Homepage >  Katalog >  BWL - Informationswissenschaften, Informationsmanagement

Informationssicherheit im Cloud-Computing


Hausarbeit, 2022

23 Seiten, Note: 1,0


Leseprobe


Inhaltsverzeichnis

1. Definition von Cloud Computing

2. Dienstleistungsmodelle
2.1. Infrastruktur
2.2. Plattform
2.3. Software
2.4. Daten

3. Bereitstellungsmodelle
3.1. Public Cloud
3.2. Private Cloud
3.3. Hybrid Cloud

4. Risiken
4.1. Datensicherheit
4.2. Abhängigkeit
4.3. Fehlende Innovation

5. Maßnahmen
5.1. Risikomanagementprozess
5.2. Informationssicherheitsmanagementsystem
5.3. Datenschutz
5.3.1. Electronic Communications Privacy Act
5.3.2. Patriot Act
5.3.3. Safe Harbor
5.3.4. Datenschutzgrundverordnung der Europäischen Union
5.3.5. EU-US Privacy Shield
5.3.6. CLOUD Act
5.4. Verschlüsselung
5.5. Diversifikation

6. Chancen
6.1. Ortsunabhängigkeit
6.2. Flexibilität und Skalierbarkeit
6.3. Wartung und Instandhaltung
6.4. Optimierung von Kosten

7. Anbindung

8. Zusammenfassung

9. Fazit

Abbildungsverzeichnis

Abbildung 1: Prozess-Risiko-Matrix

Abbildung 2: Datensouveränität

Abbildung 3: Multi-Cloud

Abbildung 4: Kosten für die Ressourcen von CSP

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

Bereits in den 1960er Jahren entstanden Ideen, IT-Ressourcen wie Rechenleistung und Anwendungen als eine Dienstleistung einer großen Anzahl von Kunden gegen eine Nutzungsgebühr zur Verfügung zu stellen. Auf Grund der dafür notwendigen, aber damals noch nicht vorhandenen technischen Voraussetzungen wie schnelle und stabi­le Internetverbindungen sowie der Mehrbenutzerfähigkeit von IT-Systemen, war der technische und wirtschaftliche Durchbruch nicht möglich (Büst, 2013)

Seit 2006 Amazon Web Services gestartet ist, haben sich weitere Dienstleister eta­bliert, bei denen mehrere unabhängige Nutzer in ihrem Budget flexibel agieren und durch gemeinsame Rechenkapazitäten hohe Bedarfsspitzen abdecken können.

Der Aufbau einer Cloud Infrastruktur kann in drei Grundmodelle unterteilt werden: einer Public Cloud, einer Private Cloud und einer Kombination aus beidem - der Hybrid Cloud. Alle größeren Firmen in diesem Feld bieten Dienstleistungen an, welche durch internationale Datenschutzrichtlinien wie den Electronic Communications Privacy Act und den Patriot Act der Vereinigten Staaten von Amerika und der davon abhängigen Datenschutzvereinbarung Safe Harbour, welche durch den EU-US Data Privacy Shield und der Datenschutzgrundverordnung (GDPR, General Data Protection Regulation) der EU erweitert wurde, geschützt sind. Zur Vermeidung von Risiken der Datensicher­heit wird ein eingeschränkter Zugriff durch Befugnisrollen, eigene Verschlüsselung der verarbeiteten Daten, des Kommunikationsweges über Netzwerke durch Zugriffsbe­schränkungen, Virtuelle Private Netzwerk Tunnel, regelmäßige Prüfung auf Viren und andere Sicherheitsmaßnahmen empfohlen auch wenn Betreiber von Rechenzentren bereits hohe Standards für Verschlüsselungen und Datensicherheit erfüllen.

1. Definition von Cloud Computing

Cloud Computing ist ein Modell eines verteilten Informationssystems, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen zuzugreifen (Chellappa, 1997). Dabei können Kosten für Wartung, Speicherplatz und Rechenleistung und die Sicherstellung von wichtigen Daten eingespart werden (lonos, 2022).

Das amerikanische Institut für Standardisierung von Technologie (NIST, National Insti­tute für Standardization of Technology) definiert fünf Eigenschaften (Kumar, Raj & Jel- ciana, 2018):

- Bereitstellung bei Bedarf

Die Provisionierung der Ressourcen läuft automatisch ohne Interaktion mit dem Service Provider ab (engl. On-demand Self Service)

- Verfügbarkeit

Die Dienste sind mit Standard-Mechanismen über das Netz verfügbar und nicht an ein bestimmtes Endgerät gebunden (engl. Broad Network Access)

- Geteilte Ressourcen

Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können. Dabei wissen die Anwender nicht, wo die Res­sourcen sich befinden, sie können aber vertraglich den Speicherort festlegen (engl. Resource Pooling)

- Rapide Elastizität

Die Dienste können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressour­cen daher unendlich zu sein (engl. Rapid Elasticity)

- Getaktete Dienstleistung

Die Ressourcennutzung kann gemessen und überwacht werden (engl. Measu­red Services) und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden (Bundesamt für Sicherheit in der Informationstech­nik, 2016).

2. Dienstleistungsmodelle

Je nach Bedarf und Vereinbarung (SLA, Service Level Agreement) kann ein Rechen­zentrum, eine virtualisierte Plattform als Betriebssystem für Anwendungen sowie auch beziehungsweise nur eine bestimmte Software oder Informationsquelle zum bestehen­den IT-System eines Unternehmens hinzugefügt werden (Casola, de Benedictis, Rak & Rios, 2016).

2.1. Infrastruktur

Mit digitaler Infrastruktur sind Rechenzentren und entsprechende Telekommunikations­schnittstellen gemeint, die es ermöglichen auf Ressourcen wie Speicher (S3, Simple Storage Services) und Rechenleistung mit entsprechender Bandbreite zu nutzen (IaaS, Infrastructure-as-a-Service). Der Betrieb eines Rechenzentrums benötigt Strom und Wasser zur Kühlung sowie auch eine sichere geographische Lage, die äußere Einflüs­se auf das Rechenzentrum vermeidet.

2.2. Plattform

Als Plattform wird das virtualisierte Netzwerk (engl. Hypervisor) an virtuellen Maschi­nen (engl. Container) bezeichnet, welches die Ressourcen eines Betriebssystems (OS, Operating System) einer Instanz der Wahl eines Nutzers verwaltet und Speicher, Ar­beitsspeicher und Rechenleistung einzelner Komponenten aufeinander abstimmt und über verschiedenste Schnittstellen Ausgaben ermöglicht. Dazu gehören Signale wie Datenauswertungen, graphische Darstellungen oder akustische Übertragungen. Eine Plattform als Dienstleistung (PaaS, Platform-as-a-Service) ermöglicht Anwendungen jeglicher Art und die Kommunikation zwischen Applikationen und Schnittstellen für ex­terne Anbieter (Lynn, Mooney & Domaschka et. al., 2020).

2.3. Software

Wird eine bestimmte Software innerhalb eines Unternehmens verwendet, wie ein Email Programm, welches Dateifreigaben und Videokonferenzen integriert und erleichtert, wird das bestehende IT-System erweitert (SaaS, Software-as-a-Service). Dies kann auch Dienstleistungen wie eine externe Verwaltung des Rechnungswesens, Analyse von Geschäftsprozessen wie auch die Auslagerung des Kundendiensts beschreiben welche als Software angeboten wird.

2.4. Daten

Nicht alle Daten, welche entscheidend sind für ein Geschäftsmodell können von einem einzigen Unternehmen erfasst, bereitgestellt und auf Validität geprüft werden, weswe­gen die Anbindung vorhandener Datensätze (DaaS, Data-as-a-Service) und zusätzli­cher Dienstleister (engl. microservice s) mithilfe von repräsentative Programmierschnitt­stellen zur Zustandsübertragung (REST API, Representational State Transfer Applica­tion Programming Interface) möglich sein muss (Curry, et. al. 2021).

3. Bereitstellungsmodelle

Je nach Anwendungsfall und nötigem Schutz der ausgelagerten Daten kommen ver­schiedenste Modelle und Kombinationen an Bereitstellungen der Dienstleistungen in Frage. Daten für die öffentliche Verwendung mit einem geringeren Schutzbedarf, wie zum Beispiel die Internetpräsenz eines Unternehmens, werden über eine Public Cloud über das Internet zugänglich gemacht während personenbezogene Daten und Unter­nehmensdaten in einer Private Cloud gespeichert werden sollten. Falls das Ge­schäftsmodell beides benötigt, empfiehlt sich eine Kombination mithilfe einer Hybrid Cloud (Ionos, 2021).

3.1. Public Cloud

Bei dem Modell einer Public Cloud werden die Rechenkapazitäten eines Anbieters von mehreren Nutzern der Dienste zusammen genutzt. Der Kunde kann sich aus einer Lis­te an möglichen Leistungskonfigurationen den passenden Aufbau aussuchen.

Weil auch andere Kunden die Rechner buchen können, kann es passieren, dass es zu Netzwerkauslastungen und erhöhten Lesezugriffen auf den einzelnen Recheneinheiten kommen kann, weil die Kapazitäten nur virtuell oder bedingt voneinander getrennt sind. Das kann zu gegenseitigen Störungen und auch zu Sicherheitsproblemen führen.

3.2. Private Cloud

Als Private Cloud wird ein Rechenzentrum bezeichnet, welches für einzelne Kunden eigene Räume, Maschinen, die dazugehörende Infrastruktur und virtuelle Umgebung bereitstellt. Kunden mieten für einen bestimmten Zeitraum benötigte Dienstleistungen. Zudem bieten die meisten Anbieter ein dediziertes Sicherheitspaket an.

Falls es bei den Anwendungen zu erhöhter Last kommt, lassen sich Ressourcen nur verzögert erweitern und bereitstellen, da erst die Rechnereinheiten installiert und be­triebsbereit gemacht werden müssen.

3.3. Hybrid Cloud

Bei dem Konzept einer Hybrid Cloud werden solche Daten, welche zwar von verteilten Teams verwendet werden, jedoch eine erhöhte Sicherheit benötigen in speziell dafür vorgesehen und gemieteten Recheneinheiten einer Private Cloud gespeichert.

Oft werden auch die bereits vorhandenen Server eines Unternehmens verwendet. Die­se erhalten dann eine verschlüsselte Verbindung zu den verteilten Daten in der Private Cloud.

4. Risiken

Die Bedrohungsanalyse ist ein Teilbereich des Risikomanagements und der Risikoana­lyse innerhalb eines Unternehmens um Kernkompetenzen und das Geschäftsmodell nachhaltig gestalten zu können (ERM, Enterprise Risk Management). Mithilfe der Be­drohungsanalyse lassen sich die verschiedenen Bedrohungen für IT-Systeme und IT- Prozesse systematisch erfassen, strukturieren und bewerten. Es handelt sich dabei nicht um einen einmaligen, sondern einen sich wiederholenden Prozess (CI, Conti­nuous Improvement). Bevor weitere Schritte beschlossen werden, muss entschieden werden, wie Risiken behandelt werden. Einige Risiken können durch eine Mitigierung verkleinert werden, andere Risiken können eliminiert oder transferiert wer- den. Man­che Risiken werden akzeptiert und benötigen keine Maßnahme. Für IT-Systeme exis­tieren eine Vielzahl möglicher Bedrohungen, die im Rahmen der Bedrohungsanalyse identifiziert, erfasst und bewertet werden.

Abbildung 1: Prozess-Risiko-Matrix

Abbildung in dieser Leseprobe nicht enthalten

Risikoidentifikation mit erwarteter Eintrittswahrscheinlichkeit und Risikopotenzial. Der erwartete Nutzen von Investitionen in Maßnahmen steigt mit der Höhe und Kritikalität eines Risikos (Quelle: Hanschke & Lorenz, 2021)

Mögliche Bedrohungen sind:

- unbefugter Zugriff auf Daten
- Diebstahl oder Manipulation von Daten
- unbefugter Zugriff auf Systeme
- Störung der Verfügbarkeit von Systemen
- Manipulation von Systemen
- Angriffe durch beispielsweise Social Engineering oder Malware Denial of Ser­vice Angriffe
- Diebstahl von Benutzerkennungen (Security Insider, 2022)

4.1. Datensicherheit

Selbst mit gutem IT-Schutz sind Unternehmen nicht vollständig vor Cyberattacken ge­schützt. Denn jede noch so gute IT-Sicherheitsabwehr hat eine Schwachstelle: den Menschen. Die häufigsten Angriffe entstehen durch menschliche Fehler, wenn Mitar­beiter etwa E-Mail-Anhänge mit Schadsoftware öffnen. Menschen bilden das größte Sicherheitsrisiko in einer Organisation und die Ziele und Motivationen von Individuuen können manipuliert und gegen die Sicherheitsrichtlinien und dem Zweck eines Unter­nehmens verwendet werden (Pfleeger & Caputo, 2021). Es besteht weiterhin das Risi­ko der Korruption, sodass jegliche Eide und Gesetze umgangen werden können, wenn eine Person mit Zugriff auf schützenswerte Informationen selbst bedroht wird, diese einem Angreifer freizugeben. Wenn möglich sollte ein Betriebssystem beziehungswei­se Systemeinstellungen verwendet werden, bei denen der Zugriff auf Datenerhebung durch das System, dessen Funktionen und weitere Applikationen möglichst gering ge­halten ist (Bundesamt für Sicherheit in der Informationstechnik, 2022). Private Mobilge­räte von Mitarbeitern und Geschäftspartnern können vor Ort im Unternehmen durch Lücken in Kommunikationsprotokollen (WLAN, Wireless Local Area Network) ein Si­cherheitsrisiko darstellen, welches durch Zugriffsbeschränkungen auf bekannte Geräte vermieden werden kann.

4.2. Abhängigkeit

Viele Anbieter von Plattformen verknüpfen ihre Angebote und erleichtern Kunden die Nutzung von Dienstleistungen. Wird jedoch ein Wechsel aufgrund günstiger Konditio­nen angestrebt, wird der Datenaustausch mit einem neuen Anbieter erschwert weil Formate für Speicherung und Verarbeitung ausschließlich auf einen Anbieter zuge­schnitten sind (engl. Vendor Lock-In).

4.3. Fehlende Innovation

Aufgrund von Auslagerung der Kernkompetenzen kann es sein, dass Möglichkeiten zur Innovation limitiert sind, da nur noch ein einziger Aspekt eines Geschäftsmodells opti­miert werden kann während die Wertschöpfungskette einen Markt an Konkurrenten bedient. Entscheidet sich ein CSP, dass eine eigene SaaS profitabel ist, kann er frühe­re Geschäftspartner und Konkurrenten verdrängen, die PaaS und IaaS des CSP ge­nutzt haben um eine bestimmte SaaS bereitzustellen.

5. Maßnahmen

Um Risiken und Gegenmaßnahmen zu priorisieren, kann das Bedrohungsrisiko be­stimmt werden indem die Eintrittswahrscheinlichkeit und die Auswirkung auf das Sys­tem und das Unternehmen eingeschätzt wird (Alter Solutions, 2022).

5.1. Risikomanagementprozess

Es kann zu Verzögerungen und Ausfällen aufgrund fehlender Aktualisierung von Soft­ware, schwachen Passwörter, fehlender zusätzlicher weiterer Faktoren (MFA, Multi­Factor Authentication), Zugriffsbeschränkungen und Virenschutzprogramme, zusätzli­cher Absprache, Bürokratie und Lieferschwierigkeiten von Strom, Gas, Internet und Komponenten kommen, welche unter Umständen teurer bezogen werden müssen oder im Ernstfall nicht verfügbar sind. Abhängig vom Strom ist auch eine ausreichende In­frastruktur für die Telekommunikation mit Fachabteilungen, Spezialisten, Dienstleistern, Geschäftspartnern sowie Herstellern und Lieferanten von Komponenten. Ein Wasser­schaden oder Feuer kann Datenspeicher und Elektronik befallen, ein Sturm die draht­lose Telekommunikation erschweren. Aus Sicht des BSI ist es wichtig, dass Unterneh­men einschätzen können, wann bei einem Ausfall der IT ein wirtschaftlicher Totalscha­den eintritt und wie sie auch ohne die vorhandene IT den Minimalbetrieb sichern kön­nen (Bundesamt für Sicherheit in der Informationstechnik, 2022). Einzelne Personen können erkranken oder andere Aufgaben priorisieren, weswegen eine weitere Person pro Rolle in die Durchführung der Aufgaben unterwiesen werden sollte. Durch die Ver­änderung vorhandener Systeme der informationstechnischen Verarbeitung können un­vorhergesehene Fehler auftreten, die nicht nur die Installation des neuen Systems be­einflussen, sondern auch das gesamte System unterbrechen können (DevOps, Deve­lopment Operations). Systemunterbrechungen können bei der Umsetzung des Kon­zeptes auch durch unzureichende Datenschutzunterweisung der Mitarbeiter entstehen (Irsheid, Murad, AlNajdawi & Qusef, 2022).

5.2. Informationssicherheitsmanagementsystem

In vielen Fällen können Risiken an eine Versicherung übertragen werden, im besten Fall wird jedoch die Ursache des Risikos vermieden. Im Fall einer Betriebsunterbre­chung infolge von Internetkriminalität wird ein Tagessatz in der Police vereinbart. Die­ser berücksichtigt den entgangenen Gewinn des versicherten Unternehmens und wird vom Versicherer solange gezahlt, wie die Produktion oder der Betrieb stillsteht.

Ein Informationssicherheitsmanagementsystem (ISMS, Information Security Manage­ment System) enthält eine Dokumentation aller Prozesse und Regeln innerhalb eines Unternehmens, welche das Ziel einer kontinuierlichen und dauerhaften Informationssi­cherheit haben. Insbesondere sollen die folgenden Aufgaben in Bezug auf die IT-Si­cherheit erfüllt werden: Zunächst erfolgt eine Definition von Regeln und Methoden für die IT-Sicherheit. Diese werden anschließend durch Prozesse umgesetzt, die die Or­ganisation in Bezug auf IT-Sicherheit steuern. Die erfolgreiche Umsetzung der Regeln und Methoden in den Prozessen der Organisation wird permanent hinsichtlich der Ef­fektivität und der benötigen Ressourcen zur Aufrechterhaltung der IT-Sicherheit kon­trolliert. Die Ergebnisse der Kontrollen und Ressourcenanalysen müssen im Rahmen einer Verbesserung durch gezielte Maßnahmen umgesetzt werden. Dieser Kreislauf wird wiederholt durchlaufen, um eine permanente Erfolgskontrolle zu gewährleisten. Die Familie von Normen der ISO/IEC 27000 enthält alle relevanten Informationen be­züglich Informationssicherheitsmanagementsystemen:

- ISO/IEC 27000:2016 gibt einen Überblick über die ISO/IEC-27000-Familie und enthält Definitionen.
- ISO 27001:2013 beschreibt die Anforderungen an ein ISMS.
- ISO 27002:2013 enthält eine Anleitung für die praktische Umsetzung der Kontrollelemente der ISO 27001:2013.
- Ein Implementierungsleitfaden eines ISMS ist in der ISO 27003:2010 enthal­ten.
- ISO 27004:2009 beschäftigt sich mit der Metriken zur Messung der Informa­tionssicherheit.
- Das Risikomanagement wird in der ISO 27005:2011 beschrieben.
- Die Normenfamilie enthält weitere Normen für das Cloud Computing, die si­chere Software-Entwicklung etc.

Ein ISMS entsprechend der Norm ISO 27001 kann von verschiedenen Organisationen zertifiziert werden, z. B. vom TÜV. Dieses Prüfsiegel stärkt das Vertrauen der Kunden in die Fähigkeit eines Unternehmens, mit der IT-Sicherheit angemessen umzugehen. Aufgrund der Vertraulichkeit von Schutzkonzepten, analysierten Angriffen und konkre­ten Gegenmaßnahmen ist eine Zertifizierung häufig der einzige Weg, dieses Vertrauen herzustellen. Die Vertraulichkeit von sicherheitsrelevanten Dokumentationen und Maß­nahmen ist essenziell, weil ein Angreifer mit diesen Informationen sehr zielgerichtet Schwachstellen finden und diese ausbeuten können (Beckers, 2021).

Alle Mitarbeiter eines Unternehmens müssen nach den Anforderungen an den Daten­schutz geschult sein und diesen aktiv ausüben. Dazu gehört eine regelmäßige Aktuali­sierung des Mail- und Browserprogramms, des Betriebssystems, der Treiber für Netz­werkmodule, der Firewall und der Virenschutzprogramme. Passwörter müssen einzig­artig und alphanumerisch sein und durch mindestens einen zweiten Faktor eine zeitlich beschränkte Gültigkeit im System haben.

Eine externe Datenspeicherung kann nur zum Zweck einer zusätzlichen Datensiche­rung (Sicherungskopien) empfohlen werden. Die jeweilige Teilmenge zu schützender Daten eines Datensatzes muss entweder gesondert verarbeitet werden oder aus dem Datensatz gelöscht werden. Personenbezogene Daten wie Vor- und Nachnamen, Adressen, Bankverbindungen, Telefonnummern, E-Mailadressen und Gesundheitsda­ten dürfen nur befugten Instanzen einsehbar sein. Ebenso müssen Metadaten über Zugriffe auf geschützte Informationen verschlüsselt sein. Der verantwortliche Mitarbei­ter muss während der gesetzlichen Aufbewahrungsfristen in der Lage sein, nach einem Wechsel des IT-Systems oder der Programme innerhalb angemessener Zeit die elek­tronisch dokumentierten Informationen lesbar und verfügbar zu machen.

Der verantwortliche Mitarbeiter sollte beim Abschluss von IT-Dienstleistungsverträgen und in jedem einzelnen Wartungs- oder Reparaturfall darauf achten, dass die gesetzli­chen Vorschriften eingehalten werden.

5.3. Datenschutz

Je nachdem welcher Anbieter für Cloud Computing (CSP, Cloud Service Provider) ge­wählt wurde, müssen regionale Umstände wie gesetzliche Anforderungen und Geopoli­tik beachtet werden um die Einsicht in Daten durch Dritte zu vermeiden.

Das Fernmeldegeheimnis bildet sich aus § 88 TKG und § 10 GG und besagt, dass jeg­liche Kommunikation, welche postalisch oder elektronisch übermittelt wird, inhaltlich nicht vom übermittelnden Dienstleister eingesehen werden darf. Dementsprechend ist Teil der Dienstleistung strikte Geheimhaltung über den Inhalt von Nachrichten, welche über einen elektronischen Nachrichtendienst gesendet werden. Dies schliesst auch den Einblick durch Dritte wie Geschäftspartner des Dienstleisters oder eine Regie­rungsbehörde aus. Weil bestehende Datenschutzgesetze bisher oft nur mit der Offen­legung von Cookies, Trackern und der Verwendung von den daraus resultierenden Analysedaten in Verbindung gebracht werden und entscheidend ist, welche Staatsbür­gerschaft ein Nutzer hat, sorgen weitere Vorschläge und Diskussion dafür, dass die Gesetzgebung dem Wandel durch fortschreitende Technik standhalten kann und wie das deutsche Fernmeldegeheimnis, Bundesdatenschutzgesetz und europäische Nor­men jegliche elektronische Kommunikation beinhaltet und nicht nur schrittweise einen Datenschutz für einzelne Technologien erhebt.

5.3.1. Electronic Communications Privacy Act

In 1986 wurde Datenschutz in den Vereinigten Staaten von Amerika als Gesetz defi­niert (ECPA, Electronic Communications Privacy Act). Dabei werden Regeln festgelegt, welche einen Rahmen für einen Datenschutz bei elektronischer Kommunikation auf nationaler wie auch internationaler Ebene vorgeben. Diese Gesetzesgrundlage soll vermeiden, dass Signale bei der elektronischen Kommunikation abgefangen werden, indem es den Zugang, die Nutzung und die Unterbrechung von einem elektronischen Datenverkehr durch Dritte ausschliesst. Hier wird auch auf den Handel mit ausländi­schen Partnern verwiesen.

5.3.2. Patriot Act

Title 50 Section 1881a des United States Code erlaubt es US-amerikanischen Behör­den, ähnlich wie es deutschen Behörden erlaubt ist (BDSG, Bundesdatenschutzge­setz), jegliche Daten, die eine Firma speichert, welche auch in den Vereinigten Staaten von Amerika tätig ist - unabhängig von der Nationalität des Nutzers - bei Bedarf zur Prüfung eines Verdachts einzusehen (van Hoboken et. al., 2012).

Die Abfrage reicht von Verbindungsdaten und bis hin zu den jeweiligen Inhalten über­mittelter Nachrichten. Nachdem keine weiteren Szenarien definiert sind, erlaubt dieses Gesetz dem US-amerikanischen Staat regelmäßig Informationen über eine Person und eine Gruppe von Personen einzusammeln, welche durch einen US-amerikanischen Anbieter verarbeitet werden.

5.3.3. Safe Harbor

Ab dem Jahr 2000 galt die Bestimmung von Safe Harbour, welche US-amerikanischen Unternehmen die Übermittlung von personenbezogenen Daten erlaubte. Ein Hinweis, wie diese Daten verwendet wurden und welche Kooperationspartner des Unterneh­mens zusätzlich von den Informationen profitieren, musste nicht erfolgen. Auch gab es keine konkrete Einschränkung darüber, welche Informationen verarbeitet wurden (Reinhold, 2017).

5.3.4. Datenschutzgrundverordnung der Europäischen Union

Mit den Normen der Verordnung EU 2016/679 (GDPR, General Data Protection Regu­lation) hat jede Person, welche Bürger eines Mitgliedstaates der EU ist, Recht auf den Schutz der sie betreffenden Daten (Das Europäische Parlament und der Rat der Euro­päischen Union, 2016). Seit dieser Durchsetzung müssen Unternehmen darauf hinwei­sen, dass und wie Nutzungsdaten und personenbezogene Daten genutzt und verarbei­tet werden und welche Anbieter von diesen Daten und den daraus resultierenden Er­kenntnissen profitieren. Zudem muss es eine Möglichkeit geben, vor Beginn und wäh­rend der Nutzung entscheiden zu können, welche Daten verarbeitet werden.

5.3.5. EU-US Privacy Shield

Zeitgleich mit der GDPR wurde auch das Abkommen über die Verarbeitung von perso­nenbezogenen Daten von Bürgern der EU mit den Vereinigten Staaten von Amerika überarbeitet. Seit der Änderung am 12. Juli 2016 müssen sich US-amerikanische Un­ternehmen an die zusätzlichen Datenschutzregelungen der EU halten. Dies gestattet EU Bürgern auch das Recht, einen Missbrauch der übermittelten Daten zu melden und über den Verwaltungsweg durchzusetzen.

5.3.6. CLOUD Act

US-Behörden ist es ermöglicht worden (CLOUD, Clarifying Lawful Overseas Use of Data), Zugriff auf diejenigen Daten zu verlangen, die US-amerikanischen CSP (auch über Tochterunternehmen) im Ausland speichern. Es können also auch Daten betroffen sein, die innerhalb der Europäischen Union verarbeitet werden oder aus anderen Gründen unter die Regelungen der GDPR fallen. Der Schutz der Daten vor behördli­chem Zugriff kann also mit Geltung des CLOUD Acts nicht mehr dadurch erreicht wer­den, dass diese außerhalb der USA gespeichert werden. Europäische Unternehmen müssen bei der Beauftragung von US-Providern die neue Rechtslage beachten und bestehende Risiken gegeneinander abwägen (Ionos, 2021).

Dementsprechend ist nun ein Gesetzt gegen unlauteren Wettbewerb (UWG) und zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft.

Abbildung 2: Datensouveränität

Abbildung in dieser Leseprobe nicht enthalten

Digitale Souveräntiät für Unternehmen durch die Nutzung von IT-Dienstleistern und Cloud-Anbietern mit Sitz und Rechenzen­tren in Europa bieten maximal mehr Sicherheit vor rechtlichen Abfragen durch US-amerikanische Behörden und Konzerne (Quelle: Ionos, 2021)

5.4. Verschlüsselung

CSP bieten eine erhöhte Sicherheit vor Bedrohungen durch Angriffe auf die IT-Infra­struktur und erleichtern die Instandhaltung und Wartung, weil keine zusätzlichen, inter­nen Ressourcen zur Sicherstellung von Informationen bereitgestellt werden müssen. Um einen sicheren Zugriff auf die Daten und informationsverarbeitenden Applikationen zu garantieren, müssen Schnittstellen und Verbindungen gesichert sein (Velumadhava Rao & Selvamani, 2015). So sichern bereits Zugriffsbeschränkungen (ACL, Access Control Lists) und Entitätszuordnungen (DNS, Domain Name Server), verschlüsselte Protokolle bei der drahtlosem Kommunikation (WPA, WiFi Protected Access) zwischen Geräten und private, virtuelle Netzwerke (VPN, Virtual Private Network), Kommunikati­onsprotokolle (HTTPS, Hypertext Transfer Protocol Secure) und Datenübertragungs­protokolle wie REST API den Zugriff auf Ressourcen und Applikationen von externen Geräten auf das Unternehmensnetzwerk. Mithilfe von einem Proxyserver können Ver­bindungsanfragen über einen einzelnen, überwachten Server mit gesonderten Zertifi­katen und Rechten gebündelt werden (Jacob, Qiao, Ye & Lee, 2022).. Bevor externe Daten intern bei einem Unternehmensnetzwerk verarbeitet werden, können die Verbin­dungsanfragen auf Viren und automatisierte Abfragen geprüft werden (DMZ, Demilita­risierte Zone), während die Kommunikation zwischen Komponenten (TLS, Transport Layer Security), Servern (SSL, Secure Sockets Layer) und Netzwerken (SSH, Secure Shell) durch kryptographische Verschlüsselungen garantiert wird (Mall & Saroj, 2018). Damit Unternehmensdaten und personenbezogene Informationen auch sicher sind, wenn und solange sie an externe Dienstleister ausgelagert werden, ist eine eigene Verschlüsselung wichtig (Parikli, Dave, Patel & Doshi, 2019). Basierend auf der Daten­limitierung können Nutzerrollen vergeben werden, sodass kritische Daten nur von Per­sonen eingesehen werden können, die berechtigt sind, diese zu verarbeiten. Um Drit­ten den Zugriff zu erschweren haben sich symmetrische (AES, Advanced Encryption Standard) und asymmetrische (PBKDF2, Password-Based Key Derivation Function 2) Verschlüsselungsverfahren etabliert. Mithilfe von öffentlichen und privaten Schlüsseln (RSA, Rivest-Shamir-Adleman) können nur Teilnehmer auf den Inhalt einer Nachricht oder Datei zugreifen, denen zuvor der Schlüssel geteilt wurde (Arshinskiy & Shurkho- vetsky, 2022). Damit der Inhaber eines Schlüssels einer bestimmten Identitäten zuge­ordnet werden kann, werden MFA wie zeitbasierte Kodifizierungen über die Telefon­nummer oder Email hinzugezogen. Diese werden auch über biometrische Kennungen wie einen Fingerabdruck erweitert. Hybride Verfahren und eine dezentralisierte Spei­cherung von Identifikationen bieten einen hohen Schutz für Informationen (PGP, Pretty Good Privacy).

5.5. Diversifikation

Um einerseits Replikationen von Daten bei mehreren Rechenzentren unabhängig von­einander zu speichern als auch spezielle Funktionen von einzelnen Anbieter zu ver­wenden, kann eine Auslagerung der IT-Infrastruktur bei mehreren CSP in Frage kom­men (engl. Multi-Cloud). In Deutschland und Europa kommen neben bekannten Anbie­tern wie Amazon Web Services, Microsoft Azure und Google Cloud Platform die Ionos Cloud von 1&1 wie auch die Lösungen von Strato in Betracht.

Abbildung 3: Multi-Cloud

Abbildung in dieser Leseprobe nicht enthalten

Die Multi-Cloud - Cloud Infrastruktur ganz nach Bedarf (Quelle: Ionos, 2022)

Durch die Nutzung unterschiedlicher Anbieter kann die IT-Infrastruktur optimiert werden und die Flexibilität bei der Verwaltung der Unternehmensressourcen gesteigert werden indem eine optimale Software-Unterstützung für alle Applikationen sichergestellt wer­den wodurch die bestehende Cloud-Infrastruktur problemlos erweitert werden kann. Dies erhöht die Datensicherheit, da ein geringeres Risiko durch einen Serverausfall oder Datenverlust besteht und so Notfallsituationen vorgebeugt werden. Die Verwal­tung wird durch diesen Schritt jedoch komplexer und es kann sein, dass manche Daten und Applikationen nur bei einem einzigen Anwender genutzt werden können weswe­gen zusätzliche Schnittstellen und Kommunikationswege erschlossen werden müssen (Ionos, 2022).

6. Chancen

Ein Risiko teilt mit einer unternehmerischen Chance das Vorliegen einer spezifischen Unsicherheitssituation. Sie unterscheidet sich jedoch hinsichtlich der Ausprägung der Konsequenzen, die bei einer Chance gerade in der Erreichung eines optimalen Ergeb­nisses, der Erreichung oder Übererfüllung eines Zieles liegt. Beim Vorliegen extremer Verlustaversion zur Vermeidung von identifizierten Risiken bedeutet eine Verminderung der Standardabweichung von definierten Unternehmenszielen durch die Zweiseitigkeit des Streuungsmaßes auch einen Verzicht auf unternehmerische Chancen. Ein wichti­ges Definitionsmerkmal der unternehmerischen Tätigkeit - das Tragen des allgemeinen unternehmerischen Risikos - schwindet (Sorger, 2008). Im Strategie- und Planungs­prozess eines Unternehmens sollte bedacht werden, dass die Änderung von Umstän­den genutzt werden kann, um neue Geschäftsideen und Märkte für Produkte zu er­schließen.

6.1. Ortsunabhängigkeit

Sobald Daten und Software, welche im Tagesgeschäft eines Unternehmens verwendet werden in eine Cloud übertragen und die Verbindungen an die Endgeräte von Mitarbei­tern verschlüsselt wurden, können alle Personen ortsunabhängig arbeiten. Solange eine ausreichende Internetverbindung und Strom vorhanden sind, kann sich ein Mitar­beiter über Videokonferenzen austauschen und mit seinen Kollegen in geteilten Doku­menten und Dateien arbeiten. Dies erleichtert die Arbeit im Home Office, vor Ort im Be­trieb, bei Geschäftskunden und Partnern wie auch Remote da Informationen synchro­nisiert sind um weitere Schritte entscheiden zu können.

6.2. Flexibilität und Skalierbarkeit

Je nach Bedarf kann der Speicher erweitertet werden falls große Mengen an Daten gesammelt und verarbeitet werden müssen. Die Fülle an digital verarbeiteten Daten ist seit 1986 exponentiell gewachsen und verdreifacht sich voraussichtlich von 59 ZB im Jahr 2020 auf 175 ZB im Jahr 2025. Die Rechenkapazitäten zur Verarbeitung dieser Daten werden ebenso stärker und beeinflussen die Vielfalt der Anwendungsmöglichkei­ten von industrieller Analyse großer Datensätze (IBDA, Industrial Big Data Analytics). Wird eine Anwendung besonders genutzt, können Spitzenlasten durch Zugriffe auf eine Ressource und die damit verbundenen Datenübertragungen kurzfristig skaliert werden. Während einer Veranstaltung wird eine Videoübertragung von mehr Leuten zur glei­chen Zeit genutzt und benötigt dementsprechend mehr Instanzen und Bandbreite da­mit alle Verbindungen an Endgeräte ausreichend stabil sind.

Nachdem ein Softwareentwickler eines Unternehmens nach Freigabe der Unterneh­mensführung und mit entsprechendem Budget über eine Schnittstelle wie API sowohl S3 wie auch Rechenleistung eines CSP nutzen kann, kann auch die unternehmensei­gene Software ausgelagert und als Container und Instanz ausgeführt und skaliert wer­den.

6.3. Wartung und Instandhaltung

Falls eigene Server über ein VPN an eine Cloud angeschlossen sind, verbleibt die Wartung des Betriebssystems und virtualisierter Anwendungen wie auch Instandhal­tung der Geräte und Technik. Zusätzlich wird die Anbindung an die Ressourcen eines CSP eingerichtet. Die Administration einer IT-Infrastruktur kann programmatisch bezie­hungsweise visualisiert in Graphiken dargestellt überwacht werden, bei der Spitzenlas­ten und besondere Kosten hervorgehoben werden.

6.4. Optimierung von Kosten

Die Kosten für die Einrichtung einer eigenen IT-Infrastruktur können aufgrund von stei­genden Anforderungen an die Möglichkeiten der Rechenleistung und Sicherheitsbe­stimmungen und einmaligen hohen Kosten bei der Prüfung einer Geschäftsidee die möglichen Gewinne übersteigen und es kann sein, dass sich die Investition nicht amor­tisiert (Naser, Kamil & Thomas, 2015).

Abbildung 4: Kosten für die Ressourcen von CSP

Abbildung in dieser Leseprobe nicht enthalten

Vergleich der Zertifizierungen und Kosten pro Stunde von AWS, Azure & Ionos (Quelle: eigene Darstellung nach Cloud Aca­demy & Data Semantics, 2022)

Daher kann es sinnvoll sein, stundenweise zusätzliche Ressourcen zu buchen, um die Validität eines Geschäftsmodells zu prüfen oder die bestehende Infrastruktur eines Un­ternehmens entsprechend zu erweitern.

7. Anbindung

Da es unterschiedliche Betriebssysteme wie macOS und Windows, Programmierspra­chen wie Java und C, CSP und Anbieter für Anwendungsfälle von Cloud Computing wie Terraform und Docker gibt, mit der sich ein virtuelles Rechenzentrum (VDC, Virtual Data Center) und dessen Ressourcen anbinden lassen, soll ein Beispiel in Pseudo­code notwendige Schritte beschreiben, um die API eines CSP zu nutzen. Mithilfe der Dokumentation können in der Kommandozeile Befehle auf dem Endgerät und Be­triebssystem des Nutzers ausgeführt werden (Ionos, 2022).

Abbildung in dieser Leseprobe nicht enthalten

Mit entsprechenden Befehlen der jeweiligen API eines CSP lassen sich nun Ressour­cen wie Ausführungsinstanzen, Lastverteilungen, S3 und Zugriffseinstellungen ansteu­ern. Dies ist ebenso in einer vereinfachten Darstellung möglich (Dashboard).

8. Zusammenfassung

Externe Dienstleistungen für ein IT-System, welches ein VDC mit S3 und Rechenleis­tung bereitstellt wie auch Applikationen, welche über das Internet verwendet werden können, werden als Cloud Computing bezeichnet. Dabei wird ein Rechenzentrum be­trieben, welches die Ressourcen mehrerer Server nutzt, um ein ganzheitliches System anzubieten, welches auf einem oder mehreren Endgeräten genutzt werden kann und einen Datenaustausch zur Verarbeitung und Speicherung ermöglicht. Je nach Anwen­dungsfall kann ein Geschäftskunde IaaS, PaaS, SaaS oder DaaS nutzen um das eige­ne Geschäftsmodell zu erweitern und Komponenten eines Systems auszulagern be­ziehungsweise zu ergänzen. Um Anforderungen an die Datensicherheit zu erfüllen, kann entweder die eigene IT-Infrastruktur mit einer Private Cloud erweitert werden oder bei Bedarf von zusätzlichen Ressourcen eine Public Cloud genutzt werden. Auch Kombinationen unterschiedlicher Modelle sind möglich. Ein ERM und ISMS kann hel­fen, Bedrohungen zu erkennen, zu mitigieren und zu vermeiden. CI ist nötig um zu­künftige Probleme zu lösen. Es bestehen Sicherheitsrisiken der eigenen Infrastruktur, welche durch die Wahl eines CSP mitigiert und vermieden werden können. Da bei der Wahl ausländischer Dienstleister geopolitische Risiken beachtet werden sollten, ist ne­ben eigenen, hybriden Verschlüsselungen und Zugriffsbeschränkungen des Datenver­kehrs ein CSP im eigenen Rechtsraum empfehlenswert. Die Nutzung mehrerer CSP kann Möglichkeiten eröffnen, die sowohl sicher sind als auch dem Bedarf spezieller Anwendungsfälle gerecht wird. Mitarbeiter können ortsunabhängig arbeiten und An­wendungen können mit zusätzlichen Ressourcen flexibel skaliert werden während Kos­ten optimiert werden. Cloud Computing ist oft agnostisch bezüglich der Wahl von Technologien und ermöglicht eine Anbindung mit mehreren Betriebssystemen und die Nutzung von unterschiedlichen Programmiersprachen.

9. Fazit

Digitale Lösungen können zusätzliche Ressourcen zur Speicherung, Verarbeitung und Sicherstellung von Daten benötigen, die die Möglichkeiten eines einzelnen Unterneh­mens übersteigen. Wird die Infrastruktur geteilt und Rechenzentren und Dienstleistun­gen von weiteren Anbietern genutzt, kann mit eigener, hybrider Verschlüsselung so­wohl eine Informationssicherheit wie auch ortsunabhängige, flexible Skalierung ermög­licht werden. Wie dies umgesetzt und optimiert werden kann, wird fortlaufend erprobt und erforscht.

Literaturverzeichnis

Alter Solutions. (2022). Was ist Security Threat Modeling? - Eine Einführung. https:// alter-solutions.de/allgemein/was-ist-security-threat-modeling-eine-einfuehrung/

Arshinskiy, L., & Shurkhovetsky, G. (2022). Methods of Information Security in Cloud Storages. Transportation Research Procedia, 61, 455-461. https://doi.org/10.1016/).- trpro.2022.01.074

Bundesamt für Sicherheit in der Informationstechnik. (2016). Cloud Computing Grund­lagen. https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/ Grundlagen/CloudComputing-Grundlagen.html

Leitlinie zur Informationssicherheit, (2019). https://www.bsi.bund.de/SharedDocs/ Downloads/DE/BSI/Grundschutz/Hilfsmittel/Recplast/A01_Sicherheitsleitlinie.pdf? b- lob=publicationFile&v=7

Büst, R. (2013). Daten sind das neue Öl. Wirtschaftsinformatik & Management, 5 (2), 40-46. https://doi.org/10.1365/s35764-013-0277-4

Casola, V., de Benedictis, A., Rak, M., & Rios, E. (2016). Security-by-design in Clouds: A Security-SLA Driven Methodology to Build Secure Cloud Applications. Procedia Computer Science, 97, 53-62. https://doi.org/10.1016/j.procs.2016.08.280

Cloud Academy. (2022). What is Cloud Computing: A Full Overview. https://cloudaca- demy.com/blog/what-is-cloud-computing/

DataSemantics. (2021). AWS vs. Azure. https://datasemantics.co/aws-vs-azure-cloud- platforms/

Hanschke, I., & Lorenz, R. (2021). Strategisches Prozessmanagement - einfach und effektiv. In Strategisches Prozessmanagement - einfach und effektiv (2nd ed.). Carl Hanser. https://doi.org/10.3139/9783446466432.fm

Ionos SE. (2021). Aktuelle Rechtslage zum US-Datentransfer.

Irsheid, A., Murad, A., AlNajdawi, M., & Qusef, A. (2022). Information security risk ma­nagement models for cloud hosted systems: A comparative study. Procedia Computer Science, 204, 205-217. https://doi.org/10.1016/j.procs.2022.08.025

Jacob, S., Qiao, Y., Ye, Y., & Lee, B. (2022). Anomalous distributed traffic: Detecting cyber security attacks amongst microservices using graph convolutional networks. Computers and Security, 118. https://doi.org/10.10167j.cose.2022.102728

Kumar, P R., Raj, P H., & Jelciana, P (2018). Exploring Data Security Issues and So­lutions in Cloud Computing. Procedia Computer Science, 125, 691-697. https://doi.org/ 10.1016/j.procs.2017.12.089

Lynn, T., Mooney, J. G., Domaschka, J., & Ellis, K. A. (2020). Managing Distributed Cloud Applications and Infrastructure. Springer International Publishing. https://doi.org/ 10.1007/978-3-030-39863-7

Mall, S., & Saroj, S. K. (2018). A new security framework for cloud data. Procedia Computer Science, 143, 765-775. https://doi.org/10.1016/j.procs.2018.10.397

Naser, S., Kamil, S., & Thomas, N. (2015). A Case Study in Inspecting the Cost of Se­curity in Cloud Computing. Electronic Notes in Theoretical Computer Science, 318, 179-196. https://doi.org/10.1016Zj.entcs.2015.10.026

Parikli, S., Dave, D., Patel, R., & Doshi, N. (2019). Security and privacy issues in cloud, fog and edge computing. Procedia Computer Science, 160, 734-739. https://doi.org/ 10.1016/j.procs.2019.11.018

Pfleeger, S. L., & Caputo, D. D. (2012). Leveraging behavioral science to mitigate cy­ber security risk. Computers & Security, 31(4), 597-611. https://doi.org/10.1016/ j.cose.2011.12.010

Reinhold, P (2017). Sicheres Cloud Computing in der Praxis. http://www.qucosa.de/ fileadmin/data/qucosa/documents/22228/Dissertation_Paul_Reinhold.pdf

Security Insider. (2022). Was ist eine Bedrohungsanalyse. https://www.security-insi- der.de/was-ist-bedrohungsanalyse-a-739801/

Sorger, H. (2008). Entscheidungsorientiertes Risikomanagement in der Industrieunter­nehmung. Peter Lang D. https://doi.org/10.3726/b13927

Velumadhava Rao, R., & Selvamani, K. (2015). Data security challenges and its soluti­ons in cloud computing. Procedia Computer Science, 48(C), 204-209. https://doi.org/ 10.1016/j.procs.2015.04.171

[...]

Ende der Leseprobe aus 23 Seiten

Details

Titel
Informationssicherheit im Cloud-Computing
Hochschule
Hochschule Fresenius München  (onlineplus)
Veranstaltung
M163
Note
1,0
Autor
Jahr
2022
Seiten
23
Katalognummer
V1318357
ISBN (eBook)
9783346802194
ISBN (Buch)
9783346802200
Sprache
Deutsch
Schlagworte
Cloud Computing, IT-Sicherheit, Datenschutz, Netzwerke
Arbeit zitieren
Constantin Sinowski (Autor:in), 2022, Informationssicherheit im Cloud-Computing, München, GRIN Verlag, https://www.grin.com/document/1318357

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Informationssicherheit im Cloud-Computing


Ähnliche Arbeiten


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden