Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Wie riskant ist es für Unternehmen, sensible Daten der Cloud anzuvertrauen?
Die wirtschaftlichen Vorteile, die sich aus der Migration von Unternehmens-IT-Umgebungen zu Service Providern ergeben, überwiegen allmählich die Sicherheitsbedenken im Zusammenhang mit Cloud Computing. Unternehmen zögerten bis vor kurzem, sensible Kundeninformationen extern zu speichern.
Neue Forschungen deuten jedoch darauf hin, dass sich das bald ändern könnte. Große Organisationen wie der britische National Health Service (NHS) verdeutlichen ebenfalls, dass Cloud-Dienstleistungen nun in größerem Ausmaß genutzt werden.
Die Risiken einer Cloud-Strategie sind jedoch nach wie vor sehr greifbar. Die Unternehmen Time Warner, Uber, Accenture und Fedex mussten alle bereits Erfahrung mit schwerwiegenden Datenverstößen machen.
Um die sichere Übertragung und Speicherung von sensiblen Daten in der Cloud zu ermöglichen, sollten Unternehmen den Einsatz von Virtual Private Networks (VPNs) an jedem Internetverbindungspunkt vor Ort sowie in Hybrid- und Cloud-Systemen in Betracht ziehen.
Mehr sensible Daten in der Cloud
Immer mehr Unternehmen erwägen, sensible Kundendaten der Cloud anzuvertrauen.
Laut dem Thales Data Threat Report 2018 – Federal Government Edition, einem Report zu IT-Sicherheitsbedrohungen, zwingen knappe Budgets US-Bundesbehörden zur Eruierung von Cloud-Dienstleistungen. Knapp die Hälfte (45 Prozent) der Befragten gibt an, dass ihre Behörde fünf oder mehr Cloud-Service-Provider hat.
Anderswo hat der größte britische Gesundheitsversorger NHS offiziell die Erlaubnis erhalten, weitere seiner Patientendaten an Privacy Shield-zertifizierte Cloud-Dienstleister auszulagern. Richtlinien für den NHS und andere Sozialfürsorgeanbieter verlangen, dass Führungskräfte ihre eigene Risikobeurteilung im Zusammenhang mit der Auslagerung von Daten durchführen und angemessene Maßnahmen zur Risikominimierung einführen, bevor sie irgendwelche Daten in der Cloud speichern.
Cloud-Verschlüsselung von Kundendaten hinkt hinterher
Im Allgemeinen werden Cloud-Daten den Cloud Service Providern (CSPs) anvertraut, da sie höchste Sicherheit in den Mittelpunkt ihrer Geschäftsmodelle stellen.
Doch auch die am besten verwaltete Cloud-Umgebung ist nicht völlig immun gegen Sicherheitsversäumnisse – vor allem dann nicht, wenn der Kunde die von ihm genutzten Cloud-Ressourcen nicht ordnungsgemäß absichert.
Im Cloud Security Report 2017 von Crowd Research Partners gaben ein Drittel der Befragten (33 Prozent) Sicherheitsrisiken als einen der wichtigsten Gründe dafür an, dass Cloud-Dienste in ihrem Unternehmen nicht in größerem Umfang genutzt werden.
Diese Ergebnisse finden sich auch in der jüngsten Untersuchung über die Nutzung der Cloud bei Bundesbehörden wieder. Laut dieser Umfrage erachten 78 Prozent der Befragten die Verschlüsselung von Data-in-Motion und 77 Prozent die Data-at-Rest-Verschlüsselung als die effektivsten Tools für den Schutz von Daten. Doch bei lediglich 23 Prozent war Verschlüsselung in der Cloud implementiert.
Regierungsbehörden und Unternehmen teilen dieses Problem. Zuweilen können Altsysteme, interne Politik und knappe IT-Budgets verhindern, dass die Systemsicherheit soweit verbessert wird, dass das Risiko von Datenverlusten und erfolgreichen Cyberangriffen vollständig ausgeschlossen ist.
Angriffe auf Cloud-Daten
Angriffe auf Cloud-Daten sind zum Glück selten. Wenn sie aber doch vorkommen, sorgen sie für Schlagzeilen und tragen dazu bei, die Unsicherheit in Zusammenhang mit dieser Technologie aufrechtzuerhalten.
Im Jahr 2017 kam es im Zusammenhang mit Cloud-Daten bei Accenture und Time Warner zu Sicherheitslecks, als die IT-Administratoren beziehungsweise Auftragnehmer Datenzugriffsberechtigungen auf S3-Systeme von Amazon Web Services (AWS) falsch konfigurierten und die Daten somit versehentlich für den öffentlichen Zugriff freigaben. Kürzlich waren bei Fedex infolge eines Fehlers bei der internen Administration eines AWS-S3-Servers 119.000 private Dokumente exponiert.
An anderer Stelle erlitt Uber eine öffentliche Demütigung, als das Unternehmen versuchte, einen Hackerangriff zu vertuschen. Dieser war darauf zurückzuführen, dass ein Passwort für Cloud-Services in unbefugte Hände gelangen konnte.
Es gibt drei Hauptgründe für Datenpannen wie diese. Erstens: Indem Cloud-Diensten mehr sensible Unternehmensdaten anvertraut werden, haben die IT-Abteilungen weniger Kontrolle darüber – wie die Datenpanne bei Time Warner zeigt, bei der externe Auftragnehmer das Sicherheitsleck verursacht hatten.
Zweitens: Nicht immer sind es IT-Sicherheitspraktiker, die die Nutzung von Cloud-Diensten beschließen. Das führt zu dem dritten Grund, nämlich, dass die IT-Abteilungen nicht notwendigerweise für alle IT-Ausgaben des Unternehmens verantwortlich sind.
Verschlüsselung in der Cloud
Verstöße wie diese unterstreichen, wie wichtig es ist, die richtigen Sicherheitsmaßnahmen anzuwenden. Die meisten IT-Sicherheitsexperten sind sich einig, dass Verschlüsselung eine Schlüsselrolle spielen sollte.
Nach Angaben von 77 Prozent der mehr als 3.500 Befragten, die für die Global Cloud Data Security Study 2018 des Ponemon Institute befragt wurden, ist die Fähigkeit zur Verschlüsselung oder Tokenisierung sensibler oder vertraulicher Daten wichtig. Indessen gehen 91 Prozent davon aus, dass dies in den kommenden zwei Jahren an Bedeutung gewinnen wird, eine Zunahme gegenüber 86 Prozent im Jahr 2017.
Da Unternehmen ihre Inanspruchnahme öffentlicher Cloud-Dienste ausweiten, werden Komponenten für Authentifizierung und Management zunehmend aus dem Unternehmensnetzwerk in die Cloud ausgelagert. Eine der sichersten Möglichkeiten der Übertragung und Speicherung von sensiblen Daten in der Cloud stellen VPNs dar.
Zusammenfassend lässt sich sagen, dass die Vorteile von Cloud-Anwendungen, unter anderem Flexibilität, Skalierbarkeit und niedrigere Betriebskosten, hinlänglich bekannt sind und die meisten Unternehmen in ihrer IT-Umgebung bereits irgendein Cloud-Element haben.
Je mehr Unternehmen sensible und wertvolle Daten in die Cloud verschieben, desto mehr Cloud-Dienste werden für Hacker attraktiv. Daher müssen Unternehmen den Überblick darüber behalten, wo sich ihre Geheimnisse befinden, und angemessene Sicherheitsvorkehrungen treffen, wobei Verschlüsselung ein grundlegendes Element sein sollte.
Durch die Implementierung von VPN-Konnektivität an jedem Internetverbindungspunkt vor Ort sowie in Hybrid- und Cloud-Systemen werden die Risiken für jeden Mitarbeiter im Umgang mit sensiblen Unternehmensdaten erheblich reduziert – ganz gleich, welche Art von Gerät er verwendet.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.