Thomas Hruby
© quelle sysob
Ohne Donnerwetter: Compliance in der Wolke
Cloud Computing im Unternehmen richtig absichern, von Thomas Hruby *)
Cloud Computing hat im vergangenen Jahr an Popularität gewonnen. Zahlreiche Unternehmen haben ihre IT-Umgebung bereits an den Trend angepasst oder überlegen aktuell, Applikationen und Dienste auszulagern. Aus meteorologischer Sicht künden Wolken eher schlechte Wetterverhältnisse an – dies muss für die IT-Perspektive aber nicht gelten. Einem rechtlichen Donnerwetter in puncto Datenschutz können Unternehmen vorbeugen, angefangen bei der Auswahl des richtigen Cloud-Providers. Darüber hinaus stehen Firmen gute Security-Lösungen zur Verfügung, die die Arbeit mit und in der Wolke absichern.
Daten, Applikationen, Dienste oder Storage in die Wolke zu verschieben, ist aus mehreren Gründen attraktiv. Zum einen bietet Cloud Computing den Vorteil, dass große IT-Kapazitäten mittels eines einzigen Providers ausgelagert werden können. Zum anderen sind diese Datenmengen flexibel beweglich, und IT-Strukturen werden damit häufig optimal eingesetzt. Durch den Schritt in die Wolke können Unternehmen Kosten einsparen und effizienter arbeiten. Ebenso wie für physische Speicherelemente gelten für Clouds Datenschutzbestimmungen: die sogenannten Compliances. Sie regeln den Umgang mit den ausgelagerten Informationen. Unter anderem kontrollieren sie die unternehmensinterne Sicherheitspolitik. Denn obwohl die jeweilige Firma ihre Daten in die Obhut des jeweiligen Providers gibt, ist sie stets eigenständig für die Einhaltung der Sicherheitsrichtlinien verantwortlich. So schreibt das Datenschutzgesetz (DSG) vor: "Der Nutzer bleibt auch bei der Nutzung von Cloud Computing im Rahmen der §§ 10 f. DSG für die Rechtmäßigkeit der Datenverarbeitung verantwortlich."[1] Die Sicherheitspolitik betrifft dabei nicht nur die verschobenen Datenmengen an sich, sondern auch die physische Sicherheit in den Gebäuden des Cloud-Anbieters, die Netzwerksicherheit, die Administration, die Datenspeicherung, die Verschlüsselung und anderes mehr.
Gründliche Selektion
Der Schritt, Daten in die Cloud auszulagern, muss wohlüberlegt sein. Überdies ist eine präzise Herangehensweise und Planung auch gesetzlich vorgeschrieben: "Der Auftraggeber (Nutzer) hat den Auftragnehmer (Anbieter) sorgfältig auszuwählen und sich auch vor Beginn der Datenverarbeitung (und sodann regelmäßig) von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Diese müssen eine ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten" (§ 10 Abs. 1 DSG).[2] Für umfassende Beratung vor und während der ersten Betriebsschritte lohnt es sich, einen unabhängigen Spezialisten hinzuzuziehen. Das reduziert das Risiko unnötiger Mehrausgaben, unpassender Cloud-Umgebungen oder unzureichender Erfüllung der Compliance. Denn für manche Branchen gelten besondere Regelungen. Dazu zählen der Finanzdienstleistungssektor (§ 25 WAG: Wertpapieraufsichtsgesetz), der Telekommunikationsbereich (TKG: Telekommunikationsgesetz), Träger von Berufsgeheimnissen (z.B. § 121 StGB: Strafgesetzbuch; Ärzte, Anwälte) oder Anwendungen steuerrelevanter Daten (BAO: Bundesabgabenordnung).[3]
Privat, öffentlich oder eine Mischung aus beidem?
Um den passenden Provider zu finden, sollten Unternehmen vor allem darauf achten, wo ihre Daten physisch gelagert werden. Im besten Falle liegt der Standort innerhalb der EU, da hier die beste Verfügbarkeit gegeben ist. Werden die Daten in Ländern außerhalb der EU aufbewahrt, riskieren Firmen eher Datenverluste oder mangelnde Verfügbarkeit. Hat sich das Unternehmen für einen Anbieter entschieden, müssen sich die Verantwortlichen die Frage stellen, welche Anforderungen die Cloud zu erfüllen hat. Gleichfalls bedeutsam sind die Kosten. Die Wahl zwischen Private (privater), Public (öffentlicher) oder Hybrid (Mischtyp aus privater und öffentlicher) Cloud sollte wohlüberlegt getroffen werden: Eine Public Cloud wird von mehreren Kunden gemeinsam genutzt und ist daher aus finanzieller Sicht günstiger. Jedoch ist hier zu prüfen, ob der Anbieter die geforderten Compliance-Richtlinien jedes beteiligten Unternehmens unterstützt. An dieser Stelle mag die Private Cloud als bessere Alternative erscheinen, da sie als "persönliche" Wolke nur für einen Kunden bzw. Besitzer bereitsteht. Das muss allerdings nicht zwangsläufig bedeuten, dass sie deshalb sicherer ist. Konzepte für die Compliance und ihre Kontrolle müssen auch in der privaten Wolke bestehen.
Eine Mischform aus beiden Modellen bietet die Hybrid Cloud. Sie ermöglicht es, bestimmte Anwendungen, Applikationen etc. in der am besten geeigneten virtuellen Umgebung zu lagern, indem sie die Nutzung von sowohl privaten als auch öffentlichen Diensten ermöglicht. Der Zugriff auf die private Wolke erfolgt über das Intranet oder eine Virtual Private Network(VPN)-Verbindung. Ein möglicher Nachteil der "gemischten Wolke": Theoretisch sollen sich die abgelegten Daten jederzeit zwischen beiden Optionen verschieben lassen. In der Praxis müssen dazu jedoch entsprechend fähige Services vorhanden sein, um den permanenten Wechsel nahtlos gewährleisten zu können. Darüber hinaus verkompliziert sich die Auftragslage zwischen Cloud-Nutzer und -Anbieter durch die komplexe Vermischung aus privaten und öffentlichen Diensten, was auf längere Zeit gesehen zu Komplikationen führen kann.
Korrekter Umgang mit den Daten
Nach der Entscheidung für einen Cloud-Typ bedürfen die Vertragsabschlüsse strenger Aufmerksamkeit, um die geforderten Compliance-Leistungen in Bezug auf die zu speichernden Informationen zu erfüllen. Der Umgang mit den Daten, die in Zukunft ausgelagert werden sollen, muss vom Unternehmen in Zusammenarbeit mit dem Anbieter geklärt und schriftlich festgehalten werden. Besonderes Augenmerk sollten Firmen dabei auf drei wesentliche Punkte richten:
- Werden sensible Daten (also "besonders schutzwürdige Daten") im Sinne des § 4 Z 2 DSG, und wenn ja, in welcher Form, erhoben oder verwendet? Unter diese Definition fallen Daten natürlicher Personen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Sollten derartige Informationen in die Cloud ausgelagert und verwendet werden, bedarf es eines datenschutzrechtlichen Ratgebers.
- Welche Fremdparteien dürfen auf die Daten zugreifen (bspw. Wartungsunternehmen)?
- Dürfen Daten jederzeit seitens des Kunden gelöscht werden? Wie läuft die Löschung ab?[4]
Sind diese Fragen geklärt, rückt die Migration einen Schritt näher. Aber nicht nur der Umgang mit den Daten muss klargestellt werden, sondern auch die technische Absicherung, sowohl der Cloud selbst als auch der Arbeit mit Cloud-basierenden Technologien.
Lösungs-Beispiele:
Sicher surfen auch ohne Drahtverbindung
Auf den Trend, virtualisierte und/oder ausgelagerte Umgebungen zu implementieren, haben die Hersteller zeitnah reagiert. Der Markt bietet aktuell ein breites Angebot an Lösungen für verschiedene Einsatzbereiche. Zahlreiche Produkte speziell für den Security-Bereich halten beispielsweise Distributoren wie die sysob IT-Distribution bereit, die als Integratoren herstellerneutral ihr Know-how bei der Umsetzung zur Verfügung stellen. Auf Cloud-gemanagte Router und Enterprise-Class-Wireless-Netzwerke hat sich beispielsweise der Hersteller Meraki spezialisiert. Via Cloud-Controller konfiguriert und verwaltet der Administrator ein Wi-Fi-Netzwerk mittels einer Web-Oberfläche standortübergreifend. Über das Interface lassen sich tausende Meraki Access Points managen. Dank des Cloud-Controllers ist die Skalierbarkeit unbegrenzt. Das Hochleistungs-Mesh-Routing ermöglicht dabei die vollautomatische Konfiguration eines robusten und hochperformanten Mesh-Netzwerks. Für die sichere Arbeit mit der Wolke sind Meraki Wireless Security und Meraki NAC integriert. Erstere sorgt mit den Lösungen Virtual Guest Isolation, 802.1x RADIUS, VLAN tagging, Policy Firewall, Intrusion Detection und Hosted Directory Server für bestmöglichen Schutz des Unternehmensnetzwerkes. Meraki NAC stellt außerdem sicher, dass sich keine mit Malware verseuchten Devices in das Netzwerk einloggen können und damit eine Gefahr für alle weiteren angebundenen Geräte wären. Security Appliances sorgen für das Plus an Sicherheit. Aktuell hat Meraki sein Portfolio außerdem um cloud-gemanagte Access Switches der Serie MS ergänzt. Diese Lösungen unterstützen die Konfiguration und das Monitoring Tausender Switche über das Internet. Auf diese Weise können beispielsweise Remote Sites ohne On-Site IT-Abteilung betreut sowie netzwerkweite Einstellungsänderungen umgesetzt oder verteilte Netzwerke gemanagt werden.
Ein Experte für Cloud-basierendes Enterprise WLAN ist das Unternehmen Aerohive Networks. Die Besonderheit am Aerohive-Konzept: Die Lösung arbeitet ohne Controller. Stattdessen ist ein zentrales Managementsystem das Herzstück, mit dessen Hilfe das Netzwerk eingerichtet und gemanagt wird. Die einzelnen Access Points namens HiveAPs arbeiten kooperativ, indem sie sich in sogenannten "Hives" (Schwärme/Gruppen) organisieren, die sich als eine Einheit handhaben lassen. Weitere Funktionen sind sicheres und schnelles L2/L3 Roaming, koordiniertes RF-Management, Sicherheit, QoS und Mesh Networking, die in Kombination eine Next-Generation-Wireless-LAN-Architektur ermöglichen.
Alle Features werden direkt am Access Point (AP) realisiert, sodass das Policy Enforcement ebenfalls dort erfolgt. Dadurch ergeben sich Security, Authentifizierung, QOS usw. am Zugriffs-Layer – und somit an der Front statt am Backend bzw. am Controller. Ein weiterer wichtiger Punkt ist die Verfügbarkeit und die Einhaltung der Compliance-Richtlinien in Bezug auf die Management-Konsole. Anders als bei Controller-basierenden Lösungen wird die Aerohive-Konsole nicht für den Betrieb der WLAN-Infrastruktur benötigt. Auf diese Weise bleiben bei Ausfällen oder Nichterreichbarkeit alle Funktionen erhalten, da nur Konfigurations- und Monitoring-Daten auf der Konsole gespeichert sind. Lediglich Management- und Überwachungsfeatures sind bei Störungen nicht verfügbar. Je nach Anforderung und individuellen Compliance Policies ist die Management-Konsole als Subscription über das Aerohive-eigene Rechenzentrum, als gehostete Variante über ein Systemhaus oder für den Betrieb im eigenen Netz ohne Funktionsunterschiede verfügbar.
Kein Platz für Malware
Firewalls für ein sicheres Netzwerk von kleinen, mittleren und großen Unternehmen konzipiert das schwedische Unternehmen Clavister. Spezifisch auf virtuelle VMware-Umgebungen ausgerichtet ist beispielsweise die Virtual Security Gateway(VSG)-Serie. Sie kann somit auch komplette Cloud Computing-Infrastrukturen durch Firewall-Funktionalitäten absichern. Je nach Anforderung sind die VSG-Lösungen als Appliance erhältlich oder können als Bestandteil eines Cloud-Konzeptes dem Kunden direkt zur Verfügung gestellt werden. Basierend auf der Clavister Core-Technologie, bieten die Lösungen höchste Leistung sowie Sicherheit und lassen sich nahtlos in VMware ESX 3i-Server integrieren. Auf diese Weise können Unternehmen den ESX-Server als solchen als auch die Gastsysteme gegeneinander absichern. Zudem ist das gezielte IPSec-Tunneln von Informationen zwischen Gastsystemen möglich, was insbesondere bei Managed Security Service-Providern (MSSP) sowie Rechenzentren von Bedeutung ist.
Für "Malware-freie Wolken" sorgt der sysob-Partner M86 Security. Große und komplexe Firmennetzwerke, die über Außenstellen verfügen und mobilen Remote-Zugriff gewähren, lassen sich mittels des M86 Secure Web Service Hybrid (M86 SWS-H) schützen. Das System verfügt über den M86 Secure Web Gateway, der einen Echtzeitschutz vor digitalen Angriffen bietet. Mittels cloud-basierenden Scanners und aktueller Client-Technologie sichert der SWS-H auch Laptops und Desktop-PCs. Dabei steuert das zuständige IT-Personal das Security-System unkompliziert über ein zentrales Web-Interface. In puncto Compliance sorgt die Lösung ebenfalls vor: Sie verhindert den Zugriff auf möglicherweise gefährdende Websites und stellt zahlreiche Reports sowie Dashboards bereit, die die Compliance-Einhaltung nachweisen. Zudem erlaubt SWS-H die Kontrolle und den Besitz der Daten, die die Aktivitäten im weltweiten Netz zeigen.
Schneller und effizienter mit Traffic Management
Damit die Leistung der Wolke optimal genutzt werden kann und die Performance so hoch wie möglich ist, sollten Unternehmen spezielle Traffic Management-Lösungen für die Identifizierung, Netzwerkverkehrskontrolle und das Servicemanagement implementieren. Hier eignen sich zum Beispiel WAN-Optimierungslösungen von Silver Peak, die auch virtuell auf VM-Ware, Hyper-V, Xen, KDE oder aber auch auf bestimmten Cisco-Routern oder HP-Switchen betrieben werden können. Mit der Appliance können Administratoren den WAN-Netzwerkverkehr in und aus der Cloud regeln. Mittels Filterung, Überwachung, Analyse sowie benutzerindividueller Priorisierung oder Beschleunigung lässt sich die Nutzung vorhandener Kapazitäten spürbar optimieren.
Fazit
Mit der richtigen Vorbereitung ist das Thema Cloud Computing sowohl für den Reseller als auch für das Unternehmen keine undurchsichtige Schlechtwetterwolke, aus der sich bei Verletzung der Compliance-Vorgaben womöglich ein Donnerwetter entlädt. Unverzichtbar sind umfassende Information, empfehlenswert die Rücksprache mit einem unabhängigen Spezialisten, der in puncto Datenschutz über das entsprechende Know-how verfügt. Neben der sicheren und gesetzeskonformen Aufbewahrung der Daten können Firmen ihre Cloud-Umgebung(en) darüber hinaus optimal nutzen, indem sie passende Security- sowie Traffic Management-Lösungen integrieren. In diesem Zusammenhang fungiert die sysob IT-Distribution auch für an Cloud-Lösungen interessierte Reseller als erfahrener Ansprechpartner mit einem in der DACH-Region breit aufgestellten Portfolio an relevanten Lösungen und Services für den Channel.
[1] Entnommen aus: "Leitfaden Cloud Computing: Recht, Datenschutz & Compliance", herausgegeben von EuroCloud Austria (2011), S. 8.
[2] Ebd.
[3] Ebd., S. 17.
[4] Ebd., S. 10.
*) Autor: Thomas Hruby, Geschäftsführer sysob IT-Distribution
(thr)
Druckversion 