Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Strommasten und Netzwerk

Der Schutz kritischer Infrastrukturen (KRITIS) verlangt nach effektiven und sicheren Cloud-Lösungen aus Europa. Dieser Beitrag beschreibt, warum Cloud-Lösungen aus den USA nicht DSGVO-konform sind und stellt Mechanismen zur Sicherheitshärtung bestehender Cloud-Lösungen vor.

Die Geschäftswelt ist in der Cloud: Einer aktuellen Bitkom-Studie zufolge sichern fast drei Viertel aller befragten Unternehmen ihre Daten bei einem Cloud-Dienst, über 50 Prozent verwenden oder diskutieren den Einsatz einer Public-Cloud. Die Vorteile liegen auf der Hand: IT-Ressourcen lassen sich individuell skalieren, die Daten sind quasi jederzeit und überall abrufbar und die Kosten für Hardware, Administration und Instandhaltung sinken. Doch wie sieht es mit dem Schutz hochsensibler Daten aus? Mehr als ein Viertel der befragten Nutzer einer öffentlichen Cloud-Lösung gaben Sicherheitsvorfälle in den vergangenen zwölf Monaten an, ein weiteres Viertel der Studienteilnehmer hat solche zumindest vermutet.

US CLOUD Act vs. DSGVO

Institutionen bestimmter Geschäftsfelder stehen aufgrund gesetzlicher und interner Regelungen oft vor einem schwierigen Rätsel. Dazu zählen etwa Betreiber kritischer Infrastrukturen, kurz KRITIS, aus den Bereichen der Gesundheitsversorgung, Energie- und Ernährungswirtschaft sowie Verwaltung und Regierung. Ihre sensiblen Daten sind wegen ihres erhöhten Schadenpotenzials für Angreifer von außen besonders lukrativ. Die Nutzung öffentlicher Cloud-Lösungen ist deshalb problematisch, US-Dienste wie AWS von Amazon, Google Cloud Platform und Microsoft Azure für viele keine Alternative. Gründe dafür sind die intransparente Kommunikation der verwendeten Sicherheitsarchitekturen und -kontrollen sowie der 2018 im US-Senat verabschiedete „CLOUD Act“. Der gestattet es US-Ermittlungsbehörden, bei berechtigtem Interesse auf die innerhalb der Cloud verarbeiteten Daten zuzugreifen, selbst wenn sie außerhalb der USA gespeichert sind. Gleichzeitig besteht Unsicherheit seitens der Nutzer, da keine unabhängige DSGVO-Zertifizierung die 100-prozentige Konformität der Dienste mit der EU-Datenschutzgrundverordnung garantiert. Aufgrund dessen wurde hessischen Schulen erst kürzlich die Nutzung von Microsoft Office 365 verboten, um die personenbezogenen Daten der Kinder und Jugendlichen vor den US-Behörden zu schützen. Geeignete Cloud-Infrastrukturen mit effektiven Schutzmaßnahmen und DSGVO-Konformität sind bislang rar gesät. Gleichzeitig lässt die politische Unterstützung europäischer Cloud-Computing-Projekte zu wünschen übrig, was Investitionen in dem Bereich hemmt.

SecuStack: Tools für eine sicherheitsgehärtete KRITIS-Cloud

Um bestehende und zukünftige Cloud-Infrastrukturen für KRITIS-Bereiche aufzuwerten, haben die secunet Security Networks AG, die im Bereich der IT-Sicherheit für Behörden, DAX-Konzerne, Krankenhäuser und Finanzanbieter in Deutschland tätig ist, und die Cloud&Heat Technologies GmbH, Anbieter sicherer und energieeffizienter IT-Infrastruktur-Lösungen, passende Funktionen parat: Gemeinsam haben die beiden Unternehmen im Mai 2019 die secustack GmbH ins Leben gerufen. Das gleichnamige Produkt SecuStack profitiert dabei von den Expertisen der beiden Gesellschaften und basiert auf der Open-Source-Software OpenStack. Es bietet Mechanismen zur Sicherheitshärtung von bestehenden Cloud-Lösungen. Dank der zusätzlichen Maßnahmen genügen die Cloud-Infrastrukturen dann den höchsten Sicherheitsstandards der KRITIS-Betreiber – von der Datenübertragung über die Speicherung bis hin zur Verarbeitung und Vernetzung.

Mehr Sicherheit dank Dreifach-Absicherung

Mit SecuStack lässt sich für jeden Kunden ein sicherer VPN-Zugang innerhalb der Cloud anlegen. Diese zielbewusste Verteilung der Zugangsberechtigung ermöglicht die Absicherung der Daten während der Übertragung. Neben der vollautomatischen OpenStack-Schlüsselverwaltung gibt es zwei weitere Funktionen, mit denen man sich vor unerlaubten Zugriffen von außen schützen kann: Zum einen werden die kryptographischen Schlüssel, statt wie üblich beim Betreiber, beim Nutzer selbst hinterlegt. Das bietet dem Nutzer mehr Kontrolle. Des Weiteren herrscht eine strikte kryptographische Mandantentrennung vor. Dabei werden Netzwerkpakete oder Daten je nach Mandanten verschlüsselt, sobald sie die Cloud verlassen. Durch die Implementierung der oben genannten Mechanismen erfüllt SecuStack die hohen Sicherheitsanforderungen für kritische Infrastrukturen.

Fazit: Der Weg in die Cloud ist auch für KRITIS-Betreiber möglich

Für Betreiber kritischer Infrastrukturen erweist sich der Schritt Richtung Cloud dank der Tools und Funktionen zur Sicherheitshärtung als sinnvoll. Von Standardlösungen aus der Box sollten KRITIS-Unternehmen aber Abstand nehmen: Erst speziell auf den Geschäftsbereich zugeschnittene Lösungen ermöglichen die Ausschöpfung aller Vorteile des Cloud-Computings. Auf diese Weise können sich die Unternehmen einen gewissen Vorsprung im Wettbewerb verschaffen und sich zukunftssicher aufstellen.

Franziska Büttner, Marketing Managerin
Franziska Büttner
Marketing Managerin, Cloud&Heat Technologies GmbH
Wolken, Vogelschwarm in Pfeilformation
Aug 06, 2019

Erfolgreiches Manövrieren bei Hybrid-Cloud-Problemen

Die Fähigkeit Workloads einfach zwischen On-Prem und Public Cloud zu migrieren, soll der…
Tb W90 H64 Crop Int 2499700c521ab9a16232d9b92304bf96
Jul 16, 2019

Drei Stolpersteine in der Multi Cloud

Multi-Cloud-Infrastrukturen haben einen großen Vorteil: Sie erlauben es dem Nutzer,…
Industrie 4.0
Apr 04, 2019

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
GRID LIST
Pishing

Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn:…
Tb W190 H80 Crop Int 9b015b24c2811e65f1a8f3a34499a66b

Schwachstellen kennen ist nur die halbe Miete

Zumindest nach außen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer…
Tb W190 H80 Crop Int 391a76a85a3fec197190e2d4a9ad5432

Neue NIST-Richtlinien zur Zero-Trust-Architektur

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology…
Psychologie Kopf

Psychologie trifft IT-Sicherheit

Psychologische Erkenntnisse aus den Kognitionswissenschaften lassen sich auf den…
Budgethilfe

Kostenfreies Tool für IT-Security Budget-Check

Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68…
Marriott Hotel

Ein Jahr nach dem Marriott-Breach

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus…