Daten­si­cher­heit von Cloud Sto­rage Diens­ten

Häu­fig ist in der Pres­se zu lesen, dass Poli­ti­ker, Pri­vat­per­so­nen und vor allem Unter­neh­men Opfer von Cyber­at­ta­cken gewor­den sind. Kein Wun­der, denn immer mehr Mit­ar­bei­ter grei­fen über Mobil­ge­rä­te wie das Mobil­te­le­fon, Tablets oder den pri­va­ten Lap­top auf das Fir­men­netz­werk zu. Das bie­tet für die Unter­neh­men und die Mit­ar­bei­ter zwar auf der einen Sei­te vie­le Vor­tei­le, jedoch auf der ande­ren Sei­te bringt das auch eine Viel­zahl an Sicher­heits­ri­si­ken mit sich, deren sich die meis­ten Mit­ar­bei­ter und Arbeit­ge­ber nicht bewusst sind. Unbe­wusst schä­di­gen Mit­ar­bei­ter ihre Fir­ma und set­zen die­se Gefah­ren wie Tro­ja­nern, Viren oder das Aus­le­sen sen­si­bler Daten aus. Das Pro­blem ist vor allem in klei­ne­ren Unter­neh­men, dass vie­le Mit­ar­bei­ter trotz Sicher­heits­schu­lun­gen mit dem Tei­len von Infor­ma­tio­nen auf ihrem pri­va­ten wie auch geschäft­li­chen Smart­pho­ne sehr frei­zü­gig umge­hen.1 Dadurch kann es pas­sie­ren, dass ver­trau­li­che oder sen­si­ble Unter­neh­mens- und Kun­den­da­ten an frem­de Drit­te gera­ten.2

Vor allem Cloud Com­pu­ting birgt zahl­rei­che Risi­ken im unter­neh­me­ri­schen Bereich. Cloud Com­pu­ting beschreibt die Mög­lich­keit, Soft­ware­diens­te über das Inter­net anzu­fra­gen und zu nut­zen. In Unter­neh­men kön­nen betrieb­li­che Lösun­gen durch Cloud Com­pu­ting von exter­nen Anbie­tern über das Inter­net bezo­gen wer­den.3 Cloud Com­pu­ting beinhal­tet zudem Cloud Sto­rage Diens­te, bei denen Nut­zer ihre Daten über die Inter­net­ver­bin­dung in zen­tra­len Rech­ner­zen­tren der Anbie­ter spei­chern. Die Cloud wird dazu benutzt, um Back­ups von Daten und Doku­men­ten in die­sen Rech­ner­net­zen zu spei­chern. Die Cloud Sto­rage Diens­te ver­spre­chen den Nut­zern stän­di­gen, ein­fa­chen und preis­wer­ten Zugriff auf die per­sön­li­chen digi­ta­len Daten.4 Cloud Sto­rage Diens­te wer­den von Mit­ar­bei­tern in Unter­neh­men für betrieb­li­che oder pri­vat Zwe­cke genutzt, um Ter­mi­ne, Kun­den­da­ten, Bil­der, abfo­to­gra­fier­te Flip­Charts und Fir­men­da­tei­en zu sichern, um so über das Inter­net über­all auf der Welt auf die­se Daten wie­der zugrei­fen zu kön­nen. Dabei wird oft­mals nicht berück­sich­tigt, dass dadurch die­se Daten unter die Kon­trol­le der Cloud Sto­rage Diens­ten fal­len. Was mit den betrieb­li­chen oder pri­va­ten Infor­ma­tio­nen wie Namen über Anschrift und Tele­fon­num­mer bis hin zur E-Mail Adres­se und dem Stand­ort sowie Nut­zer­pro­fi­len pas­siert kann sich nicht mehr

kon­trol­lie­ren las­sen. So ist es mög­lich, dass beruf­li­che Daten wie Kun­den-, Pro­jekt- oder gehei­me Unter­neh­mens­in­for­ma­tio­nen leicht aus dem Cloud Sto­rage in die Hän­de frem­der Drit­ter gera­ten.5 Cloud Anbie­ter garan­tie­ren einen hohen Sicher­heits­stan­dard für die Nut­zer. Den­noch haben Unter­neh­men eini­ge Beden­ken bezüg­lich der Sicher­heit von Unter­neh­mens­da­ten in der Cloud. Sie fürch­ten den Ver­lust der und die Kon­trol­le über ihre Daten in der Cloud, da die­se oft­mals in unbe­kann­ten Rech­ner­zen­tren gespei­chert wer­den.6

Das Pro­blem an Cloud Sto­rage-Diens­ten ist, wie auch das Fraun­ho­fer Insti­tut für Siche­re Infor­ma­ti­ons­tech­no­lo­gie in sei­ner Stu­die „On the Secu­ri­ty of Cloud Sto­rage Ser­vices” her­aus­ge­fun­den hat, die Sicher­heit die­ser Diens­te. Eine Gefahr tritt durch die Nut­zung pri­va­ter Gerä­te für beruf­li­che Zwe­cke auf. Eini­ge Mit­ar­bei­ter ver­wen­den ihre pri­va­ten Mobil­ge­rä­te, um beruf­li­che E-Mails zu erhal­ten oder geschäft­li­che Ange­le­gen­hei­ten zu bear­bei­ten. Auf die­se Wei­se wird es für den Arbeit­ge­ber fast unmög­lich, die Kon­trol­le dar­über zu behal­ten, wo betrieb­li­che Daten ver­wal­tet und gespei­chert wer­den. Vor allem bei klei­nen und mit­tel­stän­di­schen Unter­neh­men ist „Bring Your Own Device“ teils in gro­ßem Umfang üblich. Mit­ar­bei­ter nut­zen ihre pri­va­ten Gerä­te für betrieb­li­che Zwe­cke, da klei­ne und mit­tel­stän­di­sche Unter­neh­men nicht die aus­rei­chen­den Res­sour­cen besit­zen, um ihre Mit­ar­bei­ter mit betriebs­ei­ge­nen Gerä­ten aus­zu­stat­ten, die mit Mobi­le Device Manage­ment (MDM) Tools aus­ge­stat­tet sind.

Ein wich­ti­ger Punkt ist die Ver­schlüs­se­lung und das Schlüs­sel­ma­nage­ment. Die meis­ten User des Inter­nets sur­fen pri­vat unver­schlüs­selt. Die unver­schlüs­sel­te oder gering ver­schlüs­sel­te Nut­zung der Cloud ist jedoch vor allem für sen­si­ble Daten unge­eig­net.7 Zur Ver­ar­bei­tung und Spei­che­rung oder ins­be­son­de­re für den Trans­port von Daten soll­ten geeig­ne­te kryp­to­gra­phi­sche Ver­fah­ren ange­wen­det wer­den. Die Ver­schlüs­se­lung von Daten hat bei der Nut­zung der Cloud beson­de­re Prio­ri­tät.8 Bei der Ver­schlüs­se­lung des Daten­trans­fers zwi­schen der Cloud und dem Gerät des Nut­zers stellt die betrieb­li­che Nut­zung von pri­va­ten Gerä­ten ein Pro­blem dar.

Mobi­le Device Manage­ment (MDM) Tools legen fest, wel­che Ein­stel­lun­gen vom Nut­zer vor­ge­nom­men wer­den dür­fen und wel­che Apps aus wel­chen Stores her­un­ter­ge­la­den wer­den dür­fen. Außer­dem gibt es die Mög­lich­keit, Back­ups nur von bestimm­ten Cloud Anbie­tern durch­zu­füh­ren zu las­sen. Zudem gibt es durch das MDM die Mög­lich­keit, bei Dieb­stahl eine Zugriffs­sper­re zu akti­vie­ren und die Daten zu löschen. Dar­über­hin­aus kann das Smart­pho­ne so ein­ge­stellt wer­den, dass der Daten­ver­kehr über einen VPN- Tun­nel über das Fir­men­netz­werk, wo die­se gefil­tert wer­den, lau­fen.9

Es bleibt das Pro­blem, dass Nut­zer mit ihren Daten im Inter­net oder über Cloud Sto­rage Diens­te sehr fahr­läs­sig umge­hen. Dabei unter­schei­den oft­mals Mit­ar­bei­ter nicht zwi­schen pri­va­ter und betrieb­li­cher Nut­zung der Gerä­te. Die Daten der Kun­den oder Fir­men­in­ter­ne Daten gelan­gen mög­li­cher­wei­se über die Cloud oder unsi­che­re Daten­ver­bin­dung in die Hän­de Drit­te.

1 Pla­then, CM 2014, 72, 75.
Mauch 2014 it&t, S. 35, 35.
Laud­on, Wirt­schafts­in­for­ma­tik, 2009, 218.
4 https://​www​.sit​.fraun​ho​fer​.de/​d​e​/​c​l​o​u​d​-​s​e​c​u​r​i​ty/
5 Mauch 2014 it&t, S. 35, 35.
6 Vgl. Mar­s­ton 2009, 11 /​Mil­ler 2008, 29f.
7 Schwenk 2011, 78.
8 Wink­ler 2011, 142.
9 Michels J. , CM 2014, S. 55, 58.
Quel­len­ver­zeich­nis
Laud­on, C. Ken­neth, Laud­on P. Jane, Scho­der Det­lef , Wirt­schafts­in­for­ma­tik: Wirt­schafts­in­for­ma­tik, 2 Auf­la­ge, Köln 2009
Mar­s­ton, S., Li, Z., Ban­dy­o­pad­hyay, S. : Cloud Com­pu­ting – The Busi­ness Per­spec­tive. In: Decisi­on Sup­port Sys­tems Volu­me 51, Issue 1, S.176–189, Else­vier B.V., 2011.
Mauch Micha­el, Die unter­schätz­te Gefahr, it&t 2014, 35. Michels Jochen , Kos­ten und Sicher­heit von Cloud Com­pu­ting CM 2014
Mil­ler, M.: Cloud Com­pu­ting — Web-Based App­li­ca­ti­ons That Chan­ge the Way You Work and Col­la­bo­ra­te Online. Que Publishers (USA), 2008.
Pla­then, Sascha , Mit­ar­bei­ter als IT-Sicher­heits­lü­cke im Unter­neh­men, CM 2014, 72–75.
Schwenk, J.: Tech­no­lo­gi­en & Sicher­heits­as­pek­te in Cloud Com­pu­ting. In: Picot, A., Hertz, U., Götz, T.: Trust in IT – Wann ver­trau­en Sie Ihr Geschäft der Inter­net- Cloud an?, S.71–94, Sprin­ger- Ver­lag (Ber­lin, Hei­del­berg), 2011.
Wink­ler, V.J.R.: Secu­ring the Cloud – Cloud Com­pu­ter Secu­ri­ty – Tech­ni­ques and Tac­tics. Syn­gress /​Else­vier Inc. (Ams­ter­dam, Bos­ton, Hei­del­berg u.a.), 2011.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Siche­rer Umgang mit IT für All­tag und Beruf – Grund­la­gen mobi­ler Kom­mu­ni­ka­ti­on im beruf­li­chen Umfeld” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) und Sicher­heit — Die LBS-Funk­ti­on (Ortung)
Ich schrieb vor eini­gen Tagen, dass ich der­zeit in den USA bin, um unse­re MDM-Geschäf­te hier wei­ter­zu­ent­wi­ckeln. Wie immer gewinnt man auf einer sol­chen Rei­se vie­le Ein­drü­cke, man­che ste­chen aber oft deut­lich her­vor. Mir war schon immer klar, dass es in den USA eine grund­sätz­lich sehr posi­ti­ve Einst…
Neu­es Update von datomo MDM 3.22.2 mit neu­en iOS Restrik­tio­nen und Erwei­te­rung des App Laun­chers für Andro­id
Das neue Release von datomo MDM 3.22.2 bringt u.a. Aktua­li­sie­run­gen bei den iOS Restrik­tio­nen und neue Gerä­te­funk­tio­nen für den Laun­cher bei Andro­id Gerä­ten. Im Detail sind fol­gende neue Gerä­te­funk­tio­nen ergänzt wor­den: Laun­cher 1.2.4 Nut­zung der nati­ven Tele­fon­an­wend…
datomo MDM — Neue Updates für wei­te­re Opti­mie­rung bei iOS und Andro­id ver­öf­fent­licht
Mitt­ler­wei­le ist die Ver­si­on datomo MDM 3.28 her­aus­ge­kom­men und wie immer gibt es zahl­rei­che Opti­mie­run­gen. Mit den vor­an­ge­gan­ge­nen Updates der Ver­sio­nen 3.26 bis 3.27 kam u.a. die Unter­stüt­zung von iOS 11 sowie von Apple TV hin­zu. Damit kön­nen Unter­neh­men ab sofort Apple TV z.B. in Kon­fe­renz­räu­men…
datomo MDM 3.19.0: Major Release mit erwei­ter­ter Sicher­heits­op­ti­mie­rung, neu­em EAS Pro­xy und aus­ge­wei­te­tem Sup­port u.a. für Sony, LG und Len…
Schon wie­der erscheint ein neu­es Major Release von datomo Mobi­le Device Manage­ment, inzwi­schen sind wir bei der Ver­si­on 3.19! Bei den Sicher­heits­ein­stel­lun­gen gibt es ver­schie­de­ne Opti­mie­run­gen bezo­gen auf die unter­schied­li­chen Gerä­te und Platt­for­men. Beson­ders her­vor­zu­he­ben ist der neue EAS Prox…
MDM-Wiki: Unser Lexi­kon zu Mobi­le Device Manage­ment wächst — 50 Arti­kel beant­wor­ten die meis­ten Fra­gen
Mobi­le Device Manage­ment ist ein kom­ple­xes The­ma, was zum einen noch sehr jung ist und zum ande­ren kom­pli­zier­ter als vie­le ande­re bekann­te The­men der IT ist und erscheint. Ich wur­de im Janu­ar auf die­ses The­ma gesto­ßen, als einer unse­rer Anwen­der mir sag­te, dass er kein ver­nünf­ti­ges Infor­ma­ti­ons­an­geb…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.