zurück zur Übersicht

Cloud-Services: Dunkle Wolken für die IT-Sicherheit?

Nugget Point Light House an dark clouds in the sky, Catlins, New Zealand

Auch wenn in den meisten Unternehmensrichtlinien die Nutzung von Cloud-Anwendungen untersagt ist – meistens findet man sie in der Auswertung des Datenverkehrs dann doch. Früher wurden diese Dienste als Schatten-IT bezeichnet. Dabei sind nicht nur Standarddienste wie Dropbox, WebEx oder Office 365  sondern z.B. auch das bei Programmierern beliebte Online-Repository-System GitHub zu betrachten. Einzelne User oder Teams verwenden solche Services um Arbeitsabläufe zu optimieren oder Werkzeuge zu nutzen, die ihnen die Unternehmens-IT nicht zur Verfügung stellen kann oder will. Diese verbotenen Dienste zu erlaubten Diensten zu machen geht nur, wenn sie für die IT kontrollierbar gemacht werden können. Das ist eine echte Herausforderung.

Es gibt tausende Cloud-Benutzer, und nur einige davon weisen gefährliches Verhalten auf. Um das zu erkennen, reicht es nicht, die Infrastruktur und Netzwerke zu kennen: Es geht darum, Benutzerverhalten zu verstehen und unter Kontrolle zu bringen. Studien zeigen: Je jünger die Endbenutzer sind, desto weniger zufrieden sind sie mit dem aktuellen Stand der Kollaborations-Tools. Die junge Generation schätzt die Risiken eher gering ein und bevorzugt Online Meetings, Cloud-Anwendungen und interaktive Methoden um Informationen zu teilen, während die ältere Generation Emails und direkte Live Meetings präferiert.

Ein anderes Szenario als Schatten-IT ist, wenn die Firma bewusst eigene oder externe Cloud-Anwendungen nutzt. In dieser Kategorie gibt es mittlerweile viele Anwendungen: Office Software, Kommunikationsunterstützung, das Teilen von Daten, externe Infrastruktur & Umgebung. In diesem Fall fehlt oft der Überblick:

  • welche Anwendungen auf welche Weise verwendet werden
  • welche Daten in die Cloud fließen
  • wer tatsächlich Zugang zu den Anwendungen hat
  • wie man auf die Cloud-Anwendungen zugreifen kann (interne Rechner vs. externe Endgeräte)

Die Empfehlung von iT-CUBE Systems lautet, ein kontinuierliches Monitoring des Datenverkehrs aus dem Netzwerk heraus auf Cloud Dienste einzurichten. Ergänzend können Endgeräte auf Software überprüft werden, welche auf die Nutzung von Cloud Diensten hinweist. Da die meisten Mitarbeiter Cloud-Dienste nicht in böswilliger Absicht nutzen, sondern lediglich Arbeitsprozesse optimieren wollen, muss geprüft werden ob bestimmte Cloud Dienste erlaubt werden. Alternativ kann evaluiert werden, ob die eigene IT den Mitarbeitern nicht Tools in ähnlicher Qualität bereitstellen kann. Vorteil einer solchen Lösung ist natürlich, dass Mitarbeiter sich nicht mehr genötigt sehen, IT-Richtlinien zu umgehen. So bleibt die IT Abteilung im „Driver-Seat“ und kann die erlaubten Dienste entsprechend überwachen und schon vor der ersten Nutzung durch die Mitarbeiter Schutzmaßnahmen planen und errichten.

Zurzeit gibt es schon erste Lösungen, die einen Überblick über die Vorgänge in der Cloud bieten. Tools wie Skyfence von Imperva ermöglichen es, verschiedene Aspekte dieser Aktivitäten in den Griff zu bekommen. Es ist beispielsweise möglich, verbotene Cloud-Applikationen zu entdecken. Daten können wirkungsvoll auch in der Cloud geschützt werden. Benutzeraktivitäten können überwacht und nachverfolgt werden, und eine feine Granulierung von Zugriffsrechten wird ermöglicht. Welche Tools es noch gibt, und wie sie Cloud-Dienste sinnvoll in ihr Sicherheitskonzept einbinden können – dabei helfen Ihnen unsere Consultants gerne weiter.


Links:

http://www.net-security.org/secworld.php?id=18797
https://www.skyfence.com/

Bild: ©123RF / a41cats

Schreibe einen Kommentar