24.01.2019
Security-Ratgeber
So werden Firmendaten in der Cloud geschützt
Autor: Jens Stark
Blackboard / Shutterstock.com
Der Schutz der eigenen Informationen in der Cloud ist nicht nur Aufgabe des Anbieters der Datenwolke. Auch auf Anwenderseite gibt es wichtige Schritte, die es zu beachten gilt. Die Experten von NTT Security haben 5 wichtige Maßnahmen umrissen.
Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit gewährleistet ist. NTT Security hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten.
1. Daten identifizieren und klassifizieren
Zu Beginn müssen Unternehmen erst einmal genau ermitteln, welche Applikationen und Daten bei der Migration vom eigenen Rechenzentrum zu einem Cloud-Provider übertragen werden sollen. Dabei ist beispielsweise zu klären, um welche Art von Daten es sich handelt und ob personenbezogene Daten involviert sind. Denn in letzterem Fall gelten die strengen Vorschriften der DSGVO. In welchen Applikationen werden die Daten von wem und wie genutzt? Werden sie nur gelesen oder auch weiterverarbeitet? Aufgrund dieser Informationen wird das Security-Modell in der Folge aufgebaut.
2. Das Schutzniveau für jeden Arbeitsschritt im Workflow festlegen
Auf Basis der Klassifikation und der Risikobewertung der Daten muss für jeden Arbeitsschritt im Workload das Schutzniveau und die Schutzklasse festgelegt werden. Wird Verschlüsselung benötigt, und wenn ja wann: während der Übertragung, bei der Speicherung, auf Feldebene? Werden Pseudonymisierung oder Tokens benötigt? Wo sollen die Encryption Keys aufbewahrt werden: on-premise, direkt beim Cloud-Provider oder bei einem separaten Cloud-Provider?
3. Regeln für die Zugriffskontrolle definieren
Um ein hohes Schutzniveau erzielen zu können, dürfen die Daten zu keinem Zeitpunkt im Verlauf eines Geschäftsprozesses ungeschützt zugängig sein. Zudem muss sichergestellt sein, dass Kopien gespeicherter oder archivierter Daten während der Verarbeitung ebenso geschützt sind wie die Originale und dass diese Kopien, wenn sie nicht mehr benötigt werden, gelöscht werden. Abhängig von Rollen im Unternehmen werden Zugriffsberechtigungen vergeben und deren Einhaltung überwacht, so dass keine Unbefugten Daten lesen, kopieren, ändern oder löschen können.
4. Alle Datenzugriffe in Log-Files aufzeichnen
Unternehmen müssen Regeln zur Vergabe von Zugriffsberechtigungen mit einem umfassenden Log-Management verknüpfen. Zugriffsprotokolle erfassen und speichern alle Datenaktivitäten. Diese Aufzeichnungen und die Auswertung aller Datenzugriffe sowie anderer sicherheitsrelevanter Ereignisse sind Voraussetzung für ein lückenloses IT-Sicherheits-Monitoring. Die Analyse der Log-Files ermöglicht einerseits außergewöhnliche Ereignisse zu erkennen und deren Ursachen zu ermitteln, und sie unterstützt Unternehmen andererseits bei der Nachvollziehbarkeit aller Aktivitäten bei Security-Audits.
5. Lebenszyklus der Daten beachten
Die Aufbewahrungspflicht von Daten ist in der Finanzdienstleistungs-, Medizintechnik-, chemisch-pharmazeutischen und anderen Branchen im Detail reglementiert. Der Schutz personenbezogener Daten über deren gesamten Lebenszyklus ist in der DSGVO geregelt - egal, ob sich die Daten im eigenen Rechenzentrum oder in der Cloud befinden. Für Unternehmen bedeutet das: Sie müssen dauerhaft die vollständige Kontrolle über personenbezogene Daten behalten, von der Erfassung über die Verarbeitung bis zur Archivierung. Das gilt für Individual- und Standard-Applikationen, egal, ob sie sich on-premise oder in der Cloud befinden.
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Cloud-PBX
Ecotel erweitert cloud.phone-Lösung um MS Teams-Integration
Die Telefonanlage aus der Cloud von Ecotel - ein OEM-Produkt von Communi5 - cloud.phone, ist ab sofort auch mit Microsoft-Teams-Integration verfügbar.
>>
Personalien
Komsa stellt sich im Solution-Segment neu auf
Der Distributor richtet sein UC- und Cloud-Business neu aus und stellt mit Christof Legat einen neuen Vice President UC-Solutions vor, Friedrich Wahnschaffe ist als Vice President für das MS-Cloud-Geschäft von Komsa in Deutschland verantwortlich.
>>