Sticks zu zerlegen oder gar diese Herausforderungen nur nacheinander anzugehen. Ein verschlossener Zugangsweg – etwa über ein Verbot von BYOD – provoziert schließlich die Nutzung von etablierten Austauschverfahren wie USB-Sticks.

Hinsichtlich der IT-Strategie müssen daher sämtliche Datenwege abgesichert werden. Im Prinzip ist dies unkompliziert, wenn die richtigen Tools benutzt werden und ein Regelsatz bereits etabliert ist. Schließlich ist es nicht schwer, Unternehmensvorschriften auf die Cloud zu übertragen, die für USB-Sticks bereits seit langem gelten. Um nichts anderes handelt es sich schließlich bei dem dezentralen Speicher in der Wolke.

Ebenso wichtig ist es, dass die Verschlüsselung ohne Benutzereingriff komfortabel erfolgt. Wenn die Mitarbeiter für die Cloud-Verschlüsselung kompliziertere Arbeitsschritte als beim Gebrauch eines USB-Sticks ausführen müssen, führt dies zu Unmut und den bekannten Umgehungsstrategien. Ist es dagegen möglich, weiterhin Daten auf der Dropbox abzulegen und diese automatisch im Hintergrund zu verschlüsseln, steigt die Akzeptanz und damit das Sicherheitsniveau.

Gerade in mittelständischen Unternehmen darf die IT nicht zu aufwendig und organisatorisch kompliziert zu implementieren sein. Das spricht gegen parallele, ausufernde Sicherheitskonzepte. Besser kann es sein, auf eine einzige Softwarelösung zu setzen, die eine verschlüsselte Datenkommunikation bietet. So gerät der Quellcode nicht in falsche Hände und Preisstrukturen bleiben vor Wettbewerbern geheim.


Was sind die wichtigsten Schutzmaßnahmen für Unternehmen?

  • Kontrolle: Firmen sollten stets definieren, welcher Nutzer welche Datenwege verwenden darf.
  • Audit: Eine genaue Protokollierung der Datenübertragung macht Verstöße gegen Gesetze und Bestimmungen nachweisbar. Doch dabei darf die Privatsphäre der Mitarbeiter nicht verletzt werden: Die richtige Sicherheitslösung bindet daher den Betriebsrat mit ein.
  • Filter: Filterfunktionen separieren kritische von unkritischen Datentypen. Datentypen, die im Unternehmen nichts verloren haben, werden auf diese Art zuverlässig blockiert.
  • Encrypt: Die Verschlüsselung ist ein elementarer Baustein in der Sicherheitsarchitektur. Dabei sollte auf den Einsatz moderner Verschlüsselungs-Tools geachtet werden, die nicht umgangen werden können, wie es etwa bei einer reinen Container-Verschlüsselung der Fall wäre.

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand.

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Translate »