Schutz sensibler Daten bei der Migration in die Cloud

Home > Meinungen  > Schutz sensibler Daten bei der Migration in die Cloud

Schutz sensibler Daten bei der Migration in die Cloud

Veröffentlicht am: 27 07 2017 | Geändert am: 17 02 2023

Autor: Jocelyn Krystlik

6 minutes

Angesichts der eindeutigen Vorteile von Cloud Computing ist es interessant, dass nicht mehr Unternehmen diese Art der Bereitstellung von datengesteuerten IT-Dienstleistungen für ihre Mitarbeiter übernehmen. Immerhin gibt es weniger Ausgaben für Technologie-Investitionen, weniger HR-Ausgaben für IT-Personal und die Möglichkeit, die neuesten effizienten IT-Lösungen zu nutzen. Dennoch bestehen in vielen Unternehmen noch immer Ängste vor der Cloud.

Eines der größten Probleme von Banken und Finanzdienstleistern ist der Schutz vor unbefugten Datenzugriffen, und es gibt echte Befürchtungen, dass der Umzug in die Cloud eher weniger als mehr strenge Sicherheitskontrollen mit sich bringt. Immer wieder wird die Frage aufgeworfen, wie man Dateien verschlüsselt halten kann, wenn sie in die und aus der Cloud gehen oder über Cloud-basierte Dienste an Kunden und Geschäftspartner gesendet werden. Es gibt auch ein mangelndes Verständnis darüber, ob eine Cloud-Umgebung die branchenspezifischen und allgemeinen Sicherheitsvorschriften für den Datenschutz erfüllt, ganz zu schweigen von Datenlecks und dem Zugriff auf Informationen von mehreren Geräten aus.

Eines der größten Probleme für Banken und Finanzdienstleister ist der Schutz vor unberechtigtem Zugriff auf Daten.

Die wichtigste Entscheidung für eine Bank oder ein Finanzunternehmen ist es, ihren Cloud-Provider sorgfältig auszuwählen und sicherzustellen, dass alle ihre Mitarbeiter nur diese zugelassene Plattform nutzen. Die Ermöglichung mehrerer Plattformen hat zur Folge, dass Quellen fragmentiert und Dienste gemeinsam genutzt werden, dass die Fähigkeit zur Überwachung und Kontrolle der Datenverbreitung eingeschränkt wird und dass Sicherheitsprotokolle kompromittiert werden. Ohne Zugriff auf eine vom Unternehmen genehmigte Cloud-Plattform sind die Mitarbeiter versucht, kostenlose, unsichere Cloud-Umgebungen zu nutzen, nur um "die Arbeit zu erledigen", und die Gefahr besteht darin, dass die IT-Abteilung dies gar nicht bemerkt.

Eine weitere Überlegung ist der Mangel an physischer Kontrolle. Wenn jemand Daten aus einem Rechenzentrum vor Ort stehlen will, muss er das Gebäude physisch betreten, um auf die Systeme zuzugreifen, in denen sich die sensiblen Dokumente befinden. Aber mit der Cloud ist es für Unternehmen im Falle eines Diebstahls von Berechtigungsnachweisen schwierig, den Dokumentenzugriff nachträglich einzuschränken. In den Räumlichkeiten sind sensible Daten die Priorität des Unternehmens. Für Cloud-Anbieter ist es jedoch vorrangig, den Zugang zu ihren Plattformen rund um die Uhr zu ermöglichen, auch wenn die Sicherheit ernst genommen wird.

Fallbeispiel - Banken

Banken und Finanzberatungsunternehmen müssen auf jeden Fall den Verlust von Kapital vermeiden und sicherstellen, dass keine Möglichkeit besteht, dass unbefugte Nutzer auf Daten zugreifen, die dazu führen könnten, dass sie das Geld des Instituts an einen anderen Ort bringen. Die Herausforderung besteht darin, die entsprechenden Daten den entsprechenden autorisierten Nutzern zur Verfügung zu stellen, aber auch sicherzustellen, dass alle finanziellen Vermögenswerte so behandelt werden können, als befänden sie sich innerhalb der Mauern des Rechenzentrums des Instituts und nur von vertrauenswürdigen Personen zugänglich.

Fallbeispiel - Versicherung

Da so viele Kundeninteraktionen im Außendienst stattfinden, können Versicherungsunternehmen von einer Zusammenarbeit in der Cloud stark profitieren. Gleichzeitig müssen Unternehmen betrügerische Aktivitäten verhindern, bei denen unberechtigte Nutzer versuchen, Schadensfälle zu ihrem eigenen Vorteil zu modifizieren. Natürlich müssen auch persönlich identifizierbare Kundendaten vor unbefugtem Zugriff geschützt werden.

Die Herausforderungen

Unternehmen müssen sicherstellen, dass sie den täglichen Datenaustausch - Jahresabschlüsse, Buchhaltungsunterlagen und Versicherungspolicen - so gut wie möglich geschützt halten, ob in Ruhe oder auf dem Weg. Erschwert wird dies durch die Sicherheitsprobleme, die mit den sich schnell entwickelnden Technologien wie Mobilität und dem Internet der Dinge (IoT) zusammenhängen, die beide auf Dienste und Daten zugreifen wollen, die in der Cloud laufen.

Die Erweiterung der von der Cloud unterstützten Geräte öffnet Unternehmen auch für mehr Insider-Bedrohungen, da sich Super-Admins als andere Endbenutzer ausgeben können, um auf ihre Daten zuzugreifen. Dies kann sogar geschehen, ohne dass die Benutzer (einschließlich des leitenden Managements) wissen, dass der Admin ihre Dateien einsieht.

Finanzunternehmen müssen auch überwachen, ob Mitarbeiter die Cloud - absichtlich oder versehentlich - ausnutzen, um ihre Dokumente "übermäßig zu verteilen". In dem Bestreben, mehr Geschäfte zu machen, erlauben sie vielleicht Kunden oder Geschäftspartnern, Dinge zu sehen, die sie nicht sehen sollten. Die gemeinsame Nutzung von Daten kann auch über die ursprüngliche Partnerschaftsvereinbarung hinaus wachsen oder sich über sie hinaus einschleichen", so dass mehr externe Benutzer auf mehr Informationen zugreifen können, als ihnen eigentlich erlaubt sein sollte.

Eine weitere Herausforderung sind "Man-in-the-Middle"-Angriffe, bei denen Hacker heimlich die Kommunikation zwischen zwei Parteien, die glauben, direkt miteinander zu kommunizieren, weiterleiten und möglicherweise verändern.

Viele dieser Herausforderungen sind auf die Entwicklung von "Schatten-IT"-Verfahren zurückzuführen, die die Verfügbarkeit von Cloud-Diensten ermöglicht. Dies bedeutet, dass Mitarbeiter, wenn sie nicht auf eine Unternehmens-Cloud beschränkt sind, wahrscheinlich nach Möglichkeiten suchen, um miteinander sowie mit ihren vertrauenswürdigen Auftragnehmern, Dienstleistern und Partnern zusammenzuarbeiten und Dateien auszutauschen. Es müssen klar formulierte und verstandene Nutzungsregeln angewendet werden.

Achten Sie auf die Lücke

Die gerätebasierte Verschlüsselung, auch als Festplatten- und Wechsellaufwerk-Verschlüsselung bezeichnet, ermöglicht den Schutz der Daten auf dem Laufwerk. Dieser Ansatz funktioniert gut, wenn das Gerät (z. B. ein Laptop oder ein USB-Laufwerk) verloren geht oder gestohlen wird. Die Herausforderung kommt, wenn ein Benutzer am Gerät angemeldet ist und die Daten unverschlüsselt sind, während er an einem Dokument arbeitet. Ohne zusätzlichen Schutz können die Daten dann (unverschlüsselt) in anderen Anwendungen, die auf dem Gerät laufen, verwendet werden und manchmal sogar das Gerät über das Netzwerk verlassen. Die Daten können dann ungeschützt über eine Cloud-Plattform oder per E-Mail auf ein anderes Gerät hochgeladen werden.

Um geräte- und datenträgerbasierte Verschlüsselungslücken zu überwinden, können Daten durch eine Technik klassifiziert werden, die oft als Data Loss Prevention (DLP) bezeichnet wird. Dadurch wird sichergestellt, dass die Daten weder das Gerät noch das Netzwerk auf der Grundlage von Richtlinien und Regeln verlassen. Der Ansatz zur Datenklassifizierung stellt jedoch auch einige Herausforderungen hinsichtlich der zu verschlüsselnden Datendateien dar: die Konfiguration der Entschlüsselungsrichtlinien und -regeln und deren angemessene Anwendung.

Richtlinien können veraltet sein, bevor sie überhaupt in Kraft treten. Beispielsweise kann eine Richtlinie so festgelegt werden, dass der externe Austausch von Informationen, die persönlich identifizierbare Informationen enthalten, blockiert wird. So kann sie beispielsweise Daten blockieren, wenn eine Datei eine Führerscheinnummer und eine Adresse enthält, was zu einigen Fragen führt:

  • Was passiert, wenn die Informationen z. B. für den Abschluss eines Darlehensvertrags oder für die Bearbeitung eines Versicherungsanspruchs durch einen Schadensregulierer benötigt werden?
  • Was passiert, wenn die Informationen von einem Partner benötigt werden, um den Papierkram zu erledigen?
  • Wann, wie und über welche Geräte kann auf die Akte zugegriffen werden (z.B. Smartphone)?
  • Ist eine Änderung der Sicherheitspolitik eine Ausnahme oder wird sie zur Regel?
  • Wenn sie zur Regel wird, für wen gilt die Regel?
  • Dauert die Regel "ewig" oder läuft sie nach dem Verschwinden des Geschäftsfalls ab?

Beim Umzug in die Cloud arbeiten DLP-Lösungen ähnlich wie die Disk-basierte Verschlüsselung, d.h. die Daten werden verschlüsselt, bevor sie das Netzwerk verlassen und in die Cloud gelangen. Die Herausforderung besteht darin, dass die Daten, ähnlich wie bei der Disk-basierten Verschlüsselung, nicht in der Cloud verwendet werden können, wenn sie verschlüsselt sind. Die gerätebasierte Verschlüsselung und DLP können sicherlich eine Rolle beim Schutz von Daten im Ruhezustand vor Ort spielen. Aber um Dateien vollständig zu schützen - wenn sie das Unternehmen verlassen und in die Cloud oder auf Geräte und Netzwerke außerhalb der direkten Kontrolle des Unternehmens gelangen - muss die IT einen dritten Sicherheitsansatz anwenden. Das Ziel sollte es sein, Daten auf den Restgeräten, in den Dateisystemen, auf Wechsellaufwerken, im Netzwerk UND bei der Übertragung in die Cloud zu verschlüsseln.

Wenn die verschlüsselten Daten in die Cloud gelangen, sollten die Mitarbeiter weiterhin in der Lage sein, auf die Informationen aus der Cloud mit anderen Geräten und Anwendungen zuzugreifen, für die sie Nutzungsrechte erhalten haben. Die Antwort zur Erreichung dieses Ziels: Kombinieren Sie zentrale Sicherheitskontrollen und -regeln mit der Möglichkeit, den Endbenutzern die Möglichkeit zu geben, die von ihnen verwalteten Dateien zu verschlüsseln.

Angewandte Verschlüsselung für Mitarbeiter

Die Möglichkeit der Verschlüsselung ermöglicht es den Mitarbeitern, einen eigenen vertrauenswürdigen Kreis von Mitarbeitern zu schaffen, um die Dateien einzusehen. Wo auch immer die Dateien hingehen, sie sind verschlüsselt, und die Mitarbeiter haben die Freiheit, ihre Geschäfte zu tätigen und ihre Produktivität zu verbessern, während sie gleichzeitig die digitalen Ressourcen schützen. Durch die Kombination dieses Ansatzes mit zentralisierten Kontrollen und Regeln entsteht ein leistungsstarkes Sicherheitssystem, das die Macht in die Hände der Benutzer legt und gleichzeitig die ultimative Kontrolle innerhalb der IT behält. Diese Methode reduziert auch den Zeitaufwand der IT für die Sicherung von Dokumenten. Die Benutzer können die Daten auswählen, die sie für ihre Arbeit benötigen, ohne auf die Genehmigung der IT-Abteilung warten zu müssen oder darauf zu warten, dass die IT-Abteilung die Liste der genehmigten Mitarbeiter und der unterstützenden Richtlinien aktualisiert. Zusätzlich zur Sicherstellung, dass die Daten nicht gefährdet sind, sorgt dieser Ansatz dafür, dass die Daten für interne Mitarbeiter besser durchsuchbar und sortierbar bleiben. Darüber hinaus kann ein sicherer Dateiaustausch zwischen internen und externen Mitarbeitern, einschließlich Zeitarbeitern und Remote-Mitarbeitern, stattfinden.

Aus der Sicht der IT und des Unternehmens bleiben die Daten vor unbefugtem Zugriff und versehentlicher Offenlegung geschützt. Die Daten sind auch vor dem Zugriff von Anbietern, Super-Admins und der Überwachung durch die Regierung geschützt. Die Technologie ist für Apps verfügbar, die auf Laptops, Desktops, Tablets und Smartphones laufen. Auch wenn sie von den Benutzern angewendet wird, kann die IT-Abteilung dennoch Datenschutzrichtlinien für das Unternehmen definieren, verwalten, durchsetzen, verfolgen, prüfen und Berichte erstellen. Die einzelnen Benutzer können auch überwacht werden, um sicherzustellen, dass sie die Technologie korrekt verwenden, und die IT-Abteilung kann immer noch sehen, wie weit und breit die Daten innerhalb und außerhalb des Unternehmens unterwegs sind.

Während die Endbenutzer die Kontrolle über die Frontline erhalten, sind ihre Datenverarbeitungsvorgänge für das Unternehmen völlig transparent und werden dennoch vollständig von ihm kontrolliert. Während die Kontrolle vorhanden ist, bleiben die Inhalte der Endbenutzer geschützt, selbst vor den Augen der Super-Administratoren in der IT.

Tags :

Teilen auf

[juiz_sps buttons="facebook, twitter, linkedin, mail"]

Über den Autor

mm
Jocelyn Krystlik
Business Unit Data Security Manager, Stormshield

Jocelyn verfügt über verschiedene Erfahrungen im Bereich der Sicherheit nach acht Jahren Beratung und Produktmanagement für Arkoon bis zur Übernahme des Unternehmens durch die Muttergesellschaft von Stormshield, Airbus. Seit 2014 unterstützt er Kunden von Stormshield dabei, ihr Bedrohungsrisiko zu reduzieren, indem er Erfahrungen, Beratung und Schulungen im Bereich der Datensicherheit und insbesondere in der Cloud einbringt. Er hat eine entscheidende Rolle bei der Markteinführung der Security Box gespielt, einem Sicherheitsprodukt für Daten des Unternehmens. Heute ist er Manager der Business Unit Data Security.

Dauert Artikel

Sehen Sie alle Artikel vomMeinungen

Erfahre mehr