Datensicherheit in hybriden Umgebungen

Worauf es ankommt, wenn man Unternehmensdaten in der Cloud und on-premises speichert?

Datenspeicherung in der Cloud ist längst kein Trend mehr, sondern fast schon der Normalzustand. Und doch halten die meisten Unternehmen nach wie vor auch Daten lokal vor, sei es aus Sicherheitsbedenken oder Compliance-Gründen. Daraus ergibt sich eine recht komplexe, hybride Welt, in der die Daten sowohl in der Cloud als auch on-premises gleich gut und effizient geschützt werden müssen.

Cloud-Anbieter habe sicherlich einige Vorteile in Sachen Sicherheit: So verfügen sie (im Gegensatz zu zahlreichen ihrer Kunden) über dedizierte Sicherheits-Teams, die (gegebenenfalls rund um die Uhr) die Systeme überwachen, diese auf dem neusten Stand halten und Bedrohungen abwehren. Auch ist in aller Regel für einen starken physischen Schutz der Rechenzentren gesorgt. Und dennoch kann die Verantwortung für die eigenen Daten nicht einfach „ausgelagert“ werden. Mit dem Verschieben von Daten in die Cloud sind mitnichten sämtliche Probleme mit dem Datenzugriff und der Datensicherheit gelöst. Zahlreiche große Datenschutzverletzungen der jüngsten Zeit hatten ihren Ursprung in der Cloud. So waren etwa die geleakten personenbezogenen Daten von fast 200 Millionen US-Bürgern des Republican National Committee (RNC) in einer AWS-Cloud-Umgebung gespeichert. Über ein Terabyte ungeschützter demographischer Daten standen jedem Hacker zur Verfügung, der die Programmierschnittstellen (APIs) von Amazon nutzen konnte – eine sehr niedrige technische Hürde für einigermaßen ambitionierte Hacker. Der Fehler lag jedoch nicht direkt bei AWS, sondern bei der Beratungsfirma, die vom RNC mit der Analyse beauftragt wurde: Sie versäumte es, die im AWS-Datenspeicher (Simple Store Service, S3) gespeicherten Daten mit einem Passwort zu schützen.

Was nützen also alle eingebauten Sicherheitstools, wenn grundlegende Sicherheitsprinzipien nicht eingehalten werden? Cloud-Anbieter aktualisieren die Passwörter nicht für ihre Kunden, und sie entscheiden nicht, wer welchen Zugriff auf die Daten haben soll und sollte, die bei ihnen gespeichert werden. Um es ganz klar zu sagen: Dies ist kein Amazon-Problem, sondern betrifft alle Cloud-Anbieter. Auch bei Microsoft Office 365 kam es bereits zu erfolgreichen Datendiebstählen. Der Punkt ist: Man kann seine Datensicherheit nicht vollständig an den Cloud-Anbieter auslagern, und man muss stets die gleichen Richtlinien und Sicherheitsverfahren für den Datenzugriff auf seine Cloud-Daten anwenden, als ob sie in seiner eigenen Infrastruktur wären.

Hybride Security: Das Beste aus beiden Welten

Um Cloud-Daten besser zu schützen, entwickelte sich eine neue Art von Sicherheitstechnologie namens „Cloud-Access Security Brokers“ (CASB). CASB ist eine beliebte Kategorie von Cloud-basierten Produkten, die in der Regel zwischen Benutzern und Cloud-Diensten (entweder inline oder mit einem Reverse-Proxy) betrieben werden und/oder Cloud-Service-APIs verwenden. Wenn man die grundlegende Cloud-Sicherheit mit CASB (sinnvoll) erweitert, muss man sich trotzdem noch mit einem grundlegenderen Problem auseinandersetzen: der Vereinheitlichung zweier verschiedener Sicherheitsumgebungen. Die Berichterstattung und Überwachung der Cloud-Datensicherheit – auch mit CASB – deckt eben nur die Cloud ab, nicht die lokal im Unternehmen gespeicherten Daten. Schlimmer noch: Ohne den Komfort herkömmlicher lokaler Kontrollen sind jetzt potenziell sensible Unternehmensdaten im Internet zugänglich. Zudem ist es in aller Regel schwieriger, Sicherheitsprobleme ohne ausreichenden Daten- und Verhaltenskontext sowohl in lokalen als auch in Cloud-Umgebungen zu erkennen.

Ein einfaches Beispiel: Ein Benutzer könnte von seinem Heimarbeitsplatz aus auf Daten in einer Cloud-Umgebung zugreifen, was normal genug aussieht, um keine Alarme auszulösen. Wenn jedoch derselbe Benutzer gleichzeitig auf Dateien im Hauptbüro zugreift (nicht über ein VPN von zu Hause aus), ist das eindeutig nicht normal. Sicherheitsanalyselösungen, die nicht beide Bereiche (also die Cloud und on-premises) im Blick haben, würden dies jedoch übersehen.

Abgesehen von der Sicherheitsanalyse müssen Unternehmen die Auswirkungen zusätzlicher Workflows und Prozesse für sicherheitsrelevante Aufgaben wie Berechtigungsmanagement, Datenklassifizierung und Disposition berücksichtigen. Unternehmen haben oftmals bereits Schwierigkeiten, Prozesse und Technologien über lokale Datenspeicher hinweg zu vereinheitlichen. Durch zusätzliche Cloud-Datenspeicher wird die Herausforderung noch größer.

Wie bekommt man nun beide Ansätze in Bezug auf die Datensicherheit unter einen Hut? Letztlich kommt man nicht an einer Sicherheitstechnologie vorbei, die sowohl lokale als auch Cloud-Datenspeicher umfasst und einen datenzentrierten Sicherheitsansatz bietet. Ein einheitlicher Ansatz kombiniert Schlüsselfunktionalitäten, die für die Datensicherheit unerlässlich sind, einschließlich der Erfassung und Verwaltung von Zugriffsrechten, Datenklassifizierung und Sicherheitsanalysen in allen wichtigen Datenspeichern. Denn für die Sicherheit und Integrität der Dateien darf es keine Rolle spielen, wo sie gespeichert wurde.