Kategorien-Archiv Beiträge

Sind Cloud Services ein Sicherheitsrisiko?

Unternehmen nutzen Cloud Dienste bereits  seit einigen Jahren. Als Privatpersonen nutzen wir sie ebenfalls, wie zum Beispiel klassische Mail- oder auch Hosting-Diensleister für Websites. Sollten Unternehmen auf mehr Cloud Services setzen?

Wir unterscheiden in drei verschiedene Typen von Cloudlösungen. Da ist zum einen die Public Cloud. Es handelt sich um Dienste die über das Internet bezogen werden können wie zum Beispiel Microsoft Office 365, Google Web und Doc sowie SAP oder DATEV Dienste. Wir sprechen von einer Private Cloud wenn wir ausschließlich in einem geschützten und privaten Netzwerk Dienste selber betreiben. Insbesondere wenn wir aufgrund der Datenschutzanforderungen nur eigenen Mitarbeitern Zugang zu skalierbaren IT-Infrastruktur-Diensten geben. Privat nutzen wir typischerweise NAS Dienste und ihre Erweiterungen wie OpenStack oder ownCloud. Die Mischform beider vorigen Typen wird als Hybrid Cloud bezeichnet. Geschäftprozesse werden in datenschutzkritische und -unkritische Workflows unterschieden und somit auf unterschiedlicher Infrastruktur betrieben.

Eine Studie von intel vom Februar 2017 kommt zu dem Ergebnis, dass es wichtig ist, seine Sicherheitslösungen (egal ob in-House oder Cloud) durch eine einheitliche Steuerungsebene zu überwachen. Das bedeutet das Unternehmen entweder ein eigenes Security-Management aufbauen sollten, oder unseren Service von stealNOdata nutzen können. Unser CISO-Office vereint die notwendige Technik, die notwendigen Prozesse und hat die Experten um ein ISMS, also ein Informations Sicherheits Management System zu betreiben. Dort laufen die Fäden für die Überwachung externer Dienstleister zusammen bzw. die Prüfung von Outsourcing-Verträgen, den SLAs.

Insgesamt kann man festhalten dass viele Unternehmen bereits Cloud-Services nutzen und Ihre Business-Cases darauf ausgerichtet haben. Man kann auch festhalten dass es ein hohes Maß an Verständigung mit dem Cloud-Anbieter braucht, da Risiken nicht minimiert sondern aufgeteilt werden. Insbesondere bei Nutzung mehrerer Public Cloud Services stellt die übergreifende Verteilung von Geschäftsprozessen eine neue Abhängigkeit zwischen den Cloud-Anbietern her. Der Anbieter mit den niedrigeren SLAs erzeugt die meisten Kopfzerbrechen. Vertraulichkeit, Verfügbarkeit und Integrität werden zum Produkt einer gemeinschaftlichen Anstrengung. Wir nutzen bereits viele Cloud-Lösungen. Folglich müssen wir sehr genau abwägen welche Daten und Prozesse wir in eine Public Cloud auslagern wollen. Dies hängt nicht zuletzt von unserer Datenklassifizierung ab, die sich aus einer Sicherheitsleitlinie ergibt, und diese wiederum aus den Geschäftszielen abgeleitet werden muss. Das ist der richtige Ansatz zur Planung, Durchführung und Überwachung von ausgelagerten Diensten.

 

IT-Sicherheits-Magazin für achtsame Unternehmer

Erfahrungen für KMUs aus Projekten bei DAX 30 Unternehmen. Tips für Mitarbeiter in der Unternehmensleitung, Entwicklung und Produktion.

Auch nicht-IT Unternehmungen wie z.B. Kanzleien, Einzelhandel oder Privatpersonen können profitieren.

Auf diesen Seiten finden Sie Hinweise und praktische Tips zum Schutz Ihrer sensiblen Daten. Ähnliche Methoden werden bei großen Firmen angewendet die ihre vertraulichen Daten oder IT-Systeme schützen müssen.

Damit diese Erfahrungen für andere nutzbar werden, wurde die Seite pub.stealNOdata.com aufgebaut. Sie sind wertvoll und ebenso von kleinen Unternehmen und Gewerbetreibenden anwendbar – für nahezu jede Branche.

Sicherheit von Servern

Wieviel Geld sollte ich in die Sicherheit unserer Server investieren?

Ich behaupte so viel wie nötig und so wenig wie möglich. Ein Spagat? Absolut!

Der Invest in Sicherheits­maßnahmen hängt in erster Linie von den Aufgaben ab die ein Server für den Betrieb erfüllt. Außerdem hängt es natürlich von dem Wert der Informationen ab die auf diesem Server abgelegt werden.

Wie kann man diesen Wert bestimmen?

Es gibt sicherlich mehrere Möglichkeiten das heraus zu finden.

Man könnte davon ausgehen dass 100%ige Sicherheit durch maximal hohe Investitionen erreicht wird. Das ist ein Trugschluß! Totale Sicherheit wird es niemals geben (grüne Kurve).

Einleuchtend ist auch dass Kosten durch Schäden je höher ausfallen umso niedriger das Sicherheitsniveau ist (blaue Kurve). Beide Kurven schneiden sich in einem Punkt bei dem Investitionskosten genauso hoch sind wie die Kosten die durch Schäden entstehen würden. Dieser Schnittpunkt stellt den Punkt der niedrigsten Ausgaben dar. Ob er nun bei einem Sicherheitsniveau von 30% oder von 60% optimal ist, hängt vom eigentlichen zu schützenden Sicherheitswert ab.

Was ist ein Sicherheitswert?

Bei einem Serverausfall lässt sich die zu erwartende Schadenshöhe von dem entgangenen Gewinn ableiten. Der Sicherheitswert ist in diesem Fall „Verfügbarkeit„. Sofern der besagte Server nicht verfügbar ist kann er nicht mehr in der Produktion verwendet werden. Eine SachbearbeiterIn könnte ihre Aufgabe nicht mehr erfüllen und folglich ihren Auftrag nicht erfüllen. Die Schadenshöhe könnte daraus abgeleitet werden.

Veränderte Zahlen oder verfälschte Meßergebnisse können zu falschen Schlussfolgerungen führen. Im schlimmsten Fall führt dies sogar zu fehlerhafter Produktion die unter Umständen zu Problemen beim Endkunden führen kann. Der Sicherheitswert in diesem Fall ist die „Integrität

Der dritte Sicherheitswert ist die „Vertraulichkeit“ der Daten auf dem besagten Server. Die Kosten die entstehen, wenn ein geheimes Rezept, ein Konstruktionsplan oder eine neue Software in falsche Hände gerät, könnten ein Unternehmen bis in die Insolvenz führen.

Weitere unter Umständen schützenswerte Sicherheitswerte sind „Authentizität“ bzw. „Echtheit“ und „Verbindlichkeit“. Unter Authentizität versteht man z.B. das Vertrauen in die Identität einer Person die sich durch einen Ausweis oder ein Zertifikat ausweisen muss. Verbindlichkeit kann durch eine digitale Unterschrift erzeugt werden. Dadurch kann eine rechtskräftige Absichtserklärung erfolgen. Wurde ein digitales Zertifikat bzw. ein privater Schlüssel von einem Angreifer abgefangen, so kann der digitalen Unterschrift nicht mehr vertraut werden bzw. keine Verbindlichkeit garantiert werden.

Unklar bleibt jedoch welcher der Werte welche Relevanz für Ihr Unternehmen hat. Vielleicht ist es auch eine Kombination der Werte die für Ihren Betrieb eine Rolle spielen. Man kann demnach nicht erkennen wie genau investiert werden muss.

Konkrete Maßnahmen durch Risikoanalyse

Helfen kann eine Risikoanalyse mit deren Ergebnis die Investitionen richtig verteilt werden könnten. Das Ergebnis zeigt wie wichtig ein Server, ein System, ein Netzwerk, eine Maschine, ein Mensch oder auch ein Prozess ist. Daraus ergeben sich Sicherheits-Maßnahmen welche die gefundenen Schwachstellen kosteneffizient mindern. Das Ergebnis einer Risikoanalyse bietet weitaus mehr als nur einen Hinweis wieviel Geld „investiert“ werden sollte.

Risiko überwachen durch Risikomanagement

Wer eine Risikoanalyse erstellt, davon Maßnahmen ableitet und umsetzt, erlebt anschließend ein verändertes Risikoprofil. Deswegen bewertet man Risiken erneut nach Anwendung von Maßnahmen (siehe hierzu auch Deming Cycle: Plan, Do, Check, Act). Schließlich ändert sich auch der Markt, die Ansprüche oder die Produktionsgeschwindigkeit. Der Anspruch an Vertraulichkeit von Daten nimmt eventuell mit der Zeit sogar ab oder die Integrität eines Konstruktionsplanes ist nicht mehr so wichtig nachdem die Produktion selbständig funktioniert. Die Sicherheit bzw. die Risiken werden regelmäßig neu bewertet. Dazu führen wir einen so genannten Lebenszyklus bzw. ein Lifecycle von Risikoanalysen ein – genannt Risikomanagement.

Professionalität ist also angesagt bei der Betrachtung und Behandlung von Sicherheitsrisiken. Werkzeuge dazu sind bekannt – wir Sicherheits-Manager wenden diese regelmäßig an um Betriebe sicherer zu machen.

Neugierig geworden? Wir kommen gerne zu Ihnen und erklären wie wir IT-Sicherheit für Sie aufrecht erhalten werden. Wir helfen bei der Implementierung der ermittelten Sicherheitsmaßnahmen, kontrollieren regelmäßig auf Funktion, berichten dem Management und helfen dabei Ihre Serversicherheit zu erhalten.

ANFRAGE STELLEN