Der Einsatz von komplexen Multi-Cloud-Konstrukten steht bei vielen Unternehmen auf der Agenda für die Neugestaltung der IT. Doch welche Auswirkungen bringt die Integration von Cloud-basierten Anwendungen aus dem Blickwinkel der IT-Sicherheit mit sich? Antworten auf diese Frage geben drei Security-Experten.

„Cloud Services gehören heute zur Internet Nutzung für viele Unternehmen zum Standard: Dropbox, MS Office 365, Salesforce – um nur ein paar zu nennen“, so skizziert Ben Kröger, technischer Leiter für den Bereich Cyber Security bei der Axians IT Security GmbH, den Status quo. „Damit Unternehmen steuern können, welche Cloud Services von den Anwendern verwendet werden und welche besser nicht verwendet werden, wo Daten verschlüsselt abgelegt werden und wo in Klartext oder gar nicht, gibt es technische Lösungen, die auch Empfehlungen in Form von rechtlichen Bewertungen von Services abgeben.“

Quelle: Axians

Ben Kröger, technischer Leiter für den Bereich Cyber Security bei der Axians IT Security GmbH

Augenscheinlich „kostenlose“ Services verlangen nach seiner Einschätzung vielleicht Rechte an den Daten von den Benutzern, um die hochgeladenen Daten anders zu monetarisieren, als es die Anwender erwarten, bzw. möchten. „Lösungen, um hier steuernd einzugreifen, fallen in die Kategorie CASB, also Cloud Access Security Broker und werden häufig auf dem Proxy integriert oder an ihn angedockt“, betont Kröger.

Für Wolfgang Greulich lässt sich die Frage nach der Sicherheit bei der Integration von Cloud-basierten Anwendungen auf eine wesentliche Entscheidung reduzieren: „Möchten die Unternehmensverantwortlichen ihre Daten im eigenen Rechenzentrum – das auch bei einem Provider liegen kann – behalten, oder aber können sie damit leben, dass die Daten auf verschiedene Anwendungen und Locations verstreut sind. Wenn diese Frage geklärt ist, sind die entsprechenden Konsequenzen zu tragen: Es wird nicht einfacher, wenn die Daten weit verteilt sind.“

Quelle: Raz-Lee Security GmbH

Robert Engel, Geschäftsführer der Raz-Lee Deutschland GmbH.

Wenn es nach Robert Engel, Geschäftsführer der Raz-Lee Deutschland GmbH, geht, muss man bei Cloud-basiert unterscheiden: „Die erste Option lautet, über VPN auf eine private Cloud mit z.B. IBM i bei IBM oder anderen Providern zuzugreifen, oder – Option zwei – ruft man Services frei aus dem Internet auf.“

Im ersteren Fall sei die Cloud nichts anderes, als ein oder mehrere definierte Systeme die bei einem bestimmten Provider gehostet werden. Auf diese wird mittels VPN-Verbindung – ordentlich dimensioniert sonst macht es keinen Spaß – zugegriffen. „Hier, genauso wie im Fall des Homeoffice, ist natürlich der Knackpunkt die Sicherheit der Verschlüsselung der VPN-Verbindung“, stellt Engel fest. „Da es sich hier, zumindest beim Zugriff aus dem Firmennetz um sogenannte Site-to-Site VPNs handelt, sollte unbedingt ein sicherer Zugriff gewährt werden.“

Dagegen bedingen, so Engel, Cloud-basierte Anwendungen— wie Services, die via API aus verschiedenen Systemen heraus aufgerufen werden, — die Übertragung von Informationen ins Internet. Hier muss man genau entscheiden auf wen man sich da einlässt, nicht dass zum Schluss Unternehmens-, oder Kundendaten in dubiosen Datenbanken landen.“ (rhh)

Axians IT Security GmbH

Raz-Lee Deutschland GmbH

WS Datenservice