Thought Leadership
Schweizer Cloud Service Provider sichert Login mit SecurAccess und bietet seinen Kunden damit Schutz vor Identitäts- und Datendiebstahl mit einer modernen Zwei-Faktor-Authentifizierungstechnologie.
Cloud Computing ist in Europa nur teilweise erfolgreich. Zu unterschiedlich sind die nationalen Datenschutzbestimmungen und gesetzlichen Regelungen. Die Datenskandale des abgelaufenen Jahres bestätigen die vorherrschende Skepsis vor zu unsorgfältigem Umgang mit dem Thema Datenschutz. Genau hier wollten Vito Critti und Sascha Carroccio ansetzen und haben aus diesem Grund die swiss cloud computing ag mit Hauptsitz in Cham im Kanton Zug gegründet. Das Unternehmen verfolgt das Ziel, die positiven Eigenschaften des Cloud Computing mit den hohen Sicherheitsstandards Europas zu verbinden.
Komplette IT-Infrastruktur aus der Cloud
Das Schweizer Unternehmen bietet mit seinen Mitarbeitern Lösungen in den Bereichen SaaS (Software-), IaaS (Infrastruktur-), DaaS (Desktop as a Service) und Cloud Backup mit Rechenzentren in Zürich und Genf an. Kleine und mittelständische Unternehmen aus der Schweiz und letztlich ganz Europa können hier ihre Daten und Anwendungen virtuell ablegen sowie jederzeit flexibel und mobil aufrufen. Bereits kurz nach dem Start konnte der Anbieter viele grosse Kunden gewinnen und hat seine Kapazitäten so eingerichtet, dass auch überregional ein deutliches Wachstum angestrebt wird. Das Business-Modell sieht vor, Kunden zwischen einem Anwendungs- und einem Arbeitsplatzmodell wählen zu lassen. Von Office über Grafik bis hin zu vollständigen Windows-Servern oder SQL-Datenbanken – Kunden des Schweizer Cloud Service-Anbieters beziehen die IT aus der Cloud und bezahlen nur, was sie nutzen.
Cybercrime 2.0 benötigt sicheres Cloud Computing 2.0
Der Hype um Cloud Computing leidet derzeit nicht nur unter der Spionageaffäre, sondern auch unter zunehmendem Cybercrime, ausgelöst durch immer bessere Malware. Werkzeuge, die sich einer steigenden Beliebtheit erfreuen, sind so genannte Man-in-the-Middle-Angriffe, Keylogger, Phishing, Spear-Phishing E-Mails oder gar Sniffing. Vor allem der Diebstahl von Identitäten floriert im Netz. Wenn Unternehmen die Cloud Services nutzen wollen und Mitarbeiter auf diese Dienste von ungesicherten WLAN-Netzwerken zugreifen, dann besteht die Gefahr, dass sich Hacker dazwischen schalten und die Zugangsdaten kopieren. Sie können sich dann zeitgleich einloggen und die dort hochgeladenen Daten stehlen oder manipulieren. Im Glauben an erhöhte Sicherheit galt bzw. gilt nach wie vor die Devise, Passwörter müssen möglichst lang sein, aus Buchstaben, Zahlen und Sonderzeichen zusammengesetzt sein und nicht den letzten fünf entsprechen. Dies führt jedoch noch stärker dazu, dass Passwörter auf Notizzettel geschrieben werden und damit frei zugänglich sind. Hier bietet der zweite Faktor eine Alternative.
Hohe Anforderungen an Sicherheit und Flexibilität für den Fernzugriff
Von Anfang an suchte Sascha Carroccio, CTO und Mitbegründer der swiss cloud computing ag, deshalb nach einer Sicherheitslösung für den sicheren Login, die den Anforderungen und der Philosophie des Schweizer Cloud Service Provider entsprach. Vito Critti, CEO und ebenfalls Mitbegründer der swiss cloud computing ag, fasst die Ausgangslage zusammen: „Wir wollten unseren Kunden zwei Zugänge ermöglichen; einen Standardzugang mittels Passwort und ein erweitertes Anmeldeverfahren mit einem zusätzlichen SMS-basierten Passcode für den Zugang mit höchster Sicherheit.“ Der hochsichere Login war von Anfang an ein wichtiges Thema. Viele der Unternehmen, die die Services der Chamer nutzen, dürfen nur Daten in die Cloud auslagern, wenn der Anbieter strenge Compliance-Richtlinien erfüllt. Dazu kommen bei vielen Banken und Versicherungen noch Anforderungen von der Eidgenössischen Finanzmarktaufsicht (FINMA) und zusätzliche bezüglich der Business Continuity. Deshalb haben die beiden hier eine Lösung gesucht, die aktuelle Sicherheitsstandards erfüllt, zukunftstauglich ist und darüber hinaus alle wichtigen Datenschutzregelungen nicht nur in der Schweiz, sondern in Europa erfüllt. Um die hohe Sicherheit beim Login in die Cloud zu gewährleisten, war schnell klar, dass eine Zwei-Faktor-Authentifizierung mit SMS die gesuchte Lösung sein sollte. Allerdings gab es aufgrund dieser speziellen Anforderungen nur wenige Anbieter im Markt, die diese erfüllen konnten.
Pilotphase beseitigt letzte Zweifel
„Als Service Provider im Cloud-Umfeld haben wir lange nach einer flexiblen und zukunftsfähigen Lösung für den hochsicheren Login gesucht“, führt Sascha Carroccio, CTO swiss cloud computing ag, aus. Weitere Kriterien waren eine geräte- und eine serverseitige SIM-Kartenunabhängigkeit. Anlässlich der World Hosting Days 2013 im Europapark in Rust traf er mit Erich Kronfuss, Niederlassungsleiter Österreich der ProSoft Software Vertriebs GmbH, zusammen, um über die Möglichkeiten der tokenlosen Zwei-Faktor-Authentifizierungslösung SecurAccess von SecurEnvoy zu sprechen. Die Identitätsmanagement-Software machte von Beginn an einen guten Eindruck. Nach intensiven Gesprächen mit Herrn Kronfuss und einer erfolgreichen Pilotphase entschieden sich die Schweizer für SecurAccess. Die Lösung bietet gleich mehrere Übertragungsmedien für den sechsstelligen Passcode, beispielsweise SMS, SoftToken-App oder E-Mail. Daneben war dem CTO wichtig, dass während dieses gesamten Zeitraums ProSoft mit gutem Service und Support bereit stand, beispielsweise bei der Integration des SMS-Gateways.
„Aufgrund unserer Erfahrungen war von vornherein klar, dass für uns nur eine Übertragung per SMS in Frage kommt, denn sie ist die bequemste und vertrauteste Art der Kommunikation. Unsere Kunden nehmen unsere Services in Anspruch, weil wir ihrem Wunsch nach Flexibilität und Mobilität entsprechen. Die Anschaffung zusätzlicher, teurer Hardware zur Generierung der Passwörter kam daher gar nicht erst in Frage. Die Zwei-Faktor-Authentifizierung mit SMS ist skalierbar, verfügt über ein kompetitives Preismodell, sorgt für Business Continuity und passt perfekt zu unserem Credo Qualität, Transparenz und Sicherheit“, erklärt Sascha Carroccio.
Das Beste aus Cloud und BYOD ergibt ein sicheres Identitätsmanagement
Neben der einfachen und schnellen Installation überzeugte die Zwei-Faktor-Authentifizierungslösung, weil sie im Zusammenspiel mit allen Geräten und eben auch allen SIM-Karten funktioniert. Für die swiss cloud computing ag war das der Wendepunkt und gab den Ausschlag, die ersten Lizenzen anzuschaffen und im September mit dem Rollout zu starten. Die Authentifizierungsmethode funktioniert dabei folgendermassen: Unternehmen, die den hochsicheren Zugang nutzen, bekommen ein sogenanntes One-Time-Password (OTP) per SMS auf ihre internetfähigen Handys oder Smartphones geschickt. Unerheblich ist dabei, bei welchem Anbieter sie ihren Mobilfunkvertrag haben oder von welchem Hersteller das genutzte Gerät gekauft wurde. Mit diesem per AES 256-bit verschlüsselt übertragenen Einmalpasswort melden sich die Mitarbeiter dann auf der Cloud-Plattform an. Die Sicherheit der Lösung besteht darin, dass dieses Passwort nur während einer Session, also einem Login-Vorgang, gültig ist und danach durch ein neues ersetzt werden muss. „Eine Möglichkeit, hier Zeit zu sparen, ist die Vorgenerierung des Passcodes. Allerdings haben wir hier die Erfahrung gemacht, dass nur wenige Kunden das auch wollen, vielen ist das zu umständlich“, berichtet Sascha Carroccio.
Neue Technologien für eine neue Generation
Inzwischen nutzen bereits 15 Unternehmen den hochsicheren Login mit der tokenlosen Zwei-Faktor-Authentifizierung. Sascha Carroccio will deshalb den eingeschlagenen Weg weitergehen: „Wir sind nach den ersten Betriebsmonaten zufrieden, und auch unsere Kunden bestätigen uns diesen positiven Eindruck, so dass wir bereits in naher Zukunft weitere Lizenzen erwerben werden.“ Des Weiteren könnte es sein, dass die neue Übertragungsmethode One-Swipe von SecurAccess ebenfalls eingeführt wird, wenn die Technologie von den Kunden gewünscht wird. Bei der Authentifizierung wird ein QR Code genutzt, der sogar offline, also ohne Internetverbindung, für einen reibungslosen und sicheren Login sorgt. „Die Zwei-Faktor-Authentifizierungslösung hat uns in puncto Sicherheit und Flexibilität voll überzeugt und unsere Erwartungen von Anfang an erfüllt, so dass wir auch in den kommenden Jahren in diese Technologie investieren werden“, wagt Sascha Carroccio einen Blick in die Zukunft.
Das Beste aus Cloud Computing und BYOD
Die swiss cloud computing ag in Cham sorgt mit ihren Rechenzentren in Zürich und Genf mit SaaS, IaaS, DaaS und Cloud Backup für skalierbare und investitionssichere IT-Infrastrukturen. Schweizer Unternehmen aus der Banken-, Versicherungs- und Pharma-Branche zählen bereits zu den Kunden, deren Mitarbeiter täglich Anwendungen aus der Cloud-Umgebung des Cloud Service Provider nutzen. Für Kunden mit besonderen Sicherheitsanforderungen führte der Anbieter die Zwei-Faktor-Authentifizierungslösung SecurAccess für den sicheren Login ein.
