Vertrauen in die Cloud zurückgewinnen
Altrans IT-Security Consultant Benedikt Heintel: "Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt"
Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und Integrität ihrer Unternehmen
(18.12.13) - Der Skandal um die Späh-Programme der amerikanischen und britischen Regierungen hat dem Boom des Cloud Computing einen ersten Dämpfer verpasst – plötzlich keimen Zweifel auf, ob es so eine gute Idee ist, vertrauliche Daten in der Cloud zu speichern. Altrans IT-Security Consultant Benedikt Heintel erläutert im Interview, wie es um die Sicherheit und das Vertrauen in Cloud-Diensten bestellt ist und was Unternehmen nun tun können, um ihre IT-Sicherheit zu erhöhen.
Herr Heintel, der Markt für Cloud-Dienstleistungen wächst zweistellig. Die Berichterstattung über Prism und Tempora erzeugte allerdings den Eindruck, als sei es um die Sicherheit in der Cloud nicht gut bestellt. Wie ist Ihre Einschätzung?
In der Tat hat der Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen. In Deutschland hat der Datenschutz aufgrund unserer Historie größere Bedeutung als im angelsächsischen Raum.
Durch die Enthüllungen von Edward Snowden wissen wir, dass beim amerikanischen Überwachungsprogramm Prism fast alles aufgezeichnet und ausgewertet wird. Allein dies wäre in Deutschland illegal, denn eine konkrete Überwachung bedarf hier einer richterlichen Verfügung oder der Sachlage einer "Gefahr im Verzug". Ein solch begründeter Anlass ist in den USA nicht notwendig, Geheimgerichte mit nicht-öffentlichen Verfahren und das Verbot der Veröffentlichung sogenannter "Security Letters" sorgen nicht gerade für Vertrauen in die amerikanischen Geheimdienste.
Die Zahl der Nutzer, die über mobile Endgeräte auf Cloud-Dienste zugreifen, wächst. Vergrößert dieser Trend potenzielle Angriffspunkte?
Die mobilen Endgeräte selbst sind gar nicht so kritisch – auch die Betriebssysteme sind relativ sicher, nicht zuletzt wegen ihrem geschlossenen System. Ein wesentlich größeres Problem ist jedoch die teilweise mangelnde Qualität der Software: Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und Integrität ihrer Unternehmen. Vielfach haben sich die Entwickler nicht die Mühe gemacht, Sicherheit in ihre Programme zu integrieren, so dass Smartphones dann über solche Apps leicht angreifbar werden. Insbesondere beim Trend des "BYOD" (Bring your own device) wird das "Mobile Device Management" (MDM) des Unternehmens häufig umgangen.
Könnten die seltenen Updates der Betriebssysteme der Smartphones ein Problem sein?
In der Tat bringen die Hersteller ihre Smartphones häufig mit großartigen Versprechungen auf den Markt, stellen dann aber bereits nach wenigen Monaten die Versorgung mit Updates für das Betriebssystem ein; Apple bildet hier eine rühmliche Ausnahme, da hier Betriebssystem und Hardware aus einer Hand kommen. Alle anderen Anbieter haben natürlich kein großes Interesse daran, Softwareupdates an die spezifische Hardware anzupassen – da sich damit kein Geld verdienen lässt. Im Endeffekt heißt dies, dass vielfach nur Experten ihre Betriebssysteme mit Hilfe eines Root-Zugriffs selbständig auf dem aktuellen Stand halten können. Ein Root-Zugriff wiederum macht den Angriff auf die Smartphones einfacher, da Rechte zur Kontrolle des gesamten Geräts zur Verfügung stehen; diese müssen dann wieder abgesichert werden.
Womit wir beim Faktor Mensch bei der IT-Sicherheit wären
Tatsächlich ist der Mensch mittlerweile der wichtigste Angriffspunkt für Hacker, denn er ist wesentlich leichter zu täuschen als Maschinen. Beim sogenannten Social Engineering versuchen Hacker durch Überzeugung oder Beeinflussung zwischenmenschliche Beziehungen zu manipulieren und dabei am effektivsten an vertrauliche Informationen zu kommen – entweder im realen Leben oder über Chats und soziale Netzwerke. Damit haben Angreifer bereits tausendfach Erfolge erzielt: E-Mails mit Gewinnversprechen, Zahlungsaufforderung oder Androhung strafrechtlicher Verfolgung erzeugen Gefühle wie Freude oder Angst. Gepaart mit der Aufforderung schnell zu handeln geben viele Menschen dann schnell nach. In jedem Fall setzen die Kriminellen an der Vorstellungskraft des Mitarbeiters an und versuchen damit sein Handeln zu lenken. Noch dreister: Angreifer geben sich am Telefon mit falsch angezeigter Telefonnummer als Help Desk aus, lassen sich zum Administrator verbinden und täuschen dort höchste Eile vor. Ein überrumpelter Administrator gibt dann durchaus auch sensible Passwörter heraus – je nachdem, wie er in seiner Persönlichkeit gestrickt ist.
Was empfehlen Sie Unternehmen?
Unternehmen benötigen Strategien dafür, Informationssicherheit im Unternehmen zu verankern. Dazu gehört zum einen ein Informationsmanagementsystem (ISMS), auf der anderen Seite die Schulung der Mitarbeiter. Im Unternehmen sollte bei den Mitarbeitern ein kritisches Bewusstsein für die Gefahren der Technologie entwickelt und für einen misstrauischen Umgang mit neuer und unbekannter IT geworben werden – insbesondere, wenn diese nicht vom Unternehmen empfohlen wurde.
Nach Prism und Tempora glauben signifikant weniger Deutsche an den vertrauenswürdigen Umgang mit den Daten in der Cloud. Wie können Unternehmen dies Vertrauen zurückgewinnen?
Eine Reihe von Cloud Computing-Betreibern haben die Initiative "Cloud Services Made in Germany" gegründet. Allerdings hat die Initiative für mich nur geringe Bedeutung, da die Unternehmen sich zwar verpflichten ihren Hauptsitz in Deutschland zu haben und ausschließlich nach deutschem Recht zu agieren, andererseits aber nicht klar ist, welche Sicherheitsstandards die Unternehmen garantiert einhalten. Wichtiger wäre, dass sich die Anbieter auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen. Außerdem wären vertrauensbildende Maßnahmen denkbar, etwa indem man mögliche Cloud Computing-Kunden einlädt und aufzeigt, wie Sicherheit bei dem Anbieter gelebt wird.
Sind die Unternehmen in Deutschland für die Nutzung von Cloud Computing-Diensten vorbereitet?
Großkonzerne sind in vielen Fällen schon gut gerüstet. Vor allem bei den Mittelständlern besteht hier jedoch enormer Nachholbedarf. Es müssten dringend Maßnahmen ergriffen werden, wenn das intellektuelle Kapital vieler "Hidden Champions" auch in Zukunft vor organisierter internationaler Cyber-Kriminalität sicher sein soll. Neben den Schulungen gilt es auch dringend, ein IT-Sicherheitsmanagement einzuführen – insbesondere dann, wenn die Organisation mit mobilen oder Heimarbeitsplätzen arbeitet. Aufgrund der dramatischen Unterschätzung der IT-Kriminalität, sehe ich hier sogar Teile des wichtigen deutschen Mittelstandes in Gefahr.
Wie könnte es im nächsten Schritt weitergehen, um die Sicherheit in der IT zu erhöhen?
Man könnte bei den kleinen und alltäglichen Dingen ansetzen: Gerade die Sicherheit im E-Mail-Verkehr betrifft fast jeden. Derzeit ähnelt eine verschickte E-Mail einer Postkarte. Die enthaltenen Informationen können mit ein wenig technischem Verständnis E-Mails ohne weiteres mitgelesen werden. Abhilfe schafft hier der digitale Briefe, also die verschlüsselte E-Mail. Im Zweifel sollte die Bundesregierung tätig werden und jedem Deutschen ein digitales Zertifikat ausstellen. Unternehmen können das selbstverständlich auch selbst in die Hand nehmen. Prinzipiell ist es nämlich sehr einfach, eine E-Mail zu verschlüsseln. Dafür müsste allerdings jeder Mitarbeiter ein Zertifikat besitzen. Hierbei handelt es sich um eine digitale Bestätigung der Identität. Hier anzusetzen wäre definitiv ein erster Schritt auf eine umfassende IT-Sicherheit. Die digitale Identität kann darüber hinaus auch für die Authentifizierung gegenüber Cloud-Diensten eingesetzt werden.
(Altran: ra)
Altran: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.