Sicherheitsgehärtete KRITIS-Cloud

Sicherheitshärtung von Cloud-Infrastrukturen

Der Schutz kritischer Infrastrukturen (KRITIS) verlangt nach effektiven und sicheren Cloud-Lösungen aus Europa. Dieser Beitrag beschreibt, warum Cloud-Lösungen aus den USA nicht DSGVO-konform sind und stellt Mechanismen zur Sicherheitshärtung bestehender Cloud-Lösungen vor.

Die Geschäftswelt ist in der Cloud: Einer aktuellen Bitkom-Studie zufolge sichern fast drei Viertel aller befragten Unternehmen ihre Daten bei einem Cloud-Dienst, über 50 Prozent verwenden oder diskutieren den Einsatz einer Public-Cloud. Die Vorteile liegen auf der Hand: IT-Ressourcen lassen sich individuell skalieren, die Daten sind quasi jederzeit und überall abrufbar und die Kosten für Hardware, Administration und Instandhaltung sinken. Doch wie sieht es mit dem Schutz hochsensibler Daten aus? Mehr als ein Viertel der befragten Nutzer einer öffentlichen Cloud-Lösung gaben Sicherheitsvorfälle in den vergangenen zwölf Monaten an, ein weiteres Viertel der Studienteilnehmer hat solche zumindest vermutet.

Anzeige

US CLOUD Act vs. DSGVO

Institutionen bestimmter Geschäftsfelder stehen aufgrund gesetzlicher und interner Regelungen oft vor einem schwierigen Rätsel. Dazu zählen etwa Betreiber kritischer Infrastrukturen, kurz KRITIS, aus den Bereichen der Gesundheitsversorgung, Energie- und Ernährungswirtschaft sowie Verwaltung und Regierung. Ihre sensiblen Daten sind wegen ihres erhöhten Schadenpotenzials für Angreifer von außen besonders lukrativ. Die Nutzung öffentlicher Cloud-Lösungen ist deshalb problematisch, US-Dienste wie AWS von Amazon, Google Cloud Platform und Microsoft Azure für viele keine Alternative. Gründe dafür sind die intransparente Kommunikation der verwendeten Sicherheitsarchitekturen und -kontrollen sowie der 2018 im US-Senat verabschiedete „CLOUD Act“. Der gestattet es US-Ermittlungsbehörden, bei berechtigtem Interesse auf die innerhalb der Cloud verarbeiteten Daten zuzugreifen, selbst wenn sie außerhalb der USA gespeichert sind. Gleichzeitig besteht Unsicherheit seitens der Nutzer, da keine unabhängige DSGVO-Zertifizierung die 100-prozentige Konformität der Dienste mit der EU-Datenschutzgrundverordnung garantiert. Aufgrund dessen wurde hessischen Schulen erst kürzlich die Nutzung von Microsoft Office 365 verboten, um die personenbezogenen Daten der Kinder und Jugendlichen vor den US-Behörden zu schützen. Geeignete Cloud-Infrastrukturen mit effektiven Schutzmaßnahmen und DSGVO-Konformität sind bislang rar gesät. Gleichzeitig lässt die politische Unterstützung europäischer Cloud-Computing-Projekte zu wünschen übrig, was Investitionen in dem Bereich hemmt.

SecuStack: Tools für eine sicherheitsgehärtete KRITIS-Cloud

Um bestehende und zukünftige Cloud-Infrastrukturen für KRITIS-Bereiche aufzuwerten, haben die secunet Security Networks AG, die im Bereich der IT-Sicherheit für Behörden, DAX-Konzerne, Krankenhäuser und Finanzanbieter in Deutschland tätig ist, und die Cloud&Heat Technologies GmbH, Anbieter sicherer und energieeffizienter IT-Infrastruktur-Lösungen, passende Funktionen parat: Gemeinsam haben die beiden Unternehmen im Mai 2019 die secustack GmbH ins Leben gerufen. Das gleichnamige Produkt SecuStack profitiert dabei von den Expertisen der beiden Gesellschaften und basiert auf der Open-Source-Software OpenStack. Es bietet Mechanismen zur Sicherheitshärtung von bestehenden Cloud-Lösungen. Dank der zusätzlichen Maßnahmen genügen die Cloud-Infrastrukturen dann den höchsten Sicherheitsstandards der KRITIS-Betreiber – von der Datenübertragung über die Speicherung bis hin zur Verarbeitung und Vernetzung.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mehr Sicherheit dank Dreifach-Absicherung

Mit SecuStack lässt sich für jeden Kunden ein sicherer VPN-Zugang innerhalb der Cloud anlegen. Diese zielbewusste Verteilung der Zugangsberechtigung ermöglicht die Absicherung der Daten während der Übertragung. Neben der vollautomatischen OpenStack-Schlüsselverwaltung gibt es zwei weitere Funktionen, mit denen man sich vor unerlaubten Zugriffen von außen schützen kann: Zum einen werden die kryptographischen Schlüssel, statt wie üblich beim Betreiber, beim Nutzer selbst hinterlegt. Das bietet dem Nutzer mehr Kontrolle. Des Weiteren herrscht eine strikte kryptographische Mandantentrennung vor. Dabei werden Netzwerkpakete oder Daten je nach Mandanten verschlüsselt, sobald sie die Cloud verlassen. Durch die Implementierung der oben genannten Mechanismen erfüllt SecuStack die hohen Sicherheitsanforderungen für kritische Infrastrukturen.

Fazit: Der Weg in die Cloud ist auch für KRITIS-Betreiber möglich

Für Betreiber kritischer Infrastrukturen erweist sich der Schritt Richtung Cloud dank der Tools und Funktionen zur Sicherheitshärtung als sinnvoll. Von Standardlösungen aus der Box sollten KRITIS-Unternehmen aber Abstand nehmen: Erst speziell auf den Geschäftsbereich zugeschnittene Lösungen ermöglichen die Ausschöpfung aller Vorteile des Cloud-Computings. Auf diese Weise können sich die Unternehmen einen gewissen Vorsprung im Wettbewerb verschaffen und sich zukunftssicher aufstellen.

Büttner Franziska

Cloud&Heat Technologies GmbH -

Marketing Managerin

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.