IT-Sicherheit ist unentbehrlich bei der Auslagerung von Daten in die "Cloud"

06.08.2009

Die finanziellen Schäden, die Unternehmen durch Datendiebstähle entstehen, sind nur schwer zu beziffern. Aktuelle Studien sind sich in ihren Einschätzungen allerdings darüber einig, dass Hacker und andere Cyberkriminelle im vergangenen Jahr Firmen um Daten im Wert von mehreren Milliarden US-Dollar erleichtert haben sollen.

Angesichts dieser Zahl ist das Thema Internet-Kriminalität brisanter denn je. Cybercrime ist längst nicht mehr das Feld von so genannten Script-Kiddies oder jugendlichen Cyber-Punks mit Profilneurose.

Der ehemalige Hacker Michael Clace meint zu der neuen Generation von Hackern: "Früher waren unsere Motive vor allem die Überwindung technischer Grenzen und das Machtspiel mit den Autoritäten. Heute stehen finanzielle Interessen klar im Vordergrund."

Unter dem Pseudonym "Mafiaboy" legte Clace als 15-jähriger unter anderem die Seiten von CNN und amazon.com lahm und wurde 2000 zu einer Haftstrafe verurteilt.

Internet-Kriminalität ist heute ein wichtiger Markt des organisierten Verbrechens geworden. In den letzten Jahren hat allerdings die Menge der Daten auf dem Schwarzmarkt zu einem Preisverfall bei den Geschäften mit gestohlenen Daten geführt.

"Entwendete Kreditkarten sind auf dem Schwarzmarkt heute ab 50 Cent das Stück erhältlich und die Kosten für ein Botnet mit Zugang zu 1000 Computern liegen bei 70 US-Dollar für 24 Stunden", weiß Michael Calce. Der Trend geht daher weg von so genannten "Commodity Goods" wie Kreditkartendaten. Das große Geld lässt sich heute vor allem mit dem gezielten Diebstahl streng vertraulicher Unternehmensdaten verdienen.

Neue Internet-basierte Technologien bieten neue Möglichkeiten für Hacker

Neue, internet-basierte Technologien spielen den Cyberkriminellen dabei in die Hände. Sie bieten Hackern viele Möglichkeiten, um in Unternehmensnetzwerke einzudringen. Hinzu kommt die Masse an Anwendungen, die heute in Firmen verwendet werden.

Bei einer Umfrage des Marktforschungsinstituts Ciao Surveys unter europäischen IT-Managern zeigte sich, dass viele Unternehmen nur wenig Ahnung haben, welche Anwendungen eigentlich im Unternehmens-Netzwerk laufen. 93 Prozent der Befragten gaben als Grund dafür unter anderem an, dass die Zahl der Anwendungen in den letzten zwei Jahren um 50 Prozent oder mehr gestiegen ist.

Auch die zunehmende Einbindung von Web 2.0 in Unternehmen spielt Hackern in die Hände. Neben der Verbreitung von Malware nutzen sie auch Kanäle wie Facebook oder Twitter, um per Social Engineering an geheime Unternehmensdaten zu gelangen.

Die Software-Hersteller allerdings sind ebenfalls nicht ganz unschuldig an der zunehmenden Gefahr, die von neuen, internet-basierten Technologien ausgeht. Neue Anwendungen und Software-Lösungen werden heute in einem rasanten Tempo veröffentlicht, häufig bevor die letzten Schwachstellen behoben wurden. Dabei schwebt die nächste, ernstzunehmende Gefahr für die IT-Sicherheit bereits auf die Unternehmen zu.

Viele Firmen beschäftigen sich aktuell mit dem Thema Cloud Computing. Besonders die große Kostenflexibilität der "Wolke" macht das Thema für Unternehmen interessant.

Die "Wolke": Risiko oder Kostenbremse

Viele Firmen nutzen vorhandene Ressourcen nämlich wenig oder gar nicht. Die meisten Rechenzentren sind heute beispielsweise auf ein Vielfaches der tatsächlichen Rechenleistung ausgelegt. um auch in Spitzenzeiten ausreichend Kapazitäten zur Verfügung zu stellen.

Ähnliches gilt für das Thema Software. Unternehmen nutzen heute nur einen Bruchteil der vorhandenen Software regelmäßig. Dank Cloud Computing können Unternehmen Speicherkapazitäten, Rechenleistung und Software über das Internet mieten und zahlen je nach Funktionsumfang, Nutzungsdauer und Anzahl der Nutzer. Dadurch müssen Unternehmen weniger investieren und können sich der Konjunktur schneller anpassen.

Trotz der vielen Vorteile warnt Michael Calce alias Mafiaboy Unternehmen vor vorschnellen Entscheidungen: "Von einem Sicherheits-Standpunkt aus betrachtet denke ich, dass wir auf diese neue Technologie noch nicht ausreichend vorbereitet sind".

Cloud Computing – bitte mit Sicherheitsnetz!

Das Einsparpotential durch Cloud Computing ist verlockend. Forrester schätzt, dass alleine Telekommunikationsunternehmen durch Cloud Computing die Kosten für gehostete Anwendungen um bis zu 30 Prozent senken können. Trotzdem sollten Unternehmen sich über die Risiken genau im Klaren sein und den richtigen Anbieter mit Bedacht wählen. Denn unzureichend geschützte Clouds sind eine Art Schlaraffenland für Hacker.

Alle Dateien befinden sich am selben Ort und müssen nur kopiert werden. Heute können Hacker bereits Anwendungen entern, die auf einem virtuellen Server laufen und damit den kompletten Server übernehmen. Unter Sicherheitsaspekten ist das ein Super-GAU.

Bevor sich Unternehmen für einen Dienstleister entscheiden, sollten sie daher die folgenden Punkte klären:

  • genau stehen die Server, auf denen die Cloud gehosted wird?
  • Unter welche rechtliche Zuständigkeit fallen die Daten auf den Servern und unter welchen Umständen können die Daten an Dritte weiter gegeben werden?
  • Was passiert mit den Daten im Falle einer Insolvenz des Host-Unternehmens?
  • Sind die Daten verschiedener Kunden auf demselben Server strikt von einander getrennt?
  • Werden die Server und die Netzwerkgrenzen des Host-Unternehmens von einer doppelten Firewall gesichert?
  • Wird die komplette Kommunikation auf SSL-Basis verschlüsselt?
  • Werden die Systeme regelmäßig auf ihre Sicherheit überprüft?

Das schwächste Glied ist das größte Risiko

Ein weiteres Problem in der Cloud ist der Umgang Dritter mit dem Thema IT-Security. Wenn auch nur eines der Unternehmen, die ebenfalls an der Cloud hängen, die nötigen Sicherheitsupdates nicht aufspielt, können Hacker über diese Schwachstelle eindringen und nach und nach das gesamte System übernehmen. Aus diesem Grund sollte der Cloud-Provider verbindliche Sicherheitsrichtlinien für seine Kunden aufstellen.

Unbedingt sollten alle Unternehmen die an der Cloud hängen die folgenden Regeln berücksichtigen:

  • Verbindliche Sicherheitsrichtlinien einführen
  • Regelmäßiges Aufspielen aktueller Sicherheits-Updates im Unternehmen
  • Eingeschränkte Admin-Rechte auf den Rechnern des Unternehmes
  • Regelmäßige Schulungen zum Thema IT-Sicherheit für die Mitarbeiter
  • Verschlüsselung des gesamten Netzwerkverkehrs
  • Verwendung eines leistungsstarken Verschlüsselungssystems
  • Regelmäßiges Backup der Dateien in der „Rechnerwolke“ und Speichern außerhalb des Systems
  • Getrenntes Speichern von sensiblen und weniger sensiblen Daten

Hohe Standards sind der beste Schutz

Trotz dieser bedenken ist Cloud Computing im Kommen. Die US-Marktforschungsfirma Gartner erwartet bis zum Jahr 2013 ein durchschnittliches jährliches Wachstum mit solchen Diensten von 26,5 Prozent auf 150 Milliarden US Dollar.

Damit die Vorteile der Cloud aber auch von Dauer sind, gilt das Prinzip „Augen auf“ bei der Wahl des entsprechenden Dienstleisters und eine penible Überwachung der eigenen Sicherheitsrichtlinien. Nur dann führt Cloud Computing nicht zu der von Michael Clace gefürchteten "Sicherheits-Katastrophe" und Unternehmensdaten werden nicht zur Handelsware für die internationale Daten-Mafia.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

  • Maik Bockelmann

    Lumension

Maik Bockelmann ist Vice President Continental Europe bei Lumension.

Artikel einreichen

Top Artikel

  1. Zehn Gebote für optimale End-Point-Security
  2. Complete Security
  3. Das Geschäft der Anderen mit Ihren Kundendaten
  4. Security-Framework "made in Germany"
  5. Schleichende Datenkorruption

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht