Sicherheit in der Cloud

Bequemlichkeit ist gut, Strategie ist besser



Uwe Hartmann ist Senior Channel Business Manager Cortex bei Palo Alto Networks. Er verfügt über eine mehr als 20-jährige Berufserfahrung im ITK-Geschäft. Gestartet in einem Systemhaus, war er vor seiner Tätigkeit bei Palo Alto Networks unter anderem bei Dell, Novell, Trend Micro. Websense und LogRhythm erfolgreich tätig. Normal 0 21 false false false DE JA X-NONE
Nicht wegen ihrer schauspielerischen Leistungen kamen manche Hollywood-Größen vor einigen Wochen in die Schlagzeilen, sondern weil ihre privaten Fotos aus der Apple-Cloud gestohlen wurden. Ein weiterer Anlass, sich über den strategischen Umgang mit Daten Gedanken zu machen.

Nicht ganz klar ist, ob die Angreifer die Apple-Cloud per Brute-Force-Attacke geknackt oder einfach die Passwörter der Stars entwendet haben, um an die Bilder zu gelangen. Das spielt aber auch keine Rolle. Schließlich ist schon länger klar, dass Daten in öffentlichen Cloud-Speichern bei Cyber-Kriminellen eher Begehrlichkeiten wecken als in abgeschlossenen Netzwerken.

Manche Daten dürfen niemals in die Cloud, andere nur unter strengsten Sicherheitsmaßnahmen.
Manche Daten dürfen niemals in die Cloud, andere nur unter strengsten Sicherheitsmaßnahmen.
Foto:

Trotzdem werden sowohl private als auch Business-User die Cloud immer mehr nutzen, nicht zuletzt wegen des wachsenden Einsatzes mobiler Geräte und des hohen Bequemlichkeitsfaktors, zu jeder Zeit und an jedem Standort völlig transparent auf beliebige Daten zugreifen zu können - frei nach der Formel "mobil + Cloud = bequem". Die wachsende Bequemlichkeit verlangt aber auch nach mehr Verantwortung, die bei Unternehmen in die Erkenntnis münden sollte, dass eine Cloud nicht die allein selig machende Alternative zu professionellem Datenmanagement sein kann. Vielmehr gilt es, eine differenzierte Strategie für die Nutzung, Erzeugung und Speicherung von Daten zu entwerfen, und sie natürlich wirkungsvoll umzusetzen. Das heißt übrigens auch, sie Mitarbeitern einzuschärfen. Das ist ein Schritt, der aus unerfindlichen Gründen immer wieder gern ignoriert wird. Nur mit einem solchen Maßnahmenpaket können die Gefahren von Datenklau oder -sabotage minimiert werden. Die Cloud kann dabei durchaus eine zentrale Rolle spielen - wohl wissend, dass wirklich unternehmenskritische Daten dort nichts zu suchen haben.

Drei einfache Regeln

1. Definieren, welche Daten in die Cloud dürfen
Als aller ersten Schritt auf dem Weg zu mehr Datensicherheit müssen Unternehmen sich eingestehen, dass mobile und Cloud-basierte Applikationen ein immanentes Sicherheitsrisiko darstellen. Manche Daten dürfen niemals in die Cloud, andere nur unter strengsten Sicherheitsmaßnahmen. Es gilt, diese Arten von Daten zu definieren, diese Definition Mitarbeitern mitzuteilen und ihnen deren Wichtigkeit immer wieder einzuschärfen.

2. Das schwächste Glied in der Daten-Austausch-Kette stärken
Schwache Passwörter sind und bleiben ein ständiges Risiko, nicht nur im privaten Umfeld. Wenn auch immer möglich, sollte auf eine starke Zwei-Faktor-Authentifizierung zurückgegriffen werden, vor allem bei kritischen Daten. Token, Rückrufe auf einer zweiten Telefonnummer, biometrische Verfahren oder Einmalpasswörter gehören zu den sicheren Verfahren. Weitere Schwachstellen sind Apps auf mobilen Geräten, die auf eine Cloud zugreifen, zumal dann, wenn es kein vernünftiges Monitoring gibt oder die PINs für die Devices schlicht zu kurz sind - wie es meistens leider der Fall ist.

3. Sich auf den Datenverlust vorbereiten
Jedes Unternehmen muss sich mit einem guten Reporting-Prozess auf einen etwaigen Datenverlust vorbereiten. Es ist wichtig, den Umfang und die Art der gestohlenen oder verschwundenen Daten möglichst schnell zu identifizieren und die Tragweite des Verlusts zu erkennen. Dann sollte eine Checkliste parat liegen, wer in welcher Reihenfolge zu informieren ist. Zu den ersten, die zu benachrichtigen sind, wird in der Regel auch die Polizei oder der Verfassungsschutz gehören.

Weitere Informationen zu sicherem Datenmanagement sind auch abrufbar unter: https://www.allianz-fuer-cybersicherheit.de. (bw)

Zur Startseite