Die Informationssicherheit in der Cloud. Einsatzmöglichkeiten von CASB-Lösungen

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Grundlagen Cloud-Computing
2.1 Begriffserklärung
2.2 IaaS, PaaS und SaaS
2.3 Public, Privat und Hybrid
2.4 Datenschutz und Informationssicherheit

3 Herausforderungen der Cloud
3.1 Chancen und Risiken
3.2 Umgang mit Daten
3.3 Shadow-IT vs. Cloud

4 Lösungsansatz CASB
4.1 Einführung in CASB
4.2 CASB-Architektur
4.2.1 Log collection
4.2.2 API
4.2.3 Forward Proxy und Reverse Proxy

5 Fazit

Literatur- und Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Visualisierung der Log collection Architektur

Abbildung 2: Visualisierung der API-Architektur

Abbildung 3: Visualisierung der Forward Proxy Architektur

Abbildung 4: Visualisierung der Reverse Proxy Architektur

1 Einleitung

Die Digitalisierung und somit die Vernetzung zwischen Menschen, Maschinen und Produkten wirkt sich auf die Entwicklung des globalen Marktes aus. Erfolgreiche Unternehmen in der heutigen Zeit haben die Digitalisierung wahrgenommen. Dabei sind die Anforderungen an die Digitalisierung je nach Unternehmen individuell. Der deutsche Versandhandel Otto ist ein Beispiel dafür, der durch die Digitalisierung den Wandel vom traditionellen Katalogversand zum erfolgreichen deutschen Online-Handel für verschiedene Produkte geschafft hat.

Dieser digitale Wandel wird durch den Einsatz von Cloud-Computing unterstützt. Im Zeitalter der Digitalisierung sorgt die Cloud für eine hohe Geschwindigkeit bei der Informationsübertragung und der effizienten Gestaltung von Services. Durch den Einsatz der Cloud lassen sich dabei die benötigten Informationen in Echtzeit zentralisieren und auswerten.¹ Im Auftrag der KPMG AG wurde anhand einer Umfrage von Bitkom Research ermittelt, das zwei Drittel der deutschen Unternehmen Cloud-Computing 2016 im Einsatz hatten. Dabei kam hervor, dass in Unternehmen mit weniger als 100 Mitarbeitern der Cloud-Einsatz bei 64 Prozent liegt. Bei Unternehmen mit weniger als 2.000 Mitarbeitern liegt dieser Wert bei 69 Prozent. Der Einsatz von Cloud-Lösungen liegt in Unternehmen, die mehr als 2.000 Mitarbeiter beschäftigen bei 67 Prozent. Aus dieser Umfrage ist ebenfalls zu entnehmen, dass die meisten Unternehmen den Sicherheitsmaßnahmen ihrer Cloud-Lösungen zum Schutz sowohl ihrer unkritischen als auch ihrer kritischen Daten vertrauen. Jedoch traten trotzdem Sicherheitsvorfälle auf und somit sind nicht alle Sicherheitsmaßnahmen ausreichend. Es gibt verschiedene Ansätze, um die Informationssicherheit in der Cloud zu erhöhen.² Auch große Cloud-Dienstleister werden mit Problemen konfrontiert, die die Verfügbarkeit und die Sicherheit von Cloud-Anwendungen bedroht haben. Daher ist es wichtig diese Aspekte in jedem Cloud-Projekte zu berücksichtigen.³

In diesem Zusammenhang verfolgt diese Arbeit das Ziel die Herausforderungen der Cloud-Sicherheit aus organisatorischer und technischer Sicht herauszuarbeiten. Zusätzlich befasst sich diese Arbeit mit der Auswertung von derzeit publizierten Quellen, um die aktuelle Situation von Cloud-Lösungen genauer darzustellen. Damit soll Transparenz über die aktuelle Lage von Cloud-Computing geschaffen und Chancen und Risiken des Cloud-Einsatzes verdeutlicht werden. Als eine Maßnahme zur Sicherstellung der Informationssicherheit in der Cloud wird das Thema Cloud Access Security Brokers (kurz: CASB) näher behandelt. In dieser Arbeit werden dazu der Aufbau und die Einsatzmöglichkeiten einer CASB-Lösung erarbeitet. Zusammen mit der Einleitung besteht die Arbeit aus fünf Kapiteln. Im zweiten Kapitel werden zunächst Grundlagen im Bereich von Cloud-Computing definiert. Das dritte Kapitel befasst sich mit den Herausforderungen die mit dem Einsatz von Cloud-Lösungen entstehen. Darauf folgt das vierte Kapitel, das sich mit der Erläuterung und dem Aufbau von CASB beschäftigt. Im letzten Kapitel werden dann die Ergebnisse dieser Arbeit abschließend zusammengefasst.

2 Grundlagen Cloud-Computing

2.1 Begriffserklärung

Nach der Definition des National Institute of Standards and Technology (kurz: NIST), wird Cloud-Computing als ein bedarfsorientiertes und flexibles System beschrieben, das über ein Netzwerk oder das Internet zur Verfügung gestellt wird und den Zugriff auf IT-Ressourcen, wie Anwendungen, Server und Speicher ermöglicht.⁴ Ein Cloud-System lässt sich in drei Service-Ebenen unterteilen. Dazu zählt Software-as-a-Service (kurz: SaaS) als Anwendungs-Dienst, Platform-as-a-Service (kurz: PaaS) als Entwicklungsumgebungs-Dienst und Infrastructure-as-a-Service (kurz: IaaS) als Infrastruktur-Dienst. Dabei werden diese Servicemodelle durch die Organisationsformen Public-, Privat- und Hybrid-Cloud abgebildet.⁵ Nach der NIST-

Definition werden Cloud-Dienste mit folgenden Eigenschaften dargestellt:6

- On-demand Self Service: Der Anwender kann benötigte IT-Ressource, wie Netzwerkspeicher selbstständig in Anspruch nehmen ohne dass der Provider in diesen Prozess einbezogen werden muss.
- Broad Network Access: Auf benötigte Ressourcen kann durch den Einsatz von Standards über ein Netzwerk und eingesetzten Endgeräten wie Smartphones, Tablets und Laptops zu gegriffen werden.
- Resource Pooling: Die Ressourcen des Providers werden gebündelt und mit einem mandantenfähigen Modell je Bedarf an die Anwender zugewiesen. Dabei haben die Kunden in der Regel aber keinen Überblick über den Standort, aus dem die physischen und virtuellen Ressourcen zur Verfügung gestellt werden.
- Rapid Elasticity: Benötigte Kapazitäten sind schnell und flexibel abrufbar, sie werden nach Bedarf skaliert. Beim Aufkommen von einem erhöhten Datentransfer können beispielsweise automatisch auf weitere Ressourcen zurückgegriffen werden. Anderseits können die abgerufenen Ressourcen wieder gesenkt werden, wenn die Anforderungen wieder sinken.
- Measured Services: Der Einsatz von verschiedenen Messverfahren führt zur Kontrolle und Optimierung der Nutzung in Cloud-Systemen. Damit wird für den Kunden und auch dem Dienstleister Transparenz über die genutzten und tatsächlich benötigten Dienste geschaffen.

2.2 IaaS, PaaS und SaaS

Die unterste Ebene beim Cloud-Computing bildet dabei die Schicht IaaS ab. Auf dieser Ebene werden skalierbare Netzwerk-, Rechen- und Speicherkapazitäten als IT-Dienstleistung zur Verfügung gestellt. Entsprechend des Bedarfes erhalten Cloud-Nutzer Zugriff auf virtuell bereitgestellte Komponenten, nutzen diese und geben sie nach Gebrauch frei. In einem vertraglich abgeschlossenen Service Level-Agreement (kurz: SLA), wird dabei festgehalten in wie fern der jeweilige Cloud-Nutzer auf die gewünschten IT-Ressourcen zugreifen kann. Ein Praxisbeispiel aus dem B2B-Umfeld stellt z.B. Amazon EC2 da. Diese Amazon Dienstleistung stellt Rechenleistung zur Verfügung. Die Dienstleistung iCloud von Apple stellt zusätzliche Speicherkapazitäten zur Verfügung und ist ein Beispiel im B2C-Umfeld. Die PaaS-Ebene bildet die zweite Ebene ab. An dieser Stelle wird eine Dienstleistung für Anwendungsentwickler zur Verfügung gestellt. Diese Ebene stellt Entwicklungsumgebungen zur Verfügung und ermöglicht dem Entwickler eigene Programme über die Cloud zu entwickeln. Die Produkte Azure von Microsoft und App Engine von Google sind Beispiele für PaaS-Dienstleistungen. Mittels der dritten Cloud Ebene werden dem Anwender ganze Anwendungen als Service in einer standardisierten Form zur Verfügung gestellt. Für die Weiterentwicklung und Wartung der SaaS-Anwendung ist der Cloud-Provider zuständig. Die Möglichkeit die Anwendungen individuell anzupassen ist somit für den Anwender nicht vorgesehen. Damit erhält der Anwender kein gesondertes Nutzungsrecht auf die Anwendung und alle Anwender können somit auf eine identische und aktuelle Version der Anwendung zugreifen.⁶

2.3 Public, Privat und Hybrid

Die Public-Cloud beschreibt einen Service der über das Internet von einem Dienstleister betrieben und zur Verfügung gestellt wird. Der Dienstleister ist dabei der Inhaber der Software und aller Komponenten der Infrastruktur in der Cloud. Damit legt er ohne den Einfluss der Kunden die Maßnahmen für den Betriebsprozess und die Sicherheit fest. Beispiele aus der Praxis sind unteranderem Google Apps oder Microsoft 365.⁷ Bei der Private-Cloud handelt es sich um eine unternehmensinterne Cloud-Lösung. Der Zugang auf solch einen Dienst ist in der Regel auf die Mitarbeiter und in einigen Fällen auf die Kunden und Lieferanten eines Unternehmens beschränkt.⁸ Eine Hybride-Cloud besteht aus der Kombination von mehreren Cloud Lösungen und kombiniert unteranderem die Vorteile einer Public- und Private Cloud. Je nach Anwendungsfall können dann nicht kritische Informationen in einer Public-Cloud extern betrieben werden und sensible Informationen in einer Private Cloud.⁹

2.4 Datenschutz und Informationssicherheit

Im Cloud-Umfeld ist die Verarbeitung von Daten, die der Cloud-Dienstleister vom Cloud-Anwender erhält typisch. Wenn es sich dabei um personenbezogene Daten handelt, muss dieser Prozess auf Grundlage von datenschutzrechtlichen Verordnungen gewährleistet sein.¹⁰ Der Begriff Datenschutz beschreibt dabei den Schutz personenbezogener Daten vor der unbefugten Verarbeitung durch Dritte. Die Datensicherheit hingegen ist Bestandteil der Informationssicherheit und somit ist hier der Schutz aller Daten hinsichtlich Integrität, Verfügbarkeit und Vertraulichkeit gemeint.¹¹ Bei der Wahl einer Cloud-Lösung ist die Informationssicherheit ein wichtiger Aspekt vor allem dann, wenn das Cloud-Angebot eines Dienstleisters wahrgenommen wird. Da sich die Informationen dann auf den Servern des Dienstleisters befinden, gelten die Datenschutzbestimmungen des jeweiligen Landes in dem Sich der Sitz des Dienstleisters befindet. Aus diesem Grund tendieren Unternehmen dazu Cloud-Anbieter zu wählen, deren Server sich in Deutschland befinden.¹²

3 Herausforderungen der Cloud

3.1 Chancen und Risiken

In der heutigen Zeit muss der IT-Einsatz schnell, skalierbar, zuverlässig und kostengünstig sein, um Marktchancen für Unternehmen effizient zu ergreifen. Um auf dem Markt kontinuierlich etabliert zu sein, ist es für Unternehmen wichtig auf Veränderungen schnell zu reagieren. Damit Geschäftsprozesse wie zum Beispiel die Produktentwicklung oder Kampagnen im Marketing effizient umgesetzt werden können, ist es wichtig das IT gestützte Informationen schnell verfügbar sind. Dabei dient die Cloud als Antwort auf diese Anforderungen und unterstützt die Geschäftsprozesse von Unternehmen. Dadurch ist es möglich neue Geschäftsprozesse zu ermöglichen und effizient zu implementieren. Benötigte IT-Ressourcen stehen schnell zur Verfügung und können bei Bedarf in verschiedenen Projekten eingesetzt werden.¹³ Unteranderem ermöglicht Cloud-Computing nachfolgende Chancen für Unternehmen:¹⁴

- Agilität, Flexibilität und Skalierbarkeit: Die IT ist eines der geschäftskritischen Aspekte eines Unternehmens. Der Einsatz eines Cloud-Dienstes ermöglicht es IT-Ressourcen flexibel im Unternehmen einzusetzen und somit auf Veränderungen im Markt erfolgreich zu reagieren.
- Verringerung von Administrationsaufwand und Komplexität: Der Einsatz der Cloud reduziert die Komplexität der IT-Systemlandschaft eines Unternehmens und verringert damit den administrativen Aufwand.
- Senkung der IT-Ausgaben: Aufgrund der Cloud basierenden Automatisierungen, Standardisierung und Virtualisierung werden IT-Ausgaben gesenkt.

Bei der Einführung einer Cloud-Dienstleistung ist es wichtig, dass Cloud-Projekt strukturiert zu planen, um das Risiko des Scheiterns zu vermindern. Dabei muss unter anderem die Informationssicherheit betrachtet werden. Es muss ermittelt werden, welche Bedrohungen vorhanden sind und wie die davon betroffenen Prozesse und Informationen zu schützen sind. Die Grundwerte der Informationssicherheit Integrität, Verfügbarkeit und Vertraulichkeit gelten somit auch für Cloud-Computing. Allgemein betrachtet sind Cloud-Nutzer von Bedrohungen in Bezug auf die Cloud-Infrastruktur und bei der Einführung und Verwendung der Cloud betroffen. Zunächst einmal muss der Cloud-Anbieter sicherstellen das der Cloud-Dienst vor Angriffen auf die Cloud von außen, wie durch Denial-of-Service Attacken, vor Informationsverlusten und vor Manipulation der Informationen durch verschiedene Nutzer aus der Cloud heraus geschützt wird und das Netzwerkausfälle zu vermeiden sind, da die jeweiligen Nutzer in diesem Fall keinen Zugang zu benötigten Anwendungen und Informationen erhalten. Der Cloud-Nutzer hingegen muss unteranderem mit Identitätsdiebstählen, mit Sicherheitslücken von Endgeräten, mit denen die Cloud verwendet wird und der Möglichkeit rechnen, dass Informationen bei der Netzwerkübertragung bei unzureichender Verschlüsselung abgefangen werden können.¹⁵

3.2 Umgang mit Daten

Cloud-Systeme sind mittlerweile einfach und schnell verfügbar, die Umsetzung jedoch stellt für Unternehmen einige Herausforderungen dar. Dabei ist das Risiko vorhanden, dass Unternehmensdaten in der Cloud verloren gehen können, oder dass Kundendaten missbräuchlich verwendet werden.¹⁶ Wenn Unternehmen Cloud-Dienste in Anspruch nehmen wollen, ist dies erlaubt solange die zu verarbeiteten Informationen innerhalb Europas oder des Europäischen Wirtschaftsraumes liegen. Damit soll das mögliche Sicherheitsrisiko verringert werden, da ein angemesseneres Schutzniveau für die Daten angenommen wird. Damit das Angebot eines Cloud-Providers angenommen werden kann, dessen Sitz sich außerhalb des Europäischen Raumes befindet, müssen spezielle Verträge unter der EU-Standardvertragsklausel vereinbart werden. Wenn Unternehmen die Cloud zu den Verarbeitungen von personenbezogenem Daten einsetzen möchte, wie zum Beispiel Informationen über Arbeitnehmer oder Kunden, muss dies in einem weiteren Vertrag mit dem Dienstleister beschlossen werden.¹⁷ Eine Studie von Kaspersky Lab zufolge können einige Unternehmen, die ihre Anwendungen in einer Cloud betreiben nicht zuverlässige Aussagen darüber treffen, ob und welche Unternehmensdaten intern und welche bei einem Cloud-Dienstleister gespeichert sind. Aus der Studie geht hervor, dass nicht alle Unternehmen Vorgaben zu Sicherheitsrichtlinien im Umgang mit Cloud-Anwendung verwenden. Sicherheitsvorfälle die dadurch im Cloud-Umfeld entstehen, führen bei Großunternehmen zu einem durchschnittlichen Schaden von 1,2 Millionen US-Dollar und in mittelständischen und kleinen Unternehmen sind es im Schnitt 100.000 US-Dollar.¹⁸

[...]

¹ Vgl. Abolhassan Hrsg. (2016), S. 5-8.

² Vgl. Bitkom (2017).

³ Vgl. Streitberger, Ruppel (2009), S. 1.

⁴ Vgl. Schneider, Sunyaev (2015), S. 5f.

⁵ Vgl. Münzl et al. (2015), S. 9-12. 6 Vgl. Mell, Grance (2011), S. 2.

⁶ Vgl. Münzl et al. (2015), S. 10ff.

⁷ Vgl. Münzl et al. (2015), S. 13.

⁸ Vgl. Barton (2014), S. 46.

⁹ Vgl. Borges Hrsg., Schwenk (2012), S. 48.

¹⁰ Vgl. BSI (2012), S. 73.

¹¹ Vgl. DOLPHIN (2017), S. 1.

¹² Vgl. Bundesdruckerrei (2017), S. 25.

¹³ Vgl. Bitkom (2013), S. 8.

¹⁴ Vgl. Bitkom (2013), S. 10.

¹⁵ Vgl. BSI (2016), S. 8.

¹⁶ Vgl. Münzl et al. (2015), S. 20.

¹⁷ Vgl. Münzl et al. (2015), S. 44.

¹⁸ Vgl. Roesner (2017).