- Anzeige -


Sie sind hier: Startseite » Markt » Interviews

Vertrauen in die Cloud zurückgewinnen


Altrans IT-Security Consultant Benedikt Heintel: "Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt"
Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und Integrität ihrer Unternehmen

(18.12.13) - Der Skandal um die Späh-Programme der amerikanischen und britischen Regierungen hat dem Boom des Cloud Computing einen ersten Dämpfer verpasst – plötzlich keimen Zweifel auf, ob es so eine gute Idee ist, vertrauliche Daten in der Cloud zu speichern. Altrans IT-Security Consultant Benedikt Heintel erläutert im Interview, wie es um die Sicherheit und das Vertrauen in Cloud-Diensten bestellt ist und was Unternehmen nun tun können, um ihre IT-Sicherheit zu erhöhen.

Herr Heintel, der Markt für Cloud-Dienstleistungen wächst zweistellig. Die Berichterstattung über Prism und Tempora erzeugte allerdings den Eindruck, als sei es um die Sicherheit in der Cloud nicht gut bestellt. Wie ist Ihre Einschätzung?

In der Tat hat der Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen. In Deutschland hat der Datenschutz aufgrund unserer Historie größere Bedeutung als im angelsächsischen Raum.

Durch die Enthüllungen von Edward Snowden wissen wir, dass beim amerikanischen Überwachungsprogramm Prism fast alles aufgezeichnet und ausgewertet wird. Allein dies wäre in Deutschland illegal, denn eine konkrete Überwachung bedarf hier einer richterlichen Verfügung oder der Sachlage einer "Gefahr im Verzug". Ein solch begründeter Anlass ist in den USA nicht notwendig, Geheimgerichte mit nicht-öffentlichen Verfahren und das Verbot der Veröffentlichung sogenannter "Security Letters" sorgen nicht gerade für Vertrauen in die amerikanischen Geheimdienste.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Die Zahl der Nutzer, die über mobile Endgeräte auf Cloud-Dienste zugreifen, wächst. Vergrößert dieser Trend potenzielle Angriffspunkte?

Die mobilen Endgeräte selbst sind gar nicht so kritisch – auch die Betriebssysteme sind relativ sicher, nicht zuletzt wegen ihrem geschlossenen System. Ein wesentlich größeres Problem ist jedoch die teilweise mangelnde Qualität der Software: Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und Integrität ihrer Unternehmen. Vielfach haben sich die Entwickler nicht die Mühe gemacht, Sicherheit in ihre Programme zu integrieren, so dass Smartphones dann über solche Apps leicht angreifbar werden. Insbesondere beim Trend des "BYOD" (Bring your own device) wird das "Mobile Device Management" (MDM) des Unternehmens häufig umgangen.

Könnten die seltenen Updates der Betriebssysteme der Smartphones ein Problem sein?

In der Tat bringen die Hersteller ihre Smartphones häufig mit großartigen Versprechungen auf den Markt, stellen dann aber bereits nach wenigen Monaten die Versorgung mit Updates für das Betriebssystem ein; Apple bildet hier eine rühmliche Ausnahme, da hier Betriebssystem und Hardware aus einer Hand kommen. Alle anderen Anbieter haben natürlich kein großes Interesse daran, Softwareupdates an die spezifische Hardware anzupassen – da sich damit kein Geld verdienen lässt. Im Endeffekt heißt dies, dass vielfach nur Experten ihre Betriebssysteme mit Hilfe eines Root-Zugriffs selbständig auf dem aktuellen Stand halten können. Ein Root-Zugriff wiederum macht den Angriff auf die Smartphones einfacher, da Rechte zur Kontrolle des gesamten Geräts zur Verfügung stehen; diese müssen dann wieder abgesichert werden.

Womit wir beim Faktor Mensch bei der IT-Sicherheit wären

Tatsächlich ist der Mensch mittlerweile der wichtigste Angriffspunkt für Hacker, denn er ist wesentlich leichter zu täuschen als Maschinen. Beim sogenannten Social Engineering versuchen Hacker durch Überzeugung oder Beeinflussung zwischenmenschliche Beziehungen zu manipulieren und dabei am effektivsten an vertrauliche Informationen zu kommen – entweder im realen Leben oder über Chats und soziale Netzwerke. Damit haben Angreifer bereits tausendfach Erfolge erzielt: E-Mails mit Gewinnversprechen, Zahlungsaufforderung oder Androhung strafrechtlicher Verfolgung erzeugen Gefühle wie Freude oder Angst. Gepaart mit der Aufforderung schnell zu handeln geben viele Menschen dann schnell nach. In jedem Fall setzen die Kriminellen an der Vorstellungskraft des Mitarbeiters an und versuchen damit sein Handeln zu lenken. Noch dreister: Angreifer geben sich am Telefon mit falsch angezeigter Telefonnummer als Help Desk aus, lassen sich zum Administrator verbinden und täuschen dort höchste Eile vor. Ein überrumpelter Administrator gibt dann durchaus auch sensible Passwörter heraus – je nachdem, wie er in seiner Persönlichkeit gestrickt ist.

Was empfehlen Sie Unternehmen?

Unternehmen benötigen Strategien dafür, Informationssicherheit im Unternehmen zu verankern. Dazu gehört zum einen ein Informationsmanagementsystem (ISMS), auf der anderen Seite die Schulung der Mitarbeiter. Im Unternehmen sollte bei den Mitarbeitern ein kritisches Bewusstsein für die Gefahren der Technologie entwickelt und für einen misstrauischen Umgang mit neuer und unbekannter IT geworben werden – insbesondere, wenn diese nicht vom Unternehmen empfohlen wurde.

Nach Prism und Tempora glauben signifikant weniger Deutsche an den vertrauenswürdigen Umgang mit den Daten in der Cloud. Wie können Unternehmen dies Vertrauen zurückgewinnen?

Eine Reihe von Cloud Computing-Betreibern haben die Initiative "Cloud Services Made in Germany" gegründet. Allerdings hat die Initiative für mich nur geringe Bedeutung, da die Unternehmen sich zwar verpflichten ihren Hauptsitz in Deutschland zu haben und ausschließlich nach deutschem Recht zu agieren, andererseits aber nicht klar ist, welche Sicherheitsstandards die Unternehmen garantiert einhalten. Wichtiger wäre, dass sich die Anbieter auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen. Außerdem wären vertrauensbildende Maßnahmen denkbar, etwa indem man mögliche Cloud Computing-Kunden einlädt und aufzeigt, wie Sicherheit bei dem Anbieter gelebt wird.

Sind die Unternehmen in Deutschland für die Nutzung von Cloud Computing-Diensten vorbereitet?

Großkonzerne sind in vielen Fällen schon gut gerüstet. Vor allem bei den Mittelständlern besteht hier jedoch enormer Nachholbedarf. Es müssten dringend Maßnahmen ergriffen werden, wenn das intellektuelle Kapital vieler "Hidden Champions" auch in Zukunft vor organisierter internationaler Cyber-Kriminalität sicher sein soll. Neben den Schulungen gilt es auch dringend, ein IT-Sicherheitsmanagement einzuführen – insbesondere dann, wenn die Organisation mit mobilen oder Heimarbeitsplätzen arbeitet. Aufgrund der dramatischen Unterschätzung der IT-Kriminalität, sehe ich hier sogar Teile des wichtigen deutschen Mittelstandes in Gefahr.

Wie könnte es im nächsten Schritt weitergehen, um die Sicherheit in der IT zu erhöhen?

Man könnte bei den kleinen und alltäglichen Dingen ansetzen: Gerade die Sicherheit im E-Mail-Verkehr betrifft fast jeden. Derzeit ähnelt eine verschickte E-Mail einer Postkarte. Die enthaltenen Informationen können mit ein wenig technischem Verständnis E-Mails ohne weiteres mitgelesen werden. Abhilfe schafft hier der digitale Briefe, also die verschlüsselte E-Mail. Im Zweifel sollte die Bundesregierung tätig werden und jedem Deutschen ein digitales Zertifikat ausstellen. Unternehmen können das selbstverständlich auch selbst in die Hand nehmen. Prinzipiell ist es nämlich sehr einfach, eine E-Mail zu verschlüsseln. Dafür müsste allerdings jeder Mitarbeiter ein Zertifikat besitzen. Hierbei handelt es sich um eine digitale Bestätigung der Identität. Hier anzusetzen wäre definitiv ein erster Schritt auf eine umfassende IT-Sicherheit. Die digitale Identität kann darüber hinaus auch für die Authentifizierung gegenüber Cloud-Diensten eingesetzt werden.
(Altran: ra)

Altran: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Interviews

  • Datenschutz im Cloud Computing

    Seit Standards für den Datenschutz in der Cloud durch die ISO/IEC-Norm 27018 im April 2014 definiert sind, gibt es immer wieder Meldungen von Herstellern, die eine Zertifizierung für die Datenschutzanforderungen durchlaufen haben wollen. Aber ist es überhaupt möglich, eine Zertifizierung nach ISO/IEC 27018 zu erlangen? Wie sieht denn die Prüfung aus und wer ist der Prüfer und Zertifikatsgeber? Sind die in der Cloud gespeicherten Daten tatsächlich sicher vor dem Zugriff Dritter, wie diese Meldungen suggerieren? Das Bundesministerium für Wirtschaft und Energie (BMWI) hat in Deutschland die Trusted Cloud Initiative ins Leben gerufen, die sich mit der Datensicherheit in Cloud-Diensten beschäftigt und Entwicklungen zur sicheren Datenverarbeitung in der Cloud unterstützt. Für ein mögliches Zertifizierungsverfahren wurde ein Pilotprojekt aus Mitgliedern aus Standardisierung, Forschung, Wirtschaft, Prüfern und Aufsichtsbehörden zusammengestellt, die einen Anforderungskatalog zur Zertifizierung nach den Vorgaben des BDSG und den Umsetzungsempfehlungen des ISO/IEC 27018:2014 entwickelt haben, das Trusted Cloud Datenschutzprofil (TCDP).

  • Vertrauen in die Cloud zurückgewinnen

    Der Skandal um die Späh-Programme der amerikanischen und britischen Regierungen hat dem Boom des Cloud Computing einen ersten Dämpfer verpasst - plötzlich keimen Zweifel auf, ob es so eine gute Idee ist, vertrauliche Daten in der Cloud zu speichern. Altrans IT-Security Consultant Benedikt Heintel erläutert im Interview, wie es um die Sicherheit und das Vertrauen in Cloud-Diensten bestellt ist und was Unternehmen nun tun können, um ihre IT-Sicherheit zu erhöhen.

  • Big Data, Cloud und Cyber-Crime

    In der neuen Welt von Cloud und Big Data ist das Thema "Trust" - Vertrauen - essentiell. EMC subsumiert darunter drei Themen: "Identifying & Repelling Threats" (d.h. Identifizierung und die Abwehr von Bedrohungen - Advanced Security), Datenschutz- und Sicherheit (Integrated Backup & Recovery) sowie die Sicherstellung der Verfügbarkeit von Daten, Applikationen und Systemen (Continuous Availability). Gerade die Identifizierung und die Abwehr von Bedrohungen stellen auf Security-Seite eine neue Herausforderung dar. Roger Scheer, Regional Director Germany bei RSA, The Security Division of EMC, erklärt, warum.

  • Sicherheitsfragen beim Cloud Computing

    Ein großes Versicherungsunternehmen und auch die Vorzeige-Internetpartei "Piraten" haben es im Jahr 2012 an Bewusstsein für Datenschutz und Datensicherheit mangeln lassen. Damit liegt das Jahr voll im Trend der vergangenen zehn Jahre. Denn noch immer ist es das fehlende Bewusstsein für die Schutzbedürftigkeit von Daten, das dem Datenklau Tür und Tor öffnet. Gleichzeitig nehmen Compliance-Verpflichtungen immer weiter zu, nach denen Unternehmen gesetzliche und brancheninterne Vorgaben zum Datenschutz einhalten müssen. Deshalb gilt: Wer bisher nicht aufgefallen ist, besitzt noch längst keinen optimalen Schutz. Dr. Volker Scheidemann, Marketingleiter der Applied Security GmbH (apsec), über Sicherheitsfragen beim Cloud Computing und Informationssicherheit als Management-Aufgabe.

  • Performance-Probleme beim Cloud Computing

    Viele Unternehmen migrieren Anwendungen in die Private Cloud. Mit dem Private Cloud-Ansatz können diese Unternehmen einige Vorteile des Cloud Computing in ihrem eigenen Rechenzentrum realisieren. Die IT-Administratoren sind jedoch völlig überrascht, wenn sie erkennen müssen, dass sie auch in ihrer eigenen IT-Infrastruktur mit Performance-Problemen zu kämpfen haben. Chris James, Director of EMEA Marketing bei Virtual Instruments, erklärt die Gründe von Performance-Problemen in der Cloud und wie man ihnen zu Leibe rücken kann.

  • Breitband-Internet und Cloud Computing

    Cloud Computing-Services brauchen Bandbreite. Und seit dem Start der Breitbandinitiative der Bundesregierung hat sich in der Anbindung unterversorgter Flächen und ländlicher Gebiete einiges getan. Doch die Situation ist für Unternehmen abseits der Metropolen immer noch nicht rosig. Hier ist die Kooperation aller Stakeholder gefragt. Josef Glöckl-Frohnholzer, Geschäftsführer von BCC, im Interview zur Versorgung von Gewerbegebieten.

  • Mehr Transparenz für die IT-Steuerung

    Netzwerkmanagement bedeutet mehr als zu überwachen, ob alle Geräte einwandfrei arbeiten. Richtig aufbereitet lassen sich aus der Flut von Überwachungsdaten wichtige Erkenntnisse zur Steuerung der ITK-Infrastruktur eines Unternehmens ableiten. Frank Koppermann, Teamleiter Netzmanagement bei BCC, im Interview.

  • Nearshoring in Norddeutschland oder Indien?

    Bei der Software-Entwicklung von den günstigen Personalkosten in Indien und Asien zu profitieren, das ist die Idee hinter dem klassischen Offshoring. Jedoch sorgt bereits die unterschiedliche Zeitzone für massive Probleme. Daher hat sich eine Sonderform des Offshorings etabliert: das so genannte Nearshoring, also das Auslagern von Dienstleistungen in die Staaten Osteuropas. Aber auch hier steckt der Teufel im praktischen Detail. Deswegen geht das Kieler Softwarehaus Coronic in die Offensive und bietet als erstes Unternehmen "Nearshoring in Norddeutschland" an. Was genau sich dahinter verbirgt und weshalb es sich lohnt, erklärt Coronic-Geschäftsführer Dr. Frank Bock in dem folgenden Interview.

  • Outsourcing von Dienstleistungen

    Vor allem Groß- und Mittelstandsunternehmen übergeben immer mehr Aufgaben an externe Dienstleister. Christoph Thieme, Geschäftsführer der Outsourcing-Spezialistin Sellbytel, erklärt, worauf Unternehmen bei der Wahl externer Dienstleister achten müssen.