Daten­si­cher­heit von Cloud Sto­rage Diens­ten

Häu­fig ist in der Pres­se zu lesen, dass Poli­ti­ker, Pri­vat­per­so­nen und vor allem Unter­neh­men Opfer von Cyber­at­ta­cken gewor­den sind. Kein Wun­der, denn immer mehr Mit­ar­bei­ter grei­fen über Mobil­ge­rä­te wie das Mobil­te­le­fon, Tablets oder den pri­va­ten Lap­top auf das Fir­men­netz­werk zu. Das bie­tet für die Unter­neh­men und die Mit­ar­bei­ter zwar auf der einen Sei­te vie­le Vor­tei­le, jedoch auf der ande­ren Sei­te bringt das auch eine Viel­zahl an Sicher­heits­ri­si­ken mit sich, deren sich die meis­ten Mit­ar­bei­ter und Arbeit­ge­ber nicht bewusst sind. Unbe­wusst schä­di­gen Mit­ar­bei­ter ihre Fir­ma und set­zen die­se Gefah­ren wie Tro­ja­nern, Viren oder das Aus­le­sen sen­si­bler Daten aus. Das Pro­blem ist vor allem in klei­ne­ren Unter­neh­men, dass vie­le Mit­ar­bei­ter trotz Sicher­heits­schu­lun­gen mit dem Tei­len von Infor­ma­tio­nen auf ihrem pri­va­ten wie auch geschäft­li­chen Smart­pho­ne sehr frei­zü­gig umge­hen.1 Dadurch kann es pas­sie­ren, dass ver­trau­li­che oder sen­si­ble Unter­neh­mens- und Kun­den­da­ten an frem­de Drit­te gera­ten.2

Vor allem Cloud Com­pu­ting birgt zahl­rei­che Risi­ken im unter­neh­me­ri­schen Bereich. Cloud Com­pu­ting beschreibt die Mög­lich­keit, Soft­ware­diens­te über das Inter­net anzu­fra­gen und zu nut­zen. In Unter­neh­men kön­nen betrieb­li­che Lösun­gen durch Cloud Com­pu­ting von exter­nen Anbie­tern über das Inter­net bezo­gen wer­den.3 Cloud Com­pu­ting beinhal­tet zudem Cloud Sto­rage Diens­te, bei denen Nut­zer ihre Daten über die Inter­net­ver­bin­dung in zen­tra­len Rech­ner­zen­tren der Anbie­ter spei­chern. Die Cloud wird dazu benutzt, um Back­ups von Daten und Doku­men­ten in die­sen Rech­ner­net­zen zu spei­chern. Die Cloud Sto­rage Diens­te ver­spre­chen den Nut­zern stän­di­gen, ein­fa­chen und preis­wer­ten Zugriff auf die per­sön­li­chen digi­ta­len Daten.4 Cloud Sto­rage Diens­te wer­den von Mit­ar­bei­tern in Unter­neh­men für betrieb­li­che oder pri­vat Zwe­cke genutzt, um Ter­mi­ne, Kun­den­da­ten, Bil­der, abfo­to­gra­fier­te Flip­Charts und Fir­men­da­tei­en zu sichern, um so über das Inter­net über­all auf der Welt auf die­se Daten wie­der zugrei­fen zu kön­nen. Dabei wird oft­mals nicht berück­sich­tigt, dass dadurch die­se Daten unter die Kon­trol­le der Cloud Sto­rage Diens­ten fal­len. Was mit den betrieb­li­chen oder pri­va­ten Infor­ma­tio­nen wie Namen über Anschrift und Tele­fon­num­mer bis hin zur E‑Mail Adres­se und dem Stand­ort sowie Nut­zer­pro­fi­len pas­siert kann sich nicht mehr

kon­trol­lie­ren las­sen. So ist es mög­lich, dass beruf­li­che Daten wie Kunden‑, Pro­jekt- oder gehei­me Unter­neh­mens­in­for­ma­tio­nen leicht aus dem Cloud Sto­rage in die Hän­de frem­der Drit­ter gera­ten.5 Cloud Anbie­ter garan­tie­ren einen hohen Sicher­heits­stan­dard für die Nut­zer. Den­noch haben Unter­neh­men eini­ge Beden­ken bezüg­lich der Sicher­heit von Unter­neh­mens­da­ten in der Cloud. Sie fürch­ten den Ver­lust der und die Kon­trol­le über ihre Daten in der Cloud, da die­se oft­mals in unbe­kann­ten Rech­ner­zen­tren gespei­chert wer­den.6

Das Pro­blem an Cloud Sto­rage-Diens­ten ist, wie auch das Fraun­ho­fer Insti­tut für Siche­re Infor­ma­ti­ons­tech­no­lo­gie in sei­ner Stu­die „On the Secu­ri­ty of Cloud Sto­rage Ser­vices” her­aus­ge­fun­den hat, die Sicher­heit die­ser Diens­te. Eine Gefahr tritt durch die Nut­zung pri­va­ter Gerä­te für beruf­li­che Zwe­cke auf. Eini­ge Mit­ar­bei­ter ver­wen­den ihre pri­va­ten Mobil­ge­rä­te, um beruf­li­che E‑Mails zu erhal­ten oder geschäft­li­che Ange­le­gen­hei­ten zu bear­bei­ten. Auf die­se Wei­se wird es für den Arbeit­ge­ber fast unmög­lich, die Kon­trol­le dar­über zu behal­ten, wo betrieb­li­che Daten ver­wal­tet und gespei­chert wer­den. Vor allem bei klei­nen und mit­tel­stän­di­schen Unter­neh­men ist „Bring Your Own Device“ teils in gro­ßem Umfang üblich. Mit­ar­bei­ter nut­zen ihre pri­va­ten Gerä­te für betrieb­li­che Zwe­cke, da klei­ne und mit­tel­stän­di­sche Unter­neh­men nicht die aus­rei­chen­den Res­sour­cen besit­zen, um ihre Mit­ar­bei­ter mit betriebs­ei­ge­nen Gerä­ten aus­zu­stat­ten, die mit Mobi­le Device Manage­ment (MDM) Tools aus­ge­stat­tet sind.

Ein wich­ti­ger Punkt ist die Ver­schlüs­se­lung und das Schlüs­sel­ma­nage­ment. Die meis­ten User des Inter­nets sur­fen pri­vat unver­schlüs­selt. Die unver­schlüs­sel­te oder gering ver­schlüs­sel­te Nut­zung der Cloud ist jedoch vor allem für sen­si­ble Daten unge­eig­net.7 Zur Ver­ar­bei­tung und Spei­che­rung oder ins­be­son­de­re für den Trans­port von Daten soll­ten geeig­ne­te kryp­to­gra­phi­sche Ver­fah­ren ange­wen­det wer­den. Die Ver­schlüs­se­lung von Daten hat bei der Nut­zung der Cloud beson­de­re Prio­ri­tät.8 Bei der Ver­schlüs­se­lung des Daten­trans­fers zwi­schen der Cloud und dem Gerät des Nut­zers stellt die betrieb­li­che Nut­zung von pri­va­ten Gerä­ten ein Pro­blem dar.

Mobi­le Device Manage­ment (MDM) Tools legen fest, wel­che Ein­stel­lun­gen vom Nut­zer vor­ge­nom­men wer­den dür­fen und wel­che Apps aus wel­chen Stores her­un­ter­ge­la­den wer­den dür­fen. Außer­dem gibt es die Mög­lich­keit, Back­ups nur von bestimm­ten Cloud Anbie­tern durch­zu­füh­ren zu las­sen. Zudem gibt es durch das MDM die Mög­lich­keit, bei Dieb­stahl eine Zugriffs­sper­re zu akti­vie­ren und die Daten zu löschen. Dar­über­hin­aus kann das Smart­pho­ne so ein­ge­stellt wer­den, dass der Daten­ver­kehr über einen VPN- Tun­nel über das Fir­men­netz­werk, wo die­se gefil­tert wer­den, lau­fen.9

Es bleibt das Pro­blem, dass Nut­zer mit ihren Daten im Inter­net oder über Cloud Sto­rage Diens­te sehr fahr­läs­sig umge­hen. Dabei unter­schei­den oft­mals Mit­ar­bei­ter nicht zwi­schen pri­va­ter und betrieb­li­cher Nut­zung der Gerä­te. Die Daten der Kun­den oder Fir­men­in­ter­ne Daten gelan­gen mög­li­cher­wei­se über die Cloud oder unsi­che­re Daten­ver­bin­dung in die Hän­de Drit­te.

1 Pla­then, CM 2014, 72, 75.
Mauch 2014 it&t, S. 35, 35.
Laud­on, Wirt­schafts­in­for­ma­tik, 2009, 218.
4 https://​www​.sit​.fraun​ho​fer​.de/​d​e​/​c​l​o​u​d​-​s​e​c​u​r​i​ty/
5 Mauch 2014 it&t, S. 35, 35.
6 Vgl. Mar­s­ton 2009, 11 /​Mil­ler 2008, 29f.
7 Schwenk 2011, 78.
8 Wink­ler 2011, 142.
9 Michels J. , CM 2014, S. 55, 58.
Quel­len­ver­zeich­nis
Laud­on, C. Ken­neth, Laud­on P. Jane, Scho­der Det­lef , Wirt­schafts­in­for­ma­tik: Wirt­schafts­in­for­ma­tik, 2 Auf­la­ge, Köln 2009
Mar­s­ton, S., Li, Z., Ban­dy­o­pad­hyay, S. : Cloud Com­pu­ting – The Busi­ness Per­spec­tive. In: Decisi­on Sup­port Sys­tems Volu­me 51, Issue 1, S.176–189, Else­vier B.V., 2011.
Mauch Micha­el, Die unter­schätz­te Gefahr, it&t 2014, 35. Michels Jochen , Kos­ten und Sicher­heit von Cloud Com­pu­ting CM 2014
Mil­ler, M.: Cloud Com­pu­ting — Web-Based App­li­ca­ti­ons That Chan­ge the Way You Work and Col­la­bo­ra­te Online. Que Publishers (USA), 2008.
Pla­then, Sascha , Mit­ar­bei­ter als IT-Sicher­heits­lü­cke im Unter­neh­men, CM 2014, 72–75.
Schwenk, J.: Tech­no­lo­gi­en & Sicher­heits­as­pek­te in Cloud Com­pu­ting. In: Picot, A., Hertz, U., Götz, T.: Trust in IT – Wann ver­trau­en Sie Ihr Geschäft der Inter­net- Cloud an?, S.71–94, Sprin­ger- Ver­lag (Ber­lin, Hei­del­berg), 2011.
Wink­ler, V.J.R.: Secu­ring the Cloud – Cloud Com­pu­ter Secu­ri­ty – Tech­ni­ques and Tac­tics. Syn­gress /​Else­vier Inc. (Ams­ter­dam, Bos­ton, Hei­del­berg u.a.), 2011.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Siche­rer Umgang mit IT für All­tag und Beruf – Grund­la­gen mobi­ler Kom­mu­ni­ka­ti­on im beruf­li­chen Umfeld” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.


Ande­re inter­es­san­te Bei­trä­ge:
CeBIT 2016 Vor­trags­prä­sen­ta­ti­on (4) als Down­load: Wir hos­ten Mobi­le Device Manage­ment (MDM) in Euro­pa!
Wir ver­öf­fent­li­chen hier im Pre­t­i­so­so-Blog die Vor­trags­prä­sen­ta­tio­nen, die unser Geschäfts­füh­rer Klaus Düll, Exper­te für MDM und Mobi­le Secu­ri­ty auch in die­sem Jahr auf der CeBIT 2016 – auf dem Vor­trags­fo­rum des Han­no­ver Stan­des — hielt. Täg­lich gab es zwei Vor­trä­ge mit wech­seln­den Schwer­punk­ten ü…
Unser neu­es White­pa­per zu Bring Your Own Device (BYOD) — Aus der Pra­xis für die Pra­xis
Die Dis­kus­si­on um Bring Your Own Device (BYOD) hat seit der CeBIT 2013 ein neu­es Kom­pe­tenz­ni­veau erreicht. Wäh­rend man bis zur CeBIT 2013 die meis­ten Bei­trä­ge wenigs­tens noch als kom­pe­tenz­arm bezeich­nen konn­te, hat sich die Situa­ti­on seit­dem merk­lich ver­scho­ben. Inter­na­tio­na­le Wirt­schafts­prü­fungs­ges…
Pro­dukt­über­sicht Mobi­le Device Manage­ment (MDM) /​Enter­pri­se Mobi­li­ty Manage­ment (EMM)
Markt­über­sich­ten zu den The­men Mobi­le Device Manage­ment (MDM) und Enter­pri­se Mobi­li­ty Manage­ment (EMM) in Fach­zeit­schrif­ten und im Netz feh­len sehr oft zwei wesent­li­che Eigen­schaf­ten: Fach­kom­pe­tenz und gründ­li­che Recher­che. ZDNet​.de hat hier end­lich ein­mal einen qua­li­ta­ti­ven Kon­tra­punkt gesetzt. In…
Mobi­le Device Manage­ment FAQ – Kom­po­nen­ten der Base Agent Richt­li­nie in datomo MDM
Wir wer­den immer wie­der gefragt, ob wir ein gutes MDM-Wiki oder ein Lexi­kon zu MDM ken­nen und müs­sen das ver­nei­nen. So ent­stand die Idee zu die­sem MDM FAQ. Machen Sie uns ger­ne Vor­schlä­ge wor­über wir schrei­ben sol­len – wir wer­den es tun. Die Kom­po­nen­ten sind ein Teil der Base Agent Richt­li­nie in …
Mobi­le Device Manage­ment (MDM) — Sicher­heit kann nur aus Euro­pa kom­men
Auf Wired ist ges­tern Nacht ein hoch­in­ter­es­san­ter Arti­kel erschie­nen, der die Akti­vi­tä­ten der NSA aus­führ­lich beleuch­tet und jedem, der an Daten­schutz inter­es­siert ist, Angst machen muss: The NSA Is Buil­ding the Country’s Big­gest Spy Cen­ter (Watch What You Say) Ich emp­feh­le jedem, der sich mit den…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.