IT-Strategien

Unternehmensdaten sicher in der Cloud speichern

Zahlreiche Vorurteile verhindern, dass Unternehmen Public-Cloud-Angebote nutzen. Doch sie müssen keine Angst vor einem unerlaubten Datenzugriff haben, wenn entsprechende Sicherungen eingebaut sind.

Online-Recht, Recht, Urheberrecht, Cloud

© Hersteller/Archiv

Online-Recht: Urheberrecht in der Wolke

Geistiges Eigentum, geschäftskritische Anwendungen sowie persönliche Daten von Mitarbeitern und Kunden sind ein hohes Gut, das Unternehmen schützen müssen. Bislang speicherten sie diese Informationen meist in ihrem eigenen Rechenzentrum und verhinderten den Zugang von außen möglichst rigoros. Im Zeitalter von "Collaboration" und "Mobility" lässt sich dieser Ansatz immer weniger durchhalten. So greifen heute neben eigenen Mitarbeitern auch externe Partner und Dienstleister auf interne Unternehmensdaten zu.

Cloud Computing bietet hierfür die ideale Lösung: Die Cloud ist flexibel, hoch skalierbar, und es entstehen nur Kosten für die tatsächliche Nutzung. Gerade mit Blick auf die Public Cloud sind die Sicherheitsbedenken jedoch besonders groß. Wichtig ist daher, den Zugriff auf die Daten intelligent und zuverlässig zu regeln.

Ein Standard schafft Abhilfe

Bisher galt als bester Ansatz, die Daten einfach zu verschlüsseln, bevor diese in der Cloud abgelegt werden. Das hat aber zwei entscheidende Nachteile: Erstens sind die Daten in

Autor: Uwe Wöhler - Computacenter

© Hersteller / Archiv

Der Autor: Uwe Wöhler - Senior Consultant Information Security bei Computacenter

einer Public Cloud dann nicht von anderen Benutzern oder von der Cloud-Anwendung verarbeitbar. Zweitens muss der Zugriff auf die entsprechenden Schlüssel geregelt werden.

Dabei ist entscheidend, welcher Nutzer und welche Benutzergruppe den Verschlüsselungsschlüssel bekommen und damit auf die Daten zugreifen dürfen. Hierfür wäre aber eine Benutzeranmeldung in der Cloud notwendig und damit eine Anwenderdatenbank mit sämtlichen Benutzerdaten des Unternehmens. Zudem zeigt sich oft, dass vor der erfolgreichen Verschlüsselung eine individuell entwickelte Anmeldung in die Cloud geschaffen werden muss.

Proprietäre Ansätze können zwar im Einzelfall gut funktionieren, lassen sich aber nur selten auf einfache Weise flexibel auf andere Nutzerkreise oder Cloud-Provider erweitern. Daher sollten Unternehmen standardbasierte Services verwenden, die bereits im Markt etabliert sind.

Einen entsprechenden Standard stellt "WS-*" dar (WS steht für Web Services). Er wurde bereits vor mehr als zehn Jahren von der OASIS (Organization for the Advancement of Structured Information Standards) veröffentlicht und beschreibt Sicherheitsprotokolle mit Signaturen und Verschlüsselung sowie Übertragungsmechanismen für Identifizierungsdaten. Als Teil des Standards ermöglicht das WS-Federation-Protokoll eine umfassende Vereinbarkeit bestimmter Rechte zwischen Unternehmen.

Die große Marktakzeptanz belegen etwa Microsoft, Apple oder Oracle ( Java) als Anbieter von WS-Federation-Lösungen. Unternehmensanwendungen wie Office 365 und SharePoint sowie öffentliche Identity Provider wie Facebook ID oder Google ID basieren ebenfalls auf diesem Standard. Microsoft bietet deshalb sogar die Active Directory Federation Services (AD FS) an, die lizenzfreier fester Bestandteil aller Windows-Server ist und daher nicht nur mit Office 365 kompatibel ist. Die Services funktionieren auch grundsätzlich problemlos miteinander, die Provider müssen sie dazu nur für die Nutzer des anderen Angebotes freischalten. Dann könnten diese etwa mit ihrer Facebook ID auf SharePoint zugreifen.

"Federation Trust" regelt die Zuständigkeiten

Um eine solche übergreifende Nutzung zu ermöglichen, ist jedoch zuerst festzulegen, wer mit welchen Rechten auf welche Anwendungen und Daten zugreifen darf. Dazu muss im ersten Schritt der Benutzerkreis definiert werden. Dies erfolgt bei Unternehmen meist manuell über das als Anmeldestruktur genutzte Active Directory.

Doch die hier abgelegten, meist geschäftskritischen oder persönlichen Daten sollten aus Wettbewerbs-und Datenschutzgründen auf keinen Fall komplett nach außen übertragen werden. So sind die Informationen, die zur Nutzung der Angebote nötig sind und herausgegeben werden dürfen, auszuwählen und zum Serviceanbieter zu transferieren.

Bevor die Daten in externe Hände geraten, muss eine Vertrauensbeziehung zwischen Kunde und Cloud-Provider oder zwischen Unternehmen aufgebaut werden. Dazu definiert ein entsprechendes Abkommen, welche Rollen anzumelden und welche Identitäten nachzuweisen sind. Zudem ist festzulegen, wohin die Benutzerdaten gesendet werden. Bei einem Unternehmens- oder Applikationsverbund ließe sich dieser Schritt sogar zentral erledigen, dann hat man immer alle Datenflüsse im Überblick.

Bei den zu klärenden Rahmenbedingungen sind folgende Punkte zu berücksichtigen:

  • Definition eines Standards sowie gemeinsamer Schlüsselsätze zur elektronischen Signatur für die Anmeldung;
  • Vereinbarung der Rollen und Rechte durch einen "Federation Trust" sowie deren Umwandlung von der Nutzer- auf die Anwendungsseite (Claims Transformation);
  • Festlegung der Formate für die verschlüsselte und signierte XML-Datei zur Übertragung der persönlichen Daten.

Automatisierung der Authentisierung

Der Einsatz von Federation-Services bietet zahlreiche Vorteile. So muss sich der Mitarbeiter nicht extra für den Cloud-Dienst "ausweisen", es genügt die alltägliche Einwahl an den Systemen der eigenen Domain mit den üblichen Mechanismen.

Anschließend erhält er automatisch Zugriff auf die für ihn freigeschalteten Anwendungen. Der IT-Administrator kann die Lösung mithilfe von Standardmodulen im Windows-Server schnell installieren und muss sie kaum pflegen, da der Partner die Gruppen- beziehungsweise Rollenzuordnung von Personen lokal verwaltet.

Der Cloud-Provider seinerseits muss nur noch bestimmten Mitarbeitern und Rollen bei seinem Kunden vertrauen und nicht mehr dem gesamten Unternehmen. Zudem lassen sich die Sicherheitsrichtlinien zentral festlegen, da der Anmeldeserver anschließend feststellt, welche Rolle ein Nutzer in der entsprechenden Anwendung einnehmen kann.

Federation-Services

© Hersteller / Archiv

Mithilfe von Federation-Services können Unternehmen Public-Cloud-Dienste sicher, günstig und einfach nutzen.

Federation-Services ermöglichen somit die weitgehende Automatisierung der bisherigen aufwendigen manuellen Authentisierungs-Prozesse. Damit erhalten Administratoren mehr Zeit, sich auf ihre Kernaufgaben zu konzentrieren, und Unternehmen eine sichere, günstige sowie einfache Möglichkeit zur Nutzung von Public-Cloud-Services.

Die flexible Infrastruktur für die Authentisierung auf Basis von Federation-Services lässt sich auch einfach skalieren und erweitern, sodass sie schnell für weitere Cloud- und Collaboration-Services eingesetzt werden kann. So bleiben Unternehmen agil und können auf unsichere und umständliche Passwörter verzichten.

Fazit

Public Clouds lassen sich auch für Geschäftsanwendungen sicher und zuverlässig nutzen. Voraussetzung dafür ist eine strenge Authentisierung. Standardbasierte Lösungen wie Federation-Services bieten dazu eine schnell, übergreifend und einfach zu nutzende Lösung. Damit können Unternehmen mehr Daten austauschen und die Zusammenarbeit verbessern.

Dies eröffnet vor allem innerhalb einer Branche hohes Rationalisierungspotenzial für Projekte, Aktivitäten, Abteilungen oder Geschäftszweige, die nicht zum Kerngeschäft gehören. Hier können auch Dienstleister als neutrale Stelle den übergreifenden Zugang regeln.

Mehr zum Thema

Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit

Nur mehrschichtige Verteidigungsstrategie bewahren Unternehmen vor riskanten und teuren Distributed-Denial-of-Service-Angriffen.
Renovierung im Rechenzentrum
IT-Infrastruktur

Die Modernisierung eines Rechenzentrums ist in der Regel ein kostenintensives Großprojekt, bei dem Planung und Koordination ebenso wichtig sind wie…
Sicherheit und Freiheit ausbalancieren
IT-Sicherheit

IT-Sicherheitsexperten, die schützen und helfen und nicht blockieren, erschaffen ein Sicherheitsnetzwerk das Freiheiten lässt und trotzdem sicher…
Rückenwind für die Cloud
Best Practice

Sie ist dem Himmel schon immer recht nah - jetzt wagt sie den Sprung in die Wolke: Der Windspezialist Rotor Control aus Nordfriesland hat seine…
Cloud Computing,Sicherheit,Deutschland
Cloud Computing nach dem NSA-Skandal

Bringt der NSA-Skandal eine große Chance für deutsche Cloud-Anbieter? Wir haben nachgefragt und beleuchten die wichtigsten Aspekte.