Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit

Transkript

1 Informationsdienst Liebe Leserin, lieber Leser, gerade weil die aktuellen Enthüllungen über neugierige Nachrichtendienste Cloud-Anwender nachdenklich machen werden, sind die neuen Bausteine zum Thema Cloud aus dem BSI eine willkommene Nachricht. Die Cloud hat im Ansatz nichts von ihrer Attraktivität für viele Firmen verloren, solange die Vertraulichkeit der Daten gewährleistet ist. Und diese Vertraulichkeit kann durch klare Vorgaben zu Prozessen und technischen Maßnahmen wie im IT-Grundschutz unterstützt werden. Interview: Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Seite 107 Kolumne: IT-Grundschutz nach BSI strategisch planen Seite 109 BSI treibt Cloud-Unterstützung voran Seite 111 Rechtekontrolle erleichtert Grundschutzkonformität Seite 113 Deutsche Cloud-Anbieter müssen die aktuelle Aufmerksamkeit nutzen Max Schulze, Analyst, techconsult Elmar Török, bits+bites Max Schulze ist in den Bereichen Anbieter- und professioneller Anwenderberatung für die techconsult GmbH tätig und deckt dabei die Kompetenzfelder Data Center Automation, Business Process Management sowie Cloud Computing ab. Er hat Wirtschaftswissenschaften mit den Schwerpunkten Wirtschaftsinformatik und Private Public Management studiert und war nach dem Studium als Diplom-Ökonom mehrere Jahre als IT Consultant bei einer Unternehmensberatung tätig. IT-Grundschutz: Herr Schulze, gerade wurde die Cloud als legitimes Element innerhalb der IT-Infrastruktur gesehen, da zeigen die Enthüllungen von Herrn Snowden, dass wenig sicher ist, was die eigenen Rechner verlässt und im Netz lagert oder unterwegs ist. Wird das der Ausbreitung von Cloud-Diensten nachhaltig schaden? Schulze: Generell zeigen die veröffentlichten Spionageskandale, dass die Bedenken und Sorgen gerade bei so genannten Cloud-Gegnern oder Unternehmen, die von der Einführung von Cloud Services noch nicht ganz überzeugt waren, wieder verstärkt zugenommen haben. Der wirklich große Schaden, bezogen auf PRISM und Cloud Computing, dürfte bei den amerikanischen Cloud-Anbietern liegen, deren Cloud-Geschäft auch in Deutschland beheimatet ist. Eine der wichtigsten Komponenten bei Cloud-Lösungen, nämlich das Vertrauen in den Anbieter und dessen Sicherheit zu gewährleisten, dürfte nachhaltig gestört sein. IT-Grundschutz: Daten sind laut Snowden vor allem gefährdet, wenn sie die Landesgrenzen überschreiten, weil die NSA und andere Dienste große Aggregator-Leitungen anzapfen. Sorgt das für mehr Interesse bei den Kunden, einen lokalen, also deutschen Cloud-Provider zu nutzen? Schulze: Die Cloud-Technologie hat viele Vorteile, besonders die des Flexibilitätszuwachses und der Kostenreduzierung. Diese verpuffen jedoch sehr schnell, wenn elementare Kriterien wie umfassender Schutz der Daten, hinreichende Detaillierung des Angebots und vor allem Standortfragen nicht klar definiert werden. PRISM hat Cloud- Anbietern, die auf Cloud-Services made in Germany setzen, neuen Aufschwung gebracht. Auf die seit Jahren bekannten Effektivitätsgewinne durch den Einsatz der Cloud- Technologie möchten wohl die wenigsten Unternehmen zukünftig verzichten, daher werden die Wege zwangsläufig zum Serverstandort Deutschland mit seinem strengen 107

2 Studien und Analysen 108 Datenschutzrecht führen. Es liegt jetzt an den Cloud-Anbietern selbst, die neu gewonnene Aufmerksamkeit für sich erfolgreich zu nutzen und an der Justiz, eine glaubwürdige Datenschutzverordnung für Europa durchzusetzen. IT-Grundschutz: Worauf sollten Anwender hinsichtlich Datenschutz und Verfügbarkeit achten, wenn sie Cloud-Technik und einen Cloud-Provider wählen? Schulze: Nach wie vor gilt es vor dem Einsatz von Cloud-Lösungen abzuwägen, welche Daten ein Höchstmaß an Sicherheit benötigen und welche Daten geringerem Sicherheitsstandard unterliegen können. Nach der detaillierten Analyse der Gefährdungspotenziale können die Unternehmen mit einem seriösen und zuverlässigen Cloud-Partner ein hybrides Cloud-Modell ent wickeln, um die Vorteile einer Private- und einer Public-Cloud zu nutzen. Höhere Priorität als bisher sollte auf End-to-End-Sicherheitsmaßnahmen gelegt werden, bei denen der Schutz der Informationen und nicht von Systemen oder Netzen im Fokus steht. Nach Umsetzungen dieser Anforderungen sollte ein gesundes Mittelmaß zwischen den bestehenden Risiken, den Umsetzungskosten und des zu erwartenden Mehrwerts durch die fokussierte Cloud-Leistung erkennbar sein. IT-Grundschutz: Haben Ihrer Ansicht nach kleine Unternehmen und Mittelständler bereits das notwendige Wissen, um eine optimale Auswahl zu treffen? Oder lohnt sich der Einsatz eines Beraters in jedem Fall? Schulze: Auf der Suche nach einem geeigneten Cloud Service stehen zumeist kleinere Unternehmen mit wenig IT-Fachpersonal vor einem undurchsichtigen und vielschichtigen Cloud-Dschungel. Um mehr Transparenz zu erhalten, kann die Inanspruchnahme von externen Beratern definitiv sinnvoll sein. Zwar ist der Einsatz von Unternehmensberatern kostspielig, jedoch werden diese Kosten bei der Einführung von umfassenden Cloud Services miteingerechnet und helfen den Anwenderunternehmen zu einer realistischen Einschätzung ihres Bedarfes bezogen auf die Cloud-Technologie. Dazu gehört eine IST-Analyse der unternehmenseigenen IT-Ressourcen im Vergleich zu den analysierten zukünftigen Cloud-Anschaffungen, die für den nachhaltigen Erfolg des Unternehmens notwendig werden. Die Bewertung der Ergebnisse setzt dabei spezifisches Cloud-Knowhow voraus, welches gerade in kleineren Unternehmen mit Fokus auf andere Geschäftsfelder in der Form nicht bereitgestellt werden kann. IT-Grundschutz: Bislang boten die klassischen IT-Zertifizierungen wie ISO oder BSI IT-Grundschutz wenig bis keine Hilfestellung bei Cloud-Angeboten. Glauben Sie, dass das der Verbreitung und Akzeptanz geschadet hat? Schulze: Zertifizierungen wie ISO können gerade bei mittelständischen Anwenderunternehmen Vertrauen hinsichtlich der zu erwartenden Sicherheitsstrategien und Verfahren eines Cloud-Anbieters schaffen und schaden daher nicht bei der Verbreitung oder Akzeptanz von Cloud Services. In Anbetracht der gestiegenen Sensibilität gegenüber Cloud-Angeboten wird sich die Cloud-Branche jedoch stärker denn je für einen transparenten und detaillierten Cloud-Markt stark machen müssen. Anwenderunternehmen erwarten von ihren Cloud-Anbietern die Vorhaltung einer ausreichenden Liquidität sowie detailliertes Fach-Know-how und vorzeigbare Referenzprojekte sowie Innovationsfähigkeit, um langfristig von der Cloud-Technologie profitieren zu können. IT-Grundschutz: Wenn die Daten in der Cloud liegen, fehlt letztendlich der physische Zugriff darauf. Wie kann man sicherstellen, dass die Daten, zum Beispiel nach der Kündigung des Vertrags, sicher gelöscht werden? Schulze: In der Vereinbarung zwischen Auftraggeber und Dienstleister für den entsprechenden Cloud Service muss auch die vollständige Löschung der Daten nach der Kündigung des Vertrages festgehalten sein. Wichtig ist dabei, dass Duplikate ebenfalls in den Löschvorgang einbezogen werden. IT-Grundschutz: Angenommen, der Kunde will von einem zum anderen Cloud-Anbieter wechseln. Gibt es Migrationsstrategien für die Daten und Anwendungen? Oder ist es in der Regel einfacher alles zu löschen und beim neuen Anbieter frisch aufzusetzen? Schulze: Seitdem Cloud Computing zunehmend als strategisches Werkzeug Einzug in die Unternehmen erhält, wachsen auch die Bestrebungen der Cloud-Anbieter, Standards bei den Schnittstellen zur Verfügung zu stellen. Interoperabilität und weitreichende Standards bei Cloud-Services lassen sich schon seit längerem miteinander verbinden. Einheitliche Interfaces mit dazugehörigen Adaptern ermöglichen die Migration eines Cloud Services zwischen verschiedenen öffentlichen und privaten Clouds. Zusätzlich sorgen autonome Abstraktionsebenen dafür, dass Applikationen und Hardware voneinander getrennt werden und Cloud Services leichter von der aufgebauten IT-Infrastruktur abgekoppelt werden können. Eine entsprechende Migrationsstrategie sollte demnach möglich sein, um den reibungslosen Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen. IT-Grundschutz: Was raten Sie Cloudinteressierten Anwendern hinsichtlich des Backups? Selbst In-House lösen oder über den Cloud-Provider abwickeln lassen? Schulze: Die Anwenderunterneh-

3 men sollten im Vorfeld objektiv klären (möglicherweise durch externe Beratung), welche Daten ein Höchstmaß an Sicherheit benötigen und inwiefern In-House diese Sicherheit gewährleistet werden kann. Sollte nach der detaillierten Analyse der Gefährdungspotenziale ein Ergebnis vorliegen, welches Backup-Möglichkeiten bei Cloud- Providern offeriert, die ein höheres Sicherheitniveau bieten als das eigene Unternehmen, ist auch eine Backup-on-demand-Strategie interessant. IT-Grundschutz: Zu guter Letzt: Es gibt wohl keinen Zweifel daran, dass Daten durch ausländische Nachrichtendienste in großem Maß abgegriffen (nicht unbedingt auch ausgewertet) werden. Können Sie einen Trend erkennen, dass deutsche Unternehmen ihre Geschäftsbeziehungen mit (vor allem) amerikanischen Cloud-Providern zurückfahren und nach inländischen Alternativen suchen? Schulze: Unsere Umfragen belegen, dass viele Mittelständler mit Sorge groß angelegte Kooperationen deutscher Cloud-Anbieter über die Landesgrenzen hinweg betrachten. Die Anwenderunternehmen befürchten dadurch den nachhaltigen Kontrollverlust über ihre IT-Systeme, wenn ausländische Cloud-Services hinter deutschen Anbietern stehen und damit auch Max Schulze ist Analyst bei techconsult und dort unter anderem spezialisiert auf das Thema Cloud verbundene rechtliche Unsicherheiten. Daher wird dieses Thema in naher Zukunft eine zentrale Rolle spielen. IT-Grundschutz nach BSI strategisch planen Teil 6: Dokumentation eine Schattenwelt (nicht nur) in der IT Felix Widmer, Inhaber, Tan Consulting Was nicht aufgeschrieben wurde, existiert nicht. Die goldene Regel jeder Dokumentation gilt natürlich ebenso beim Einsatz von IT-Sicherheitsstandards wie dem IT-Grundschutz. Dokumentation ist kein Hexenwerk, hat aber nachhaltigen Einfluss darauf, ob sich IT-Sicherheitsniveaus über längere Zeiträume halten und verbessern lassen. Ein Information Security Management System (ISMS) funktioniert nur in Kombination mit einer ordnungsmäßigen und jederzeit aktuellen Dokumentation. Das ist auch unabhängig von Standards oder Compliance-Vorgaben. ISO fordert beispielsweise ganz klar, dass Maßnahmen auf Managemententscheide und Strategien zurückgeführt werden können. Prozesse müssen messbare und reproduzierbare Ergebnisse liefern. Ohne Dokumentation ist ein ISMS eine Alibiübung und die Ressourcen nicht wert, die dadurch belegt werden. Schritt 1: Dokumentation planen In einem ersten Schritt muss das Dokumentationskonzept erstellt werden. Im Zentrum stehen dabei die für den konkreten Fall relevanten Gesetze, Frameworks, Normen und Standards. Konfuzius sagte: Wenn die Sprache nicht stimmt, dann ist das, was gesagt wird, nicht das, was gemeint ist. Ist das, was gesagt wird, nicht das, was gemeint ist, so kommen keine guten Werke zustande. Kommunikation ist die Basis für die Umsetzung des Dokumentationskonzepts. Mitarbeitende müssen aktiv in den Dokumentationsprozess einbezogen werden. Dokumentationen müssen auch zielgruppenorientiert sein. So ist zum Beispiel eine technische Detailbeschreibung für den Endbenutzer weder verständlich noch relevant. Dokumentationen müssen einfach und jederzeit verfügbar sein. Dazu gibt es heute mehr Möglichkeiten denn je. Online-Hilfen und Wikis, Content Management Systeme (CMS) und Wissensdatenbanken 109

4 Wurden fremde Bestandteile der Dokumentation identifiziert und gekennzeichnet? Ist sichergestellt, dass nur aktuelle Versionen verfügbar sind? Wird die Dokumentation Richtlinien-konform archiviert? Schritt 4: Dokumentation aktualisieren 110 Ob national oder international: Alle Standards verlangen eine korrekte Dokumentation können alle, richtig eingesetzt, den technischen Unterbau für die Dokumentation bilden. Darüber hinaus muss die Dokumentationserstellung standardisiert sein. Es müssen verschiedene Publikationsplattformen bedient werden können, dazu gehören auch mobile Endgeräte. Der Inhalt muss aus einer Quelle zielorientiert gepflegt und generiert werden. Und natürlich hilft die beste Dokumentation nichts, wenn sie nicht gelesen wird. Das Verständnis der Dokumentation muss mit interaktiven Wissensabfragen trainiert und überprüft werden. Schritt 2: Dokumentation erstellen Am Beispiel ISMS mit Konformität zu ISO bedeutet das unter anderem, die Erstellung folgender Dokumente: Sicherheitsleitbild und Zielsetzung Umfang des ISMS Verfahren und Kontrollen zur Unterstützung des ISMS Beschreibung der Methodik der Risikobewertung Risikobewertung Vorgehen zur Verhinderung, Beseitigung und Reduzierung von Risiken Verfahrensbeschreibungen, um die effektive Planung, Durchführung und Kontrolle der Sicherheitsprozesse zu gewährleisten Beschreibung wirksamer Kontrollen. Schritt 3: Dokumentation überprüfen Dokumentation ist keine Eintagsfliege, sie lebt mit den beschriebenen Prozessen und Ergebnissen. Bevor die Dokumente veröffentlicht und genutzt werden, muss klar sein, dass sie richtig und angemessen sind und korrekt aufbewahrt werden. Überprüft werden müssen unter anderem folgende Punkte: Ist die Dokumentation angemessen hinsichtlich Ziel, Zweck, Umfang und Zielgruppe? Ist die Dokumentation noch aktuell? Lassen sich Review, Aktualisierung und erneute Freigabe nach Änderungen nachvollziehen? Sind alle Dokumente eindeutig identifizierbar sein, auch im Kontext mit anderen Dokumenten? Wird unnötige Redundanz vermieden? Sind alle Bestandteile der Dokumentation korrekt klassifiziert und vor unbefugtem Zugriff geschützt? Prozesse und Strategien verändern sich ebenso wie Hard- und Software. Dokumentation ist kein statischer Block, sondern eine flexible Ansammlung dynamischer Informationen. Viele nützliche Erkenntnisse entstehen gerade dadurch, dass die Historie eines Vorgangs sichtbar und nachvollziehbar wird. Aktualisierung bedeutet vor allem: Dokumente an die aktuellen Gegebenheiten anzupassen. Dazu gehören alle Bereiche, Prozessbeschreibungen ebenso wie durchgeführte Kontrollen und Leistungskennzahlen. Alte Dokumente müssen nachvollziehbar aus dem Verkehr gezogen und konform archiviert werden. Die Aktualisierung muss im Rahmen eines Change Management Prozesses erfolgen. Nur so wird sichergestellt, dass auch das Dokumentationskonzept und die Planung kontinuierlich und nachvollziehbar verbessert werden. Zusammenfassung Dokumentation und Kommunikation sind zwingende Voraussetzungen für ein funktionierendes ISMS. Das Wissen der Mitarbeitenden muss aktiv genutzt werden und teilbar sowie personenunabhängig zugänglich sein. Eine mangelhafte, fehlerhafte oder fehlende Dokumentation ist eines der größten und meist unterschätzten Geschäftsrisiken und führt früher oder später zu hohen Kosten und Reputationsschäden. Es ist höchste Zeit, die Dokumentation aus ihrem Schattendasein zu befreien.

5 Wolke erhält Siegel BSI treibt Cloud-Unterstützung voran Elmar Török, bits+bites Cloud Computing ist für die Anwender mehr denn je ein heikles Thema. Sicherheit und Datenschutz haben nach den jüngsten Enthüllungen über mitlesende Nachrichtendienste höchste Priorität. Das BSI unterstützt die Bemühungen der Nutzer durch mehrere neue Bausteine und Initiativen. Quelle: Julien Christ / pixelio.de Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird bis Ende 2013 vier Bausteine zum Thema Cloud Computing für das Informationssicherheitsmanagementsystem (ISMS) IT-Grundschutz fertig stellen. Das kündigte BSI-Präsident Michael Hange anlässlich des Zukunftskongresses Staat und Verwaltung 2013 in Berlin an. Die Bausteine Cloud- Management, Cloud-Nutzung, Webservices und Cloud-Storage gehen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Aktuell, mit neuen Prioritäten Das BSI beschäftigt sich schon seit einiger Zeit mit der Frage nach der Sicherheit von Cloud-Angeboten und hatte bereits im Mai 2011 ein Eckpunktepapier veröffentlicht (1), das einen Überblick über die wesentlichen Felder von Cloud Computing gab, in denen Sicherheit umgesetzt werden sollte. Eine neue Version des Eckpunktepapiers ist zum derzeitigen Stand nicht geplant, es ist nach Ansicht des BSI noch aktuell. Lediglich die Prioritäten bei den Anwendern haben sich verschoben, so stehen Fragen des Datenschutzes heute stärker im Vordergrund als In erster Annäherung ist Cloud eine Spielart des Outsourcings und der Umgang damit ist in zahlreichen Grundschutz-Dokumenten, auch in den Grundschutz-Katalogen, eindeutig für die verschiedenen Sicherheitsansprüche festgelegt. Einige Aspekte beim Cloud Computing jedoch sind neu und gehen über Outsourcing hinaus. Diese Aspekte ergeben sich hauptsächlich aus der Nutzung der gleichen Infrastruktur durch verschiedene Mandanten. Die vier neuen Bausteine Cloud- Management, Web-Services, Cloud- Nutzung und Cloud-Storage sollen dazu dienen, das Thema Cloud umfassend im Rahmen eines ISMS abzubilden. Die Dokumente sind komplementär zu bestehenden Bausteinen. Beispielsweise ergänzt Hilfe für KMU Einfaches Notfallmanagement Wie auf dem Deutschen IT-Sicherheitskongress angekündigt, steht eine weitere Veröffentlichung bevor. Eine Studie zum Thema Notfallmanagement mit der Cloud wird voraussichtlich zur it-sa Anfang Oktober erscheinen. Dabei geht es darum, kleinen und mittelständischen Unternehmen (KMU) zu zeigen, wie sie die oft vorhandene Virtualisierungstechnik nutzen können, um schnell und kostengünstig die Verfügbarkeit der IT-gestützten Geschäftsprozesse zu erhöhen. Cloud-Storage den Baustein B Speichersysteme und Speichernetze um technische Erweiterungen wie Fibre-Channel. Web-Services fügt weitere technische Aspekte zum kürzlich vorgestellten Baustein Web- Anwendungen hinzu. Die Bausteine werden entwickelt, um typische Komponenten und damit auch typische Gefährdungen, Schwachstellen und Risiken in einer sehr heterogenen Umgebung wie einem Cloud-System zu identifizieren. Aus konkreten Schwachstellen ergeben sich auch konkrete Umsetzungshinweise für das Sicherheitsmanagement und Empfehlungen für passende Standard- Sicherheitsmaßnahmen. Als Ziel gibt das BSI an, Cloud-spezifische Anforderungen komplett in den IT-Grundschutz zu integrieren und Cloud-Angebote nach ISO auf Basis von IT-Grundschutz zertifizierbar zu machen. Mittelfristig muss dazu der BSI-Standard um Cloud-spezifische Aspekte ergänzt werden. Die Inhalte der Bausteine sind darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des nativen ISO Standards von großem Nutzen. Allerdings dürfte nicht viel Aufwand nötig sein, um den Standard anzupassen. Netzpläne virtueller Infrastrukturen sind bereits im Grundschutz enthalten und schon heute haben zwei Institutionen eine 111

6 IT-Grundschutz-Zertifizierung, deren Serviceangebote als Cloud bezeichnet werden könnte. Das reine ISMS passt problemlos ins Zertifizierungsschema, andere Bereiche, die bei Cloud-Angeboten besonders wichtig sind, wie SLAs und Datenschutz, kann und darf das BSI ohnehin nicht bewerten. Vorabversionen bis Jahresende Der Baustein Cloud-Nutzung soll bis Ende des Jahres in einer Vorabversion verfügbar sein. Er richtet sich an Sicherheitsverantwortliche, die vor der Herausforderung stehen, Cloud Services im Unternehmen einzuführen und alle relevanten Gefährdungen im Vorfeld erkennen müssen. Auch bestehende Maßnahmen und Bausteine der Grundschutz Kataloge werden überarbeitet, um sie für Cloud-Computing anzupassen. So Plattformen für das Cloud Computing überprüft und zertifiziert werden können. Als Nationale IT- und Cyber- Sicherheitsbehörde sieht das BSI hier dringenden Handlungsbedarf und arbeitet daher unter Einbeziehung der Wirtschaft an entsprechenden IT-Grundschutz-Bausteinen, die dies ermöglichen. Neben den eigenen IT-Standards bringt sich das BSI auch in zahlreichen Cloud-Initiativen ein. Innerhalb der EU sind das beispielsweise Cloud Standards Coordination und European Cloud Partnership. In Deutschland werden die Technologieprogramme des BMWi Trusted Cloud und des BMBF (Forschung für Sicheres Cloud Computing) unterstützt. Neue Cloud-Standards Hilfe für Cloud-willige, aber unsichere Anwender kommt auch von anderer Seite. ISO und IEC verab- Verschlüsselung ist im Cloud- Umfeld ohnehin die wichtigste Maßnahme für Datenschutz und den Kampf gegen ungewollte Mitleser. Inzwischen gehen die Empfehlungen dahin, alle Phasen der Cloud- Nutzung auf dem PC, während der Übertragung und in der Cloud selbst durch harte Kryptografie zu sichern. Viele der kommerziellen Cloud-Anbieter mit eigenen Clients wie Boxcryptor und Wuala haben diesen Trend erkannt und bieten Verschlüsselung innerhalb des Clients an. Für größere Unternehmen sind solche Lösungen eher uninteressant, hier kommen klassische Enterprise- Verschlüsselungslösungen wie fideas von AppliedSecurity zum Einsatz. Dass die Verbindung zum Cloud- Provider mindestens über SSL abgesichert werden muss, ist ohnehin selbstverständlich. Neben den Angeboten des Cloud-Providers, die Daten auch in der Cloud zu verschlüsseln, gibt es mittlerweile Hersteller wie die Chemnitzer Firma HiCrypt, die anbieten, innerhalb der Cloud aktiv zu werden und die dort abgelegten Inhalte zu verschlüsseln. Vermutlich werden im Rahmen der aktuellen Veröffentlichungen bald noch zahlreiche weitere Firmen auf den Zug aufspringen und Kryptografie für die Cloud auf den Markt bringen. 112 Hilfe in Sicht: Neue Bausteine des BSI unterstützen Cloud-Betreiber und Anwender. Quelle: Sebastian von Thadden / pixelio.de wird B 4.1 Heterogene Netze um das Thema virtuelle Netze erweitert und der Baustein B Router & Switche ebenso überarbeitet wie B 4.2 Netz- und Systemmanagement. BSI-Präsident Michael Hange betonte in diesem Zusammenhang: Um von den Vorteilen der Cloud profitieren zu können, müssen die Anwender Vertrauen haben, dass ihre Daten in Cloud-Diensten sicher sind. Dieses Vertrauen kann jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gibt, auf deren Grundlage schiedeten Ende 2012 den ersten Teil des ISO-Standard Er soll die Entwicklung von sicherer Software, auch im Sinne von gehosteten Anwendungen, durch klare Vorgaben erleichtern. Zahlreiche beratende Gremien wie SAFEcode, und die Cloud Security Alliance (CSA) unterstützen den neuen Standard, auch PCI/DSS (Payment Card Industry/ Data Security Standard) haben entsprechende Verweise in ihre Vorschriften aufgenommen. Ebenfalls einen Blick wert ist das Richtlinienwerk der Cloud Security Alliance zum Thema Verschlüsselung (2). Das ist noch aus einem anderen Grund wichtig. Das sichere Löschen von Daten, wie es im IT-Grundschutz vorgeschrieben und auf einer lokalen Festplatte über zahlreiche simple Methoden möglich ist, ist prinzipbedingt in der Cloud nicht möglich. Liegen die Inhalte allerdings nur verschlüsselt auf den Datenträgern des Providers, genügt es den Schlüssel zu vernichten und die Daten sind ebenfalls zerstört. (1) CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (2) secaas-category-8-encryption-implementation-guidance/

7 So klappt der IT-Grundschutz Berechtigungsmanagement bewahrt den Überblick im Zugriffsdschungel Christian Zander, CTO, protected-networks.com GmbH Informationen und das sind heute vor allem elektronisch verfügbare Daten zählen zu den wertvollsten Gütern. Beinahe täglich berichten die Medien über Datendiebstähle in Unternehmen und Behörden. Der Täter sitzt oft genug direkt im Unternehmen. Doch Risiken im eigenen Unternehmen lassen sich durch die Umsetzung gesetzlicher Regularien wie auch durch ein gezieltes Berechtigungsmanagement stark reduzieren. Um die IT Sicherheit zu erhöhen, hilft eine individuelle Risikoanalyse. Diese bringt einen hohen Kosten- und Zeitaufwand mit sich. Eine Alternative bieten nationale wie internationale Normierungen, etwa die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sind diese eingeführt, kann die Umsetzung nach ISO/IEC 2700x- zertifiziert werden. Zahlreiche Anforderungen dieser Normierungen sowie internationaler Regularien wie SOX und PCI-DSS lassen sich mit einem softwaregestützten Berechtigungsmanagement umsetzen. Die BSI IT-Grundschutz-Kataloge etwa nennen folgende Anforderungen an IT- Systeme: Identifikation und Authentifizierung Rechteverwaltung und -kontrolle Rollentrennung zwischen Administrator, Revisor und Benutzer Protokollierung einer Rechteverletzung benutzerfreundliche Oberfläche Protokollierung der Administrationstätigkeiten Unterstützung der Protokollauswertung Warum sind fehlerhafte Zugriffsberechtigungen riskant? Es gibt zahlreiche Szenarien, in denen Zugriffsberechtigungen die Ursache für Sicherheitsvorfälle sind. Zum Beispiel, wenn einem Bankmitarbeiter gekündigt wird und er vor seinem Ausscheiden alle ihm zugänglichen Informationen kopiert und an die Steuerfahndungsbehörde verkauft. Oder in dem Fall eines externen IT- Administrators, der zwei Millionen Kundendaten eines Telekommunikationsunternehmens kopiert und weitergibt. Das Vertrauen der Kunden ist beschädigt, die Kosten für das Unternehmen enorm. Beliebt ist auch das Szenario Auszubildender. Ein Lehrling durchläuft im Rahmen seiner Ausbildung alle Abteilungen eines Unternehmens und sammelt dabei verschiedenste Zugriffsrechte ein, die ihm nie entzogen werden. Bis zum Abschluss der Lehre hat er fast unbegrenzten Zugang zu allen Bereichen der IT und kann Daten einsehen, die nur den Fachabteilungen vorbehalten sind. Der nächste Lehrling erbt, wenn mit generischem Accounts gearbeitet wird, diese Rechte, von denen niemand genau weiß, welche das eigentlich sind. Schritte zur Einführung Die grundsätzliche Frage bei der Definition einer Berechtigungsstrategie ist simpel: Wo sind die Daten und wer kann darauf zugreifen? Fast jeder Unternehmer glaubt zu wissen, wer auf welche Daten zugreifen kann. Nur kann er das auch nachweisen? Ist tatsächlich nachvollziehbar, welcher Nutzer Zugriff auf welche Daten und Ordner hat? Fast jede Organisation verfügt über geregelte Prozesse zur Berechtigungsvergabe. Gleichzeitig klagen viele Administratoren über ein undurchsichtiges Berechtigungskonzept und zahlreiche Ausnahmeregelungen. Aufgefordert durch einen Fachabteilungsleiter vergeben Administratoren als zentrale Anlaufstelle Rechte, etwa für das Active Directory, SharePoint oder Exchange. Verlässt der Mitarbeiter das Unternehmen oder wechselt er das Projekt oder in eine andere Abteilung, sollten seine Zugriffsrechte aktualisiert werden. Doch ab einer gewissen Unternehmensgröße verlieren Administratoren beinahe zwangsläufig die Übersicht über die Rechtesituation auf den zahlreichen Systemen. Die Herausforderung besteht darin, einen Überblick über all diese Veränderungen zu behalten und stets zu wissen, dass alle Mitarbeiter die für sie passenden Zugänge haben. Gewährleisten lässt sich das, wenn der eigentliche Dateneigentümer, also der Abteilungsleiter oder Projektverantwortliche, die Zugangsrechte vergibt. Er weiß, im Gegensatz zum Administrator, welcher Mitarbeiter welche Zugangsrechte benötigt und wer Mitglied seiner Abteilung ist. Damit die Vergabe von Zugriffsrechten an Nicht-IT- Profis delegiert werden kann, bedarf es einer einfachen, transparenten und schnell zu nutzenden technischen Lösung. Ideal wäre es, wenn eine Software die transparente 113

8 114 Aministration sämtlicher technischer Ressourcen, angefangen vom Fileserver über Active Directory, Exchange und SharePoint erlaubt. Grundsatzüberlegungen Beinahe jeder Mitarbeiter wird über den Umgang mit vertraulichen Daten belehrt oder unterzeichnet entsprechende Vereinbarungen. Die wenigsten missbrauchen vorsätzlich vertrauliche Daten. Aber angenommen, ein Diplomand arbeitet in der Personalabteilung und stellt fest, dass er Zugriff auf die Gehaltsdaten hat. Gelegenheit macht Diebe, heißt ein bekanntes Sprichwort. Mit einem sauberen Berechtigungsmanagement kommt ein Unternehmen der Pflicht nach, seine Mitarbeiter zu schützen, und zwar auch davor, in Versuchung zu geraten. Das reduziert die Wahrscheinlichkeit, dass Insider vertrauliche Daten weitergeben, auf die sie zufällig gestoßen sind. Schrumpfende Budgets, sowohl für Geld als auch Personalressourcen, sind in der IT weitverbreitet. Ein automatisiertes Bereitstellen und Administrieren von Zugriffsrechten, verbunden mit einer Dokumentation aller Vorgänge und automatisierten Reports, spart Zeit und Geld bei einer gleichzeitigen Steigerung von Bedienkomfort, Effizienz und Sicherheit. Ein erheblicher Unsicherheitsfaktor bei der Berechtigungsvergabe ist die Schnittstelle zwischen Administrator und Fachabteilung. Administratoren haben die Kompetenz, um Berechtigungen zu ändern. Abteilungsleiter wissen, wer tatsächlich in ihrer Abteilung welche Zugriffsrechte benötigt. Eine Softwarelösung sollte es den Dateieigentümern ermöglichen festzulegen, wer Zugriff auf ihre Daten hat. Als Bonus effekt steigt die Sensibilität für den Datenschutz enorm. Kann jeder Abteilungsleiter selbst bestimmen, wer auf diese Daten zugreifen kann, dann ist er auch in der Lage, diesen Zugriff sorgsam zu vergeben und übernimmt damit Verantwortung. Wenn die Verantwortlichen jederzeit überprüfen können, wer Zugriff auf ihre Daten hat, vermindern sie das Risiko einer Datenpanne signifikant. Damit sich so eine Lösung auch im Alltag durchsetzt, muss sie einfach zu verstehen sein. Der IT-Abteilung bleibt dann mehr Zeit, sich ihren eigentlichen Aufgaben zu widmen. Access-Rights-Management optimieren Für die Umsetzung ist es zunächst hilfreich, an einem konkreten Projekt die manuellen Prozesse zur Rechtevergabe zu standardisieren. Das beginnt beim Anlegen eines neuen Benutzers, indem Funktionsrollen erstellt werden. Rollenberechtigungen sind auf lange Sicht einfacher zu handhaben als Personenberechtigungen und erlauben es, neuen Mitarbeitern schnell die nötigen Rechte zuzuweisen. Zunächst ist mit dieser Vorgehensweise viel Aufwand verbunden, denn die Rollen müssen natürlich genau definiert und mit den passenden Rechten ausgestattet sein. Aber auf lange Sicht spart der Ansatz Zeit und erlaubt effizientere Prozesse. Auch im Hinblick auf anstehende Audits ist hier ein erster Grundstein gelegt. Softwaregestütztes Berechtigungsmanagement bietet zahlreiche Vorteile. Für das Management bedeutet es einen Schritt hin zur Haftungsbefreiung, weil geeignete Datenschutzmaßnahmen umgesetzt werden. Für den Administrator ist es eine Arbeitserleichterung und zugleich eine Absicherung. Er kann nachweisen, wer welche Änderungen vorgenommen hat und gerät bei Sicherheitsvorfällen nicht unnötig in die Schusslinie. Der Anwender selbst erlebt Datenschutz als etwas, das zu seinem Arbeitsalltag gehört. Er ist nicht mehr darauf angewiesen, wegen jeder Änderung den Support zu kontaktieren, und er weiß, dass auch seine persönlichen Daten gut geschützt werden. Und am Ende muss niemand fürchten, dass doch Unbefugte versehentlich Einblicke erhalten, die ihnen verborgen bleiben sollten. Und führe uns nicht in Versuchung, verliert seinen Schrecken, denn softwaregestütztes Berechtigungsmanagement verlässt sich nicht auf den guten Glauben, sondern setzt transparent durch, wer Zugriff auf welche Daten hat. Checkliste: Acht Punkte für IT-Grundschutz-konformes Berechtigungsmanagement Jeder bekommt nur, was er braucht Die Rechtevergabe erfolgt nach dem need-to-know- und dem least-privileges-prinzip Jeder ist einzigartig Es gibt eine Rollentrennung zwischen Administrator, Revisor und Benutzer, d.h. zwischen Diensteverwaltung und Datenverwaltung Vier schlägt zwei Benutzerrollen werden nach dem Vier-Augen-Prinzip vergeben, eventuell auch durch den Fachverantwortlichen mit Autorisierung durch den Administrator Zeit ist Geld Zugriffsrechte müssen schnell vergeben, geändert und entzogen werden können Maßgeschneidert Das Rollenkonzept soll sich an den organisatorischen und geschäftlichen Anforderungen orientieren Streitschlichter Rollenkonflikte werden schon bei der Definition aufgelöst Vertrauen ist gut, aber zu wenig Alle Rollenänderungen werden dokumentiert und im Idealfall automatisch als Report ausgegeben Alarmglocken für den Notfall Bei unerlaubten Zugriffen sollte das System den Administrator alarmieren