- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Schlüssel regelmäßig austauschen


Unternehmen sollten Daten in der Cloud lieber selbst verschlüsseln
Wie Unternehmen ihre Daten in der Cloud noch besser vor dem Zugriff Dritter schützen können

- Anzeigen -





Der Streit zwischen FBI und Apple um die Entschlüsselung des iPhones eines Terroristen Anfang 2016 brachte das Thema Datenschutz wieder einmal in die Schlagzeilen. Hinsichtlich Cyber-Sicherheit geraten IT-Anbieter regelmäßig mit amerikanischen Behörden aneinander. Cloud-Provider wie Oracle, Amazon, Google und Salesforce bieten Kunden deshalb an, ihre eigene Verschlüsselung zu verwenden. Ein Novum: Bis dato haben die Anbieter die Daten noch immer selbst verschlüsselt.

Daniel Wolf, Regional Director DACH bei Skyhigh Networks, erklärt, warum Unternehmen davon unbedingt Gebrauch machen sollten.

1. Staatlichen Zugriff beschränken
Unternehmen, die ihre Daten in der Cloud selbst verschlüsseln, behalten vollständige Kontrolle. Denn in manchen Gerichtsverfahren nach US-Recht fordern Gerichte die Herausgabe aller Daten eines Service-Providers an, ohne die eigentlichen Besitzer der Daten zu informieren ("Blind Subpoena"). Google beispielsweise gibt an, im ersten Halbjahr 2016 fast 45.000 solcher Anfragen zu 76.000 Konten bekommen zu haben, und Twitter berichtet von einem Anstieg um 40 Prozent im Vergleich zum vorangegangenen Jahr. Wenn die Cloud-Anbieter die Daten verschlüsseln und auch wieder entschlüsseln, können sie die Informationen ohne weiteres herausgeben. Verwalten Unternehmen die Schlüssel zu ihren Daten jedoch selbst, müssen staatliche Strafverfolgungsbehörden direkt bei ihnen anfragen.

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

2. Schlüssel regelmäßig austauschen
Firmen, die selbst verschlüsseln, verbessern zudem die Compliance. Dazu eignen sich interne Richtlinien, nach denen die Schlüssel regelmäßig erneuert werden. Dadurch sind die Daten auch geschützt, sollte ein Schlüssel verloren gehen oder kompromittiert werden - beispielsweise wenn ein Mitarbeiter, der Zugang zum Master-Schlüssel hat, das Unternehmen im Zorn verlässt.

3. Sich vor schwarzen Schafen schützen
Wenn Cloud-Provider Daten ihrer Anwender verschlüsseln, können die Provider-Administratoren unbefugt darauf zugreifen. Verwenden Unternehmen dagegen ihre eigenen Schlüssel, sehen kriminelle Mitarbeiter von Cloud-Providern nur verschlüsselte Daten. Die Kryptographie ist mittlerweile so weit, dass eigene Verschlüsselung Funktionen wie Suchen und Sortieren nicht mehr einschränkt. Dadurch bleibt die Funktionalität von Salesforce, Box und Amazon selbst mit verschlüsselten Daten bestehen.

4. Vertraulichkeit von Kundendaten sicherstellen
Rechtsanwälte und Beratungsunternehmen sind an strikte Vertraulichkeitsvereinbarungen mit ihren Kunden gebunden. Daher sind sie oft unentschlossen, ob sie in die Cloud gehen sollen, weil sie die Daten ihrer Kunden damit möglicherweise dem Zugriff Dritter aussetzen würden. Verschlüsseln sie ihre Daten aber selbst, können sie den Zugriff einschränken. Damit halten sie ihre Vertraulichkeitsvereinbarungen ein und profitieren von den Vorteilen der Cloud.

5. Datenschutzrichtlinien befolgen
Viele Gesetze und Richtlinien legen fest, dass Unternehmen angemessene Schutzmaßnahmen für personenbezogene Daten ergreifen müssen. Die neue EU-Datenschutz-Grundverordnung empfiehlt ausdrücklich, dafür Verschlüsselung einzusetzen. Darüber hinaus: Falls dennoch verschlüsselte Daten nach außen dringen, sei dies laut der Verordnung nicht meldepflichtig, weil Dritte nicht auf die Informationen zugreifen können.

Unterstützung bekommen Unternehmen von Cloud Access Security Brokern (CASBs), erklärt Daniel Wolf, Regional Director DACH bei Skyhigh Networks: "CASBs verschlüsseln Daten vor dem Upload in die Cloud. Der Schlüssel bleibt im Unternehmen. Zudem sichern CASBs Cloud-Dienste zusätzlich ab: Sie können beispielsweise Bedrohungen von innen aufdecken, kompromittierte Konten anzeigen, den Zugang zu gefährlichen Cloud-Diensten blockieren und Daten durch Zugriffskontrollen schützen."
(Skyhigh Networks: ra)

eingetragen: 23.01.17
Home & Newsletterlauf: 14.02.17


Skyhigh Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Detektion bislang unbekannter Verhaltensmuster

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Ende Februar veröffentlichten Whitepaper "Monitoring und Anomalieerkennung in Produktionsnetzwerken" die Nutzung einer Anomalieerkennung in industriellen Steuerungsnetzen außerordentlich empfohlen. Rhebo hat an dem Whitepaper maßgeblich Inhalte beigesteuert. Unter anderem waren Ergebnisse aus Industrie 4.0 Stabilitäts- und Sicherheitsaudits und Langzeitmonitoring-Projekten Grundlage für die Definition der Anforderungen an die Systeme.

  • Trojaner Emotet gefährlicher denn je

    Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im Gegenteil: "Die Risiken, die durch den Trojaner entstehen können, werden immer größer und Emotet gilt schon jetzt als eines der gefährlichsten Schadprogramme der Welt", warnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group nachdrücklich. Erstmal trat Emotet im Dezember letzten Jahres auf den Plan. Nachdem der Trojaner eine kleine Weihnachtspause eingelegt hat, finden sich jetzt wieder massenhaft Spam-E-Mails mit dem Schädling anbei in zahlreichen Postfächern. Hinzu kommt: Virenscanner erkennen den Trojaner oft noch nicht.

  • Angriffe auf Produktionsanlagen

    Im Produktionsumfeld kommen noch immer technische Komponenten und Bauteile zum Einsatz, die über keinen oder bestenfalls einen unzureichenden Schutz vor Cyber-Angriffen verfügen. Mit Best Practices von NTT Security können Unternehmen zentrale Sicherheitsanforderungen wie Schwachstellen- und Patch-Management oder Incident-Handling-Management umsetzen und ihre Maschinen und Anlagen wirksam schützen. In vielen Fällen sind Industrieanlagen ein leichtes Ziel für Hacker. Das Schwachstellen-Management ist in diesem Umfeld bislang weitgehend unbekannt, vor allem aber fehlt auch das Sicherheitsbewusstsein. Unternehmen begeben sich daher in die größte Gefahr, Opfer von Cyber-Attacken zu werden, denen sie schutzlos ausgeliefert sind. Angreifer nutzen diesen Bewusstseinsmangel gezielt aus, wie der Global Threat Intelligence Report 2018 von NTT Security ergeben hat: In Deutschland entfielen 36 Prozent aller Cyber-Attacken auf die Fertigungsindustrie. Das sind, im Vergleich, deutlich mehr Angriffe als auf andere Branchen - ein starkes Indiz dafür, dass ein Großteil auf Produktionsanlagen zielte.

  • Data Warehouse erfolgreich automatisieren

    Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit der Daten entstehen, ausgewertet und weiterverarbeitet werden sowie die Fehlerfreiheit von Daten zu managen. In Zeiten, in denen Daten für Unternehmen immer wertvoller werden, hat sich mittlerweile ein fünftes "V" zum bestehenden Quartett dazugesellt: V für Value beschreibt den Wert der Daten für das Unternehmen.

  • Fernüberwachung von kritischen IT-Infrastrukturen

    Können aufgrund eines Netzwerkausfalls Mitarbeiter nicht mehr auf ihre Arbeitsumgebung zugreifen oder werden ganze Produktionsabläufe oder Auslieferungsprozesse gestört, kann es teuer werden: 4.900 Euro pro Minute kostet Downtime ein Unternehmen durchschnittlich laut Gartner. Bezieht man unterschiedliche Unternehmensbranchen mit ein, reichen die Downtime-Kosten von 120.000 Euro bis zu 475.000 Euro pro Stunde. Grund für die hohen Ausfallzeitkosten ist die immer umfangreichere Digitalisierung verschiedenster Unternehmensprozesse. Überall laufen mehr und mehr kritische Daten über Netzwerke. So wird der Zugriff beispielsweise auf Anwendungen und Daten aus der Cloud in vielen Unternehmen mittlerweile häufig unabdingbar, um reibungslose Geschäftsabläufe zu gewährleisten. Das Absichern einer robusten Connectivity ist auch für den IoT-Bereich geschäftskritisch.