Datenschutz und -sicherheit: Ein Beispiel

Der Schutz der Daten in der Cloud

27.09.2013 von Jan Schulze
Der Schutz der Daten in der Cloud ist extrem wichtig. Am Beispiel Brainlab lässt sich zeigen, dass dabei gesunder Menschenverstand und Kontrolle nicht die schlechtesten Ratgeber sind.

Dass Cloud Computing, die IT aus der Steckdose, den Betrieb und die Bereitstellung von IT-Services vereinfacht, bezweifelt heute niemand mehr ernsthaft. Dennoch beginnen Unternehmen erst damit, das Potenzial dieses Ansatzes für sich zu erschließen.

Ein Hauptgrund für die bislang häufige Zurückhaltung sind Sicherheitsbedenken: Laut einer Studie von Capgemini vom vergangenen Jahr haben über 70 Prozent der Firmen in Deutschland Sorgen wegen möglicher Sicherheitslücken in den Cloud-Angeboten. Dabei beweist das Beispiel von Unternehmen, die bereits in signifikantem Umfang auf Cloud Computing setzen, dass solch eine Strategie bei entsprechenden Rahmenbedingungen sogar in kritischen Bereichen möglich ist.

So nutzt die Brainlab AG mit Sitz in Feldkirchen bei München bereits seit geraumer Zeit verschiedene Cloud-Angebote. Das Unternehmen wurde 1989 gegründet und stellt Systeme zur bildgesteuerten Chirurgie und für Strahlentherapie her. Weltweit beschäftigt Brainlab rund 1100 Mitarbeiter. Über ein Rechenzentrum in Deutschland werden die IT-Leistungen für alle Mitarbeiter global erbracht und koordiniert.

Cloud in Zahlen
An Marktforschung zum Thema Cloud Computing herrscht kein Mangel. Wir haben interessante Ergebnisse herausgepickt.
Welche Technologien möchten Mittelstandsfirmen in Deutschland in den nächsten 12 Monaten einsetzen?
Angaben in Prozent, Mehrfachnennungen möglich Quelle: TechConsult IT-Cloud-Index Mittelstand in Deutschland, 10/2013
Welche Bereitstellungsoptionen bevorzugen Mittelstandskunden in Deutschland im Bereich Cloud Computing in den nächsten 12 Monaten?
Angaben in Prozent, Quelle: TechConsult IT-Cloud-Index Mittelstand in Deutschland, 10/2013
Magic Quadrant: Wer sind die führenden Unternehmen,wenn es um Infrastructure as a Service (IaaS) geht?
Gartner sieht IBM, Hewlett-Packard und Fujitsu nicht als führende Anbieter von Infrastruktur-Dienstleistungen aus der Cloud.
Wie oft werden Cloud-Services an der ITvorbei genutzt?
Aktuelle und geplante Nutzung von Software aus der Public Cloud (SaaS)
Generelle Einstellung zum Thema Cloud Computing nach Branchen
Warum Public-Cloud-Lösungen attraktiv sind
Warum greifen Fachabteilungen unter Umgehung derIT auf kostenpflichtige Cloud-Services zurück?
Was sind die IT-spezifischen Herausforderungen beider Nutzung von Cloud-Services?
Prognose: So werden sich Public-Cloud-Services von 2010 bis 2016 entwickeln

Kleines IT-Team

Dabei setzt Brainlab verstärkt auf externe Dienstleister, wie IT-Leiter Andreas Wierstorf erläutert: "Unsere Server werden bei einem Housing-Partner in dessen Räumlichkeiten betrieben. Er ist auch für die Sicherheit verantwortlich. Grundsätzlich achten wir bei unseren Partnern auf einen hohen Sicherheitsstandard."

Ebenso wurde der Betrieb des ERP-Systems (Enterprise Resource Planning) von SAP in die Hände eines externen Service-Providers gelegt. Die Brainlab-Mitarbeiter greifen sowohl über die SAP GUI als auch über einen Web-Browser auf das Reporting- Portal zu.

Der Ansatz, möglichst viele Aufgaben der IT in die Hände externer Dienstleister zu legen, ist eine gesetzte Strategie im Unternehmen: "Wir haben ein relativ kleines IT-Team", so Wierstorf. "Durch die Arbeit mit Dienstleistern gewinnen wir mehr Flexibilität, können neue Dienste schneller nutzen und haben weniger Aufwand mit dem täglichen Betrieb. Dadurch bleibt mehr Zeit und Kapazität, das Unternehmen in der Geschäfts- und Prozessoptimierung zu unterstützen." Nur die globalen Kernsysteme wie zum Beispiel E-Mail, Intranet und Directory Services würden traditionell noch im Haus betrieben. Wierstorf weiter: "Was sich sinnvoll extern betreiben lässt, lagern wir aus."

Seit rund zwei Jahren nutzt Brainlab konsequenterweise auch Cloud-Angebote. Zum Beispiel kommt im Kunden-Management die Cloud-Lösung von Salesforce.com zum Einsatz. Auch der Datenaustausch erfolgt unternehmensweit über einen Cloud-Anbieter. Hier arbeitet Brainlab mit der Plattform von Box. Auf die Cloud-Dienste können die Mitarbeiter über einen Browser oder über ihre mobilen Geräte mit den entsprechenden Apps zugreifen. Hierbei ist Apples Betriebssystem iOS auf iPhone und iPad der unternehmensweite Standard.

Strenge Auflagen

Als Hersteller im Bereich der Medizintechnik unterliegt das Unternehmen strengen Auflagen bei der Produktion und den Arbeitsprozessen. Da auch der amerikanische Markt bedient wird, muss sich Brainlab unter anderem alle zwei Jahre den kritischen Augen der amerikanischen Gesundheitsbehörde Food and Drug Administration (FDA) stellen. Der Datenschutz und die Datensicherheit spielen eine entsprechend große Rolle. Zudem ist das Unternehmen in seinem Bereich einer der weltweiten Marktführer und somit sehr daran interessiert, sein geistiges Eigentum vor Unbefugten zu schützen.

Die Sicherheit der mobilen Geräte "gewährleisten wir über XenMobile von Citrix", erklärt Wierstorf. Diese Mobile-Device-Management-Lösung bietet verschiedene Funktionen, um Smartphones oder Tablets bei Bedarf wieder in den Werkszustand zu bringen, Unternehmensanwendungen selektiv aus der Ferne zu löschen oder um den Standort eines spezifischen Geräts zu ermitteln. "Bei Verlust setzen wir ein mobiles Gerät einfach remote auf den Werkszustand zurück", so der IT-Leiter. "Eine zusätzliche starke Authentisierung der Anwender zum Zugriff auf die Daten und Apps nutzen wir hier bislang noch nicht, die Standardmechanismen von iOS reichen aktuell für unseren Bedarf aus."

Auch bei den Cloud-Dienstleistern selbst verlässt sich Brainlab zu weiten Teilen auf die standardmäßigen Sicherheitsmaßnahmen des Anbieters. "Bei Salesforce etwa greifen die Sicherheitsvorkehrungen, die dort implementiert sind", so Wierstorf. "Zusätzlich unterstützen wir die Datensicherheit aber, indem wir ein sehr granulares Rollenkonzept bei dieser Anwendung umgesetzt haben. Somit hat jeder Mitarbeiter nur auf die Daten Zugriff, die er für seine Tätigkeit auch benötigt. Der Zugriff ist dabei zum Beispiel nach den Vertriebsregionen geregelt. Ein Vertriebsmitarbeiter kann also nur die Daten von Kunden aus seiner Region sehen." Eine weitere Sicherheitsvorkehrung ist, dass Brainlab die wichtigsten Kundendaten aus der Cloud in das eigene Rechenzentrum repliziert. So kann die Betriebsbereitschaft zumindest in wesentlichen Teilen auch bei einem Ausfall der Cloud oder des Dienstleisters gewährleistet werden.

Das wichtigste Glied in der Sicherheitskette ist bei Brainlab jedoch eine strenge Überprüfung der verschiedenen Dienstleister. Diese müssen ihre Zertifikate vorab vorlegen. Alle Zertifikate und sonstigen relevanten Dokumente werden bei Brainlab vom Datenschutzbeauftragten und von der Compliance-Abteilung evaluiert. Zudem werden intensive Gespräche mit den Anbietern geführt, um die zugrunde liegenden technologischen und vor allem organisatorischen Sicherheitskonzepte zu durchleuchten.

Auch für kleinere Cloud-Provider, die nicht über die üblichen Zertifikate verfügen, wurde laut Wierstorf ein Evaluierungspfad geschaffen: "Hierfür haben wir eine interne Checkliste, nach der wir den Dienstleister beurteilen. Natürlich sind dabei auch detaillierte Gespräche notwendig. Zudem prüfen wir im Einzelfall auch vor Ort die organisatorische Seite eines Anbieters." Allerdings ist auch Wierstorf klar, dass Zertifikate und sonstige Nachweise noch kein Garant für die Sicherheit sind. Deshalb werden die Dienstleister im Nachgang stichprobenartig durch Penetrationstests überprüft. Für diese Aufgabe bedient sich Brainlab ausschließlich externer Fachleute.

Sensibilisiert und fit

Die Mitarbeiter sind zu einem verantwortungsbewussten Umgang mit den Daten angehalten und dafür auch sensibilisiert und trainiert. Hier unterstützt das Unternehmen unter anderem durch E-Learning. "Welche Risiken wir damit eingehen, wissen wir aus einer jüngst erfolgten Risikoanalyse. Bislang trat jedoch bei uns noch kein Vorfall auf", versichert Wierstorf.

Dass sich die IT-Abteilung darauf nicht ausruhen kann, ist ihm bewusst. Cyber-Kriminelle sind äußerst erfinderisch, wenn es um neue Angriffsverfahren geht. Mittelfristigen Handlungsbedarf sieht Wierstorf deswegen in erster Linie bei den Windows-PCs. Hier setzt das Unternehmen auf die einfache Anwenderauthentisierung mit Benutzername und Passwort. Das Ziel ist eine starke Zwei-Faktoren-Authentisierung. Dieses Verfahren basiert auf dem Prinzip, dass ein Benutzer etwas besitzen und etwas wissen muss, um sich Zugang zum Rechner zu verschaffen.

Üblich sind dabei Tokens in Form eines USB-Sticks, die in Verbindung mit einem Passwort den Zugang zur gewünschten Ressource freigeben. So lassen sich keine Benutzerdaten eines Anwenders ausspähen. "Wir haben die ersten Lösungen evaluiert", so Wierstorf zum Stand der Dinge. "Nach jetzigem Stand bevorzugen wir entweder Hardware-Tokens oder alternativ Software-Tokens, die zum Beispiel über das Smartphone des Mitarbeiters eine Authentisierung erlauben."

Ein weiteres Feld, das noch zu bearbeiten ist, sieht Wierstorf im Sourcing. Generell bevorzugt er als Bereitstellungsmodell für bestimmte IT-Services die Cloud. Durch seine historisch gewachsene IT betreibt Brainlab aber noch immer zahlreiche Systeme im eigenen Haus, die unter Umständen auch sinnvoll über einen externen Dienstleister bezogen werden könnten.

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da
Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.
Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.
Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.