Anzeige

Strommasten und Netzwerk

Der Schutz kritischer Infrastrukturen (KRITIS) verlangt nach effektiven und sicheren Cloud-Lösungen aus Europa. Dieser Beitrag beschreibt, warum Cloud-Lösungen aus den USA nicht DSGVO-konform sind und stellt Mechanismen zur Sicherheitshärtung bestehender Cloud-Lösungen vor.

Die Geschäftswelt ist in der Cloud: Einer aktuellen Bitkom-Studie zufolge sichern fast drei Viertel aller befragten Unternehmen ihre Daten bei einem Cloud-Dienst, über 50 Prozent verwenden oder diskutieren den Einsatz einer Public-Cloud. Die Vorteile liegen auf der Hand: IT-Ressourcen lassen sich individuell skalieren, die Daten sind quasi jederzeit und überall abrufbar und die Kosten für Hardware, Administration und Instandhaltung sinken. Doch wie sieht es mit dem Schutz hochsensibler Daten aus? Mehr als ein Viertel der befragten Nutzer einer öffentlichen Cloud-Lösung gaben Sicherheitsvorfälle in den vergangenen zwölf Monaten an, ein weiteres Viertel der Studienteilnehmer hat solche zumindest vermutet.

US CLOUD Act vs. DSGVO

Institutionen bestimmter Geschäftsfelder stehen aufgrund gesetzlicher und interner Regelungen oft vor einem schwierigen Rätsel. Dazu zählen etwa Betreiber kritischer Infrastrukturen, kurz KRITIS, aus den Bereichen der Gesundheitsversorgung, Energie- und Ernährungswirtschaft sowie Verwaltung und Regierung. Ihre sensiblen Daten sind wegen ihres erhöhten Schadenpotenzials für Angreifer von außen besonders lukrativ. Die Nutzung öffentlicher Cloud-Lösungen ist deshalb problematisch, US-Dienste wie AWS von Amazon, Google Cloud Platform und Microsoft Azure für viele keine Alternative. Gründe dafür sind die intransparente Kommunikation der verwendeten Sicherheitsarchitekturen und -kontrollen sowie der 2018 im US-Senat verabschiedete „CLOUD Act“. Der gestattet es US-Ermittlungsbehörden, bei berechtigtem Interesse auf die innerhalb der Cloud verarbeiteten Daten zuzugreifen, selbst wenn sie außerhalb der USA gespeichert sind. Gleichzeitig besteht Unsicherheit seitens der Nutzer, da keine unabhängige DSGVO-Zertifizierung die 100-prozentige Konformität der Dienste mit der EU-Datenschutzgrundverordnung garantiert. Aufgrund dessen wurde hessischen Schulen erst kürzlich die Nutzung von Microsoft Office 365 verboten, um die personenbezogenen Daten der Kinder und Jugendlichen vor den US-Behörden zu schützen. Geeignete Cloud-Infrastrukturen mit effektiven Schutzmaßnahmen und DSGVO-Konformität sind bislang rar gesät. Gleichzeitig lässt die politische Unterstützung europäischer Cloud-Computing-Projekte zu wünschen übrig, was Investitionen in dem Bereich hemmt.

SecuStack: Tools für eine sicherheitsgehärtete KRITIS-Cloud

Um bestehende und zukünftige Cloud-Infrastrukturen für KRITIS-Bereiche aufzuwerten, haben die secunet Security Networks AG, die im Bereich der IT-Sicherheit für Behörden, DAX-Konzerne, Krankenhäuser und Finanzanbieter in Deutschland tätig ist, und die Cloud&Heat Technologies GmbH, Anbieter sicherer und energieeffizienter IT-Infrastruktur-Lösungen, passende Funktionen parat: Gemeinsam haben die beiden Unternehmen im Mai 2019 die secustack GmbH ins Leben gerufen. Das gleichnamige Produkt SecuStack profitiert dabei von den Expertisen der beiden Gesellschaften und basiert auf der Open-Source-Software OpenStack. Es bietet Mechanismen zur Sicherheitshärtung von bestehenden Cloud-Lösungen. Dank der zusätzlichen Maßnahmen genügen die Cloud-Infrastrukturen dann den höchsten Sicherheitsstandards der KRITIS-Betreiber – von der Datenübertragung über die Speicherung bis hin zur Verarbeitung und Vernetzung.

Mehr Sicherheit dank Dreifach-Absicherung

Mit SecuStack lässt sich für jeden Kunden ein sicherer VPN-Zugang innerhalb der Cloud anlegen. Diese zielbewusste Verteilung der Zugangsberechtigung ermöglicht die Absicherung der Daten während der Übertragung. Neben der vollautomatischen OpenStack-Schlüsselverwaltung gibt es zwei weitere Funktionen, mit denen man sich vor unerlaubten Zugriffen von außen schützen kann: Zum einen werden die kryptographischen Schlüssel, statt wie üblich beim Betreiber, beim Nutzer selbst hinterlegt. Das bietet dem Nutzer mehr Kontrolle. Des Weiteren herrscht eine strikte kryptographische Mandantentrennung vor. Dabei werden Netzwerkpakete oder Daten je nach Mandanten verschlüsselt, sobald sie die Cloud verlassen. Durch die Implementierung der oben genannten Mechanismen erfüllt SecuStack die hohen Sicherheitsanforderungen für kritische Infrastrukturen.

Fazit: Der Weg in die Cloud ist auch für KRITIS-Betreiber möglich

Für Betreiber kritischer Infrastrukturen erweist sich der Schritt Richtung Cloud dank der Tools und Funktionen zur Sicherheitshärtung als sinnvoll. Von Standardlösungen aus der Box sollten KRITIS-Unternehmen aber Abstand nehmen: Erst speziell auf den Geschäftsbereich zugeschnittene Lösungen ermöglichen die Ausschöpfung aller Vorteile des Cloud-Computings. Auf diese Weise können sich die Unternehmen einen gewissen Vorsprung im Wettbewerb verschaffen und sich zukunftssicher aufstellen.

Franziska Büttner, Marketing Managerin
Franziska Büttner
Marketing Managerin, Cloud&Heat Technologies GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Wolken, Vogelschwarm in Pfeilformation
Aug 06, 2019

Erfolgreiches Manövrieren bei Hybrid-Cloud-Problemen

Die Fähigkeit Workloads einfach zwischen On-Prem und Public Cloud zu migrieren, soll der…
Jul 16, 2019

Drei Stolpersteine in der Multi Cloud

Multi-Cloud-Infrastrukturen haben einen großen Vorteil: Sie erlauben es dem Nutzer,…
Industrie 4.0
Apr 04, 2019

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!