Ich freue mich sehr, diesen Gastartikel von Kerstin Rachfahl (Geschäftsführerin der Rachfahl lT-Solutions GmbH & Co.KG) auf meinem Blog veröffentlichen zu dürfen!
Sicherheit ist ein zentraler Aspekt, wenn es um die Cloud-Lösungen geht. Ich habe mich von Anfang an mit dem Thema intensive auseinandergesetzt und fand es immer spannend der öffentlichen Auseinandersetzung zu verfolgen.
Bei allem, was ein Cloudprovider in seinem Service anbieten kann, das Vertrauen des Kunden in den Anbieter, bleibt die Kernkomponente von jeder Überlegung, diesen Dienst zu nutzen. Der Serviceanbieter kann noch so sehr die technischen Möglichkeiten herausarbeiten, auf die Funktionen hinweisen, die Kosteneinsparungen, der Kunde braucht die Gewissheit, dass seine Daten in der Cloud sicher aufbewahrt sind. Am Ende trägt er, als Unternehmer die Verantwortung für die Informationen, die sein Unternehmen verlassen.
Neben meinem Job als Technical Consultant für die Public Cloud Lösungen von Microsoft, habe ich einen zweiten Beruf. Ich schreibe Romane und veröffentliche diese bei Amazon als eBooks. Insgesamt sind es inzwischen fünf Stück. Ein Pferderoman, ein zweiteiliger Thriller und zwei Bände einer Fantasy-Reihe. Zur Zeit schreibe ich an meinem sechsten Buch, ein Thriller und diesmal steht eine IT-Sicherheitsexpertin im Mittelpunkt. So konnte ich in den letzten Monaten meine Recherche für das Buch, mit meinem normalen Beruf verbinden und bin dabei auf neue interessante Aspekte gestolpert. Einfach, weil ich den Sachverhalt aus einer neuen Perspektive betrachte.
In diesem Blogpost möchte ich Ihnen meine persönlichen 5 Favoriten darstellen, wenn es um das Thema Sicherheit in der Cloud geht. Und obwohl es Lösungen sind, die aus dem Cloud-Umfeld stammen, können Sie diese genauso gut in einer On-Premise Lösung einsetzen.
1. Just enough Administration (JEA)
Warum müssen Administratoren, wenn sie an einem System arbeiten, die vollen Administrationsrechte für den Server erhalten? Nehmen wir mal an, es gibt einen Supporter, der für die Problemlösungen an dem SQL-Server verantwortlich ist. Braucht er in diesem Fall auch für das Betriebssystem und alle anderen Rollen, die der Server abdeckt, Administrationsrechte? Nein. Gestolpert bin ich über das Thema, weil wir für einen Teil unserer Office 365 Kunden, die Administration des Exchange Servers übernehmen. Mit dem vom Kunden erteilten Recht »Admin on Behalf« können wir zwar die Einstellungen serverseitig vornehmen, doch wir haben keinen Zugriff auf die Inhalte eines Postfaches.
Mit JEA können auch zeitlich begrenzt Rechte vergeben werden. So muss ein Mitarbeiter für den Server ein Sicherheitsupdate einspielen. Er beantragt die Administrationsrechte für diesen Server, gibt das Zeitfenster an und danach sind seine Zugangsdaten sowie seine Rechte abgelaufen. Ich finde das ein geniales Konzept.
2. Data Loss Preventation – DLP
Im Grund genommen muss jede E-Mail, die das Unternehmen verlässt, überprüft auf Daten überprüft werden, die einem besonderem Schutz unterliegen. Oft gibt es betriebsrechtliche Vereinbarungen mit den Mitarbeitern, um all den rechtlichen Anforderungen gerecht zu werden. Mit DLP ist es möglich, Regeln aufzustellen, die dem Mitarbeiter bewusst machen, dass er gerade im Begriff ist, Daten vom Unternehmen herauszugeben, die diesem Schutz unterliegen. Genauso können Regeln aufgestellt werden, dass Daten die an bestimmte Adressen gehen, grundsätzlich verschlüsselt oder von dem Vorgesetzten genehmigt werden müssen. Erst danach verlassen sie das Unternehmen. Ich finde solche »technischen« Unterstützungsmaßnahmen helfen Mitarbeitern, bewusst mit Informationen umzugehen.
3. E-Mail Encryption
»Das ist doch alter Kaffee«, denken vielleicht viele bei diesem Punkt. Ja ist es und dennoch finde ich es selten in der praktischen Anwendung. Warum? Ich denken je einfacher es für den Benutzer ist eine E-Mail zu verschlüsseln und dabei sicher zu sein, dass der Empfänger für den es bestimmt ist, diese auch Lesen kann, desto mehr wird die Verschlüsselung von E-Mails zu einem normalen Standard. Dahin sollten wir kommen. Es gibt spannende Entwicklungen in dieser Richtung und deshalb lohnt sich ein frischer Blick darauf und ich behalte es weiterhin im Fokus. Witzig ist, dass ich vor kurzem ein Buch von Martin Kuppinger angefangen habe zu lesen »Internet- und Intranet-Sicherheit« erschienen 1998!! – Basis Windows NT, wo ich dachte, unglaublich und wir reden immer noch über dieselben Themen.
- Encryption in Microsoft Office 365 (leider von der TechEd North America – da passiert gerade ganz viel Neues)
- Encryption in Office 365
4. Encryption on Rest
Was nutzt es, wenn die Daten verschlüsselt per E-Mail versendet werden, aber dann auf dem Fileserver oder dem E-Mail Client unverschlüsselt liegen? So einfach es sein soll für die Mitarbeiter verschlüsselte Informationen zu versenden, genauso leicht sollte es sein diese Daten auch verschlüsselt abzulegen und aufzubewahren. Im Idealfall merkt der Mitarbeiter, der die Rechte hat, überhaupt nichts von der Verschlüsselung. Er kann völlig normal arbeiten. Erst in dem Moment, wo ein Unbefugter versucht auf die Dateien oder Informationen zu zugreifen, beißt er sich die Zähne aus. Sicherheit sollte einfach sein und sich ohne Aufwand in den Arbeitsablauf integrieren. Auch hier empfinde ich, dass wir zwar schon gute Ansätze haben, aber was die Benutzerfreundlichkeit betrifft, wir noch Nachholbedarf haben. Gleiche Links für zur E-Mail Encryption.
5. Bring your own Key
Bei vielen Kunden kommt die Sicherheitsdiskussion erst so richtig intensiv auf, wenn sie überlegen, einen Cloud-Service zu benutzen. Und wie stellen sie sicher, dass niemand in ihrer Infrastruktur schlüpft? Das Microsoft Azure Team hat einen ganz simplen ersten Ansatz. Überhaupt nicht! Sie gehen davon aus, dass es immer einen gibt, der es schafft, in das System einzudringen. Weshalb sie neben den Maßnahmen einen Einbruch in das System zu verhindern, nach Konzepten suchen, die einzelnen Komponenten der Infrastruktur zu isolieren. So dass wenn ein System fällt, dass andere sicher bleibt. Auf diese Weise ist auch das Konzept von »Just enough Administration« entstanden.
Ein weiterer rechtlich wichtiger Schritt für Microsoft ist es, die Verschlüsselung der Daten, die bei Ihnen auf den Systemen lagern, an die Kunden abzugeben. Die Möglichkeit seinen eigenen Schlüssel mitzubringen oder das Management der Verschlüsselung weiterhin im eigenen Haus auf einer Hardware zu lagern, passt perfekt. Wenn dann das amerikanische Gericht an Microsoft herantritt und die Herausgabe der Daten eines Kunden verlangt, kann Microsoft einfach sagen. »Geht nicht, denn wir kommen gar nicht unverschlüsselt an die Daten dran.«
- Use Microsoft Rights Management Service (Azure RMS) on YOUR Terms
- Planning and Implementing your Azure Rights Management (RMS) Tenant Key
- Assessing the Top 5 Cloud Security Threats with Mark Russinovich
Vom 09.-10.01.2015 finden die Office 365 Konferenz der Office 365 DACH (Deutschland, Österreich, Scheiz) MVPs in Köln statt. Einfach vorbeischauen, es lohnt sich: Office 365 Konferenz.