16. Januar 2017

IT-Sicherheit: Daten sicher in der Cloud Made in Germany

Sicherheit made in Germany – geschützte Datenverwaltung in der Cloud

Wenn es um die weitere Entwicklung der Digitalisierung in der Wirtschaft geht, dann fällt immer wieder ein Schlagwort: Cloud. Dass hinter diesem Schlagwort auch eine vielversprechende Technik steckt, zeigt sich nicht zuletzt an der Ausrichtung der IT in Unternehmen – denn immer mehr Firmen setzen auf Cloud-Computing und die Datenverwaltung in der Cloud. Allerdings gibt es, wie bei den meisten Technologien, auch Schattenseiten, insbesondere bei der Sicherheit. Zwar sieht das Bundesamt für Sicherheit in der Informationstechnik in Sachen Cloud „nur“ eine durchschnittliche Bedrohungslage, aufgrund der großen Datenmengen in der Cloud haben Sicherheitslecks und Datendiebstahl hier aber besonders drastische Auswirkungen. Die Tatsache, dass Mitarbeiter hier auf praktisch alle relevanten Unternehmensdaten Zugriff haben, bedeutet nämlich auch, dass Angreifer die Daten ebenfalls sehen, wenn sie es erst einmal in die Cloud geschafft haben. Entsprechend ist die Datensicherheit hier seit einiger Zeit in den Fokus gerückt.

Das Sicherheitskonzept von Microsoft

Der Branchenriese Microsoft zählt zu den wichtigsten Anbietern von Cloud-Systemen weltweit und hat als einer der ersten mit einem umfassenden Sicherheitskonzept auf die Bedenken vieler Nutzer reagiert. Ein wichtiger Teil ist der Schutz der Datenübertragung zwischen Cloud und Nutzer, ein anderer die Kontrolle des Zugriffs auf die Daten.

Auf diese Weise will Microsoft seine Angebote – allen voran Azure und Office 365 – für Kunden attraktiver machen. Azure vereint als Cloud-Computing-Lösung die Ansätze
  • Software as a Service (SaaS),
  • Infrastructure as a Service (IaaS) und
  • Platform as a Service (PaaS)
und bietet Unternehmen beziehungsweise deren IT-Abteilungen damit eine in praktisch allen Bereichen skalierbare Dienstleistung, mit der sich die technischen Kapazitäten jederzeit bei Bedarf erweitern lassen. Dank eines sehr genauen Abrechnungsmodells, bei dem nur die tatsächlich in Anspruch genommenen Leistungen zu zahlen sind, macht Azure die IT-Abteilungen von Unternehmen sehr flexibel, sodass sie punktgenau auf neue Herausforderungen reagieren können. Office 365 richtet sich, im Gegensatz zu Azure, auch an Endanwender in Unternehmen und ermöglicht die standort- und plattformübergreifende Einsicht und auch den Austausch von Daten.

Nimmt man diese drei Dienste – und die darin vorhandenen Unternehmensdokumente – zusammen, kann man sich nur zu gut vorstellen, welchen Schaden es anrichten würde, hätte ein Angreifer hier Erfolg.

Geschütze Datenübertragung dank Verschlüsselung

Um einen unerlaubten Zugriff zu verhindern, ist es unter anderem wichtig, die Daten während der Übertragung von der Cloud zum Nutzer (und umgekehrt) zu schützen. Microsoft setzt hier auf eine Kooperation mit D-TRUST, der Zertifizierungsstelle der Bundesdruckerei. Dieses Unternehmen hat sich weltweit einen Namen als führende Institution in Sachen Verschlüsselungstechnik gemacht und stellt für Microsoft TLS-Zertifikate bereit, mit denen die gesamte Kommunikation zwischen den Anwendern von Azure und Office 365 und den Cloud- Servern verschlüsselt wird. Da diese Absicherung nach den neuesten Standards in der Verschlüsselungstechnik erfolgt, ist so ein bestmöglicher Schutz der übertragenen Daten gewährleistet.

Datentreuhänder für Zugriffskontrolle

Als zweiten Teil des Sicherheitskonzepts bietet Microsoft eine unabhängige Kontrolle des Zugriffs auf die in der Cloud gespeicherten Daten. Hierfür sind die Redmonder eine Kooperation mit T-Systems International eingegangen, einer Tochtergesellschaft der Deutschen Telekom. T-Systems ist als Treuhänder dafür verantwortlich, jegliche Zugriffe auf die Daten eines Kunden zu kontrollieren und zu genehmigen – außer natürlich, der Zugriff erfolgt durch den Kunden selbst. Microsoft verwahrt also die Daten, kann ohne vorherige Genehmigung aber ebenso wenig auf sie zugreifen wie Dritte, die sich möglicherweise unberechtigt Zugang zu den Daten verschaffen wollen. Auf diese Weise ist sichergestellt, dass Daten nur dann weitergegeben werden, wenn dies ausdrücklich vom Kunden erwünscht oder aufgrund der deutschen Gesetze erforderlich ist.

Datenzentren in Deutschland

Der letzte – und vielleicht wichtigste – Teil des Sicherheitskonzepts von Microsoft sind lokale Rechenzentren, von denen der Softwareriese inzwischen mehr als 100 betreibt. In Deutschland befinden diese sich in Magdeburg und Frankfurt am Main – und damit weit genug voneinander entfernt, dass eine optimale Ausfallsicherheit gewährleistet ist. Der Standort der Rechenzentren hat für die Kunden aber noch weitere Vorteile, insbesondere auch beim Datenschutz. Befindet sich das Cloud-System nämlich in Deutschland, fällt es auch unter das deutsche Datenschutzgesetz. Das ist vor allem für Unternehmen wichtig, die personenbezogene Daten, etwa von Kunden, in der Cloud speichern wollen. Werden personenbezogene Daten nämlich in Drittländer übertragen – etwa im Rahmen einer Verarbeitung mit Office 365 – hat das datenverarbeitende Unternehmen dafür zu sorgen, dass die Daten dem gleichen Schutzniveau wie in Deutschland unterliegen. Speichert das Unternehmen die Daten dagegen in einem Rechenzentrum in Deutschland, erübrigt sich dieses Problem.

Hinzu kommt, dass Wartung, Störungsbeseitigung und Kundendienst insgesamt schneller und effektiver möglich sind, wenn sich die Cloud-Server in Deutschland befinden. Wenn Sie mehr über die Möglichkeiten mit Azure und Office 365 erfahren wollen oder sich für die verschiedenen Aspekte des Sicherheitskonzepts von Microsoft interessieren, wenden Sie sich gerne an uns. Erste Informationen rund um das Konzept Deutsche Cloud können Sie auf unserer Website downloaden: http://www.allgeier-ps.com/cms/upload/Kontextboxen/2017_microsoft-cloud-deutschland.pdf

Quellen: 
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.pdf
https://de.wikipedia.org/wiki/Microsoft_Azure 
https://azure.microsoft.com/de-de/ 
https://de.wikipedia.org/wiki/Microsoft_Office_365 
http://news.microsoft.com/de-de/sicherheit-made-in-germany-bundesdruckerei-sichert-datenverkehr-fuer-microsoft-cloud-deutschland-ab/#sm.00000f23reuyz4euayfqx7xsccj7l#Oagq2w8gGuxpwGtW.97
http://www.onlinekosten.de/news/online-datenspeicher-microsoft-setzt-bei-cloud-auf-d-trust-der-bundesdruckerei_203725.html
https://www.microsoft.com/de-de/cloud/
https://www.microsoft.com/de-de/server-cloud/cloud-os/global-datacenters.aspx
https://www.microsoft.com/de-de/cloud/deutschland/default.aspx
https://www.global.de/blog/die-vorteile-von-cloud-service-made-in-germany/
http://blog.protechnology.de/index.php/2015/11/microsoft-cloud-made-in-germany/
 

6. Dezember 2016

IT-Sicherheit: steigende Bedrohung erfordert umfangreiche Maßnahmen


Die fortschreitende Digitalisierung in Gesellschaft und Wirtschaft hat viele Abläufe vereinfacht und neue Möglichkeiten geschaffen. Leider gehören dazu auch solche für Hacker und andere Kriminelle, die durch den Diebstahl von Daten jedes Jahr Millionen von Euro an Schaden anrichten. Das Bundesamt für Sicherheit in der Informationstechnik sieht in praktisch allen Bereichen der IT eine steigende Bedrohung für Unternehmen, und der Branchenverband für die Informations- und Telekommunikationsbranche, bitkom, hat die Sicherheit für IT-Unternehmen zum Thema des Jahres erhoben.

Angesichts dieser hohen Bedrohungslage sollte man annehmen, dass die IT-Sicherheit für Unternehmen aller Branchen und jeder Größe von entscheidender Bedeutung ist. Und tatsächlich ist die Sicherheit von IT-Systemen stärker in den Fokus gerückt – allerdings haben Sicherheitsthemen aus verschiedenen Bereichen der IT laut einer Umfrage aus dem Jahr 2016 bei 25 bis 50 Prozent der Befragten noch immer keine oder nur eine geringe Bedeutung. Woher kommt diese Gleichgültigkeit gegenüber Bedrohungen aus dem Netz – und was kann man tun, um die bestehenden Risiken zu minimieren?

Die aktuelle Bedrohungslage

Um passende Maßnahmen ergreifen zu können, ist es zunächst einmal nötig, die Gefahren auch zu erkennen. Ein guter Anhaltspunkt ist hier der jährliche Bericht des Bundesamts für Sicherheit in der Informationstechnik, denn das Amt kann die Risiken als neutrale Stelle realistisch einschätzen. Für das Jahr 2015 hat das BSI die Gefahren für 17 verschiedene Bereiche ermittelt, darunter etwa
  • Cloud Computing,
  • Identitätsdiebstahl und
  • Mobilkommunikation.
In zwölf dieser Bereiche sieht das BSI eine hohe Bedrohungslage, in den restlichen fünf werden die Risiken als durchschnittlich eingeschätzt. Im Vergleich zum Vorjahr ist – bis auf Social Engineering – in allen Bereichen die Bedrohungslage gleich geblieben oder angestiegen. Entsprechend sieht das BSI sowohl bei privaten als auch bei gewerblichen Nutzern dringenden Handlungsbedarf.

Als besonders problematisch werden die Professionalisierung der Angriffe aus dem Netz sowie die weiter steigende Verfügbarkeit von Dienstleistungen und Infrastrukturen gesehen, die zur Durchführung solcher Attacken nötig sind. Immer mehr kriminelle Nutzer können sie also ohne großen Aufwand durchführen und müssen aufgrund der schwierigen Strafverfolgung nur selten mit rechtlichen Konsequenzen rechnen. Hinzu kommt, dass die Nutzer noch immer nicht ausreichend für die Gefahren aus dem Netz sensibilisiert wurden – und mit einem unbedachten Klick den Angreifern Zugang zu geschützten Systemen gewähren. Darüber hinaus kümmern sich viele Nutzer nicht um die Aktualisierung der von ihnen verwendeten Programme, sodass bestehende – und eigentlich von den Herstellern bereits behobene – Sicherheitslücken nicht geschlossen werden und den Angreifern als Einfallstor dienen können.

Wer ist besonders gefährdet?

Das fehlende Misstrauen der Nutzer gegenüber unerwarteten Kontaktaufnahmen und die Sorglosigkeit im Umgang mit der IT rühren zu einem Gutteil von der Vorstellung her, dass nur große Firmen oder Organisationen von Angriffen aus dem Netz betroffen sind – das ist allerdings ein Trugschluss. Global agierende Unternehmen haben die Risiken in der Regel seit einiger Zeit erkannt und entsprechende Maßnahmen zum Schutz ihrer Daten und ihrer IT-Infrastruktur getroffen. Damit sind sie zwar nicht vollkommen vor Attacken geschützt, Angreifer haben es aber deutlich schwerer, an Daten zu kommen.

In mittelständischen Unternehmen fehlt dagegen oft das nötige Sicherheitsbewusstsein – und vermeintlich auch das Geld und die Zeit, um ausreichende Vorkehrungen zu treffen. Daher sind solche Firmen beliebte Ziele für Cyber-Attacken, denn bei ihnen lassen sich leicht und schnell Erfolge erzielen. Zudem gelangen die Angreifer über ein einmal infiltriertes Unternehmen häufig leichter in die System von Geschäftspartnern des Unternehmens, wo sie weitere Daten abgreifen können.

Umfassendes Sicherheitskonzept ist wichtig

Angesichts der aktuellen Bedrohungslage ist es für Unternehmen jeder Größe unerlässlich, sich vor Angriffen aus dem Netz zu schützen. Die immer häufigere Nutzung von Cloud-Systemen verstärkt diese Notwendigkeit noch, denn in der Cloud wird ein großer Teil der sensiblen Unternehmensdaten gespeichert, der dann auch für einen Angreifer abrufbar ist.

Bei der Absicherung der eigenen IT ist es natürlich sinnvoll, auf ein durchdachtes Konzept zu setzen, anstatt nur einzelne Maßnahmen durchzuführen. So ergibt sich ein engmaschiges Sicherheitsnetz ohne Lücken, über die ein Angreifer doch ohne Probleme in das System eindringen kann. Allgeier bietet daher ein Konzept zu IT-Security und Compliance an, das die Umsetzung der gesetzlichen Vorgaben sowie der allgemeingültigen Best-Practice-Standards vorsieht. Ein wichtiger Teilaspekt dieses Konzepts ist die Verschlüsselung von E-Mails und Dokumenten.

Verschlüsselung als Maßnahme zur Sicherung von Daten

Wie oben bereits erwähnt, ist die Sensibilisierung der Mitarbeiter ein wichtiger Schritt zu mehr Sicherheit für die unternehmenseigene IT. Das allein ist allerdings nicht ausreichend, denn Nutzer werden trotz eines größeren Sicherheitsbewusstseins immer wieder Fehler machen. Aus diesem Grund setzt Allgeier mit JULIA, der Lösungen zur E-Mail-Verschlüsselung, und EMILY SP, einem Dienst zur Dokumentverschlüsselung für Microsoft SharePoint, auf einer grundlegenden Ebene an – verschlüsselte Daten sind für Angreifer nämlich nicht oder nur mit erheblichem Mehraufwand zu gebrauchen und von daher uninteressant. Wie erfolgreich dieses Konzept ist, zeigt sich nicht zuletzt daran, dass JULIA unter anderem in Bundesministerien und in der öffentlichen Verwaltung zum Einsatz kommt. Die Verschlüsselung von Daten sorgt zudem nicht nur für mehr Sicherheit, sondern ermöglicht auch eine wirksame Zugriffskontrolle innerhalb des Unternehmens.

Wenn Sie mehr über JULIA und EMILY SP erfahren wollen, wenden Sie sich gerne vertrauensvoll an uns.

 Quellen:
 https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.pdf?__blob=publicationFile&v=4
https://www.bitkom.org/Presse/Presseinformation/Sicherheit-fuer-IT-Unternehmen-das-Thema-des-Jahres.html
https://www.dfn.de/fileadmin/7Veranstaltungen/Technologieforum/2016/folien/160719_KRITIS_IT-Sicherheit.pdf
https://www.eco.de/wp-content/blogs.dir/eco-report-it-sicherheit-2016.pdf
https://support.office.com/de-de/article/Zertifikate-und-Kryptografie-beim-E-Mail-Nachrichtenversand-in-Outlook-%25C3%259Cbersicht-b024d1d9-1606-4675-bd02-09350c2567d1?ui=de-DE&rs=de-DE&ad=DE
http://www.handelsblatt.com/technik/sicherheit-im-netz/it-sicherheit-im-mittelstand-die-eigenen-mitarbeiter-sind-die-groesste-schwachstelle/14550666.html

8. Oktober 2012

"Cloud Computing" in deutschen Unternehmen

Die Cloud gehört zu den IT-Megatrends der heutigen Zeit, soviel steht fest. Ein Artikel der Computer Reseller News (crn.de) [1] beschreibt und diskutiert eine aktuelle Studie des Marktforschungshauses IDC zur Nutzung des Cloud Computing in deutschen Unternehmen mit mehr als 100 Mitarbeitern.

Obwohl die meisten Unternehmen (>85%) IT-Governance, in Form von Prozessen, Verantwortlichkeiten und Management, ernst nehmen, kann man davon ausgehen, dass die Sicherheit von Daten und Informationen dem Cloud-Trend zum Opfer fallen könnte.