#51 – Cloud Sicherheit

HITcast Episode 51, Cloud-Sicherheit. So schützen Sie Ihre Daten in der Cloud.

Hallo und herzlich willkommen zu Folge 51 unseres hagel IT-Podcasts. Heute Thema Cloud-Sicherheit. Moin Dennis.

Hallo Philip, grüß dich.

Ja, lang ist es her.

Das Thema Cloud-Sicherheit, ja.

Lang ist es zu erzählen, in der letzten Folge. Uns ist da was dazwischen gekommen, könnte man sagen. Also, ein, zwei Sachen.

Ich glaube, dabei belassen wir es. Es war viel los, aber jetzt sind wir wieder da.

Noch kurz vor der Sommerpause.

Und haben ein wichtiges und spannendes Thema mitgebracht.

Genau, du hast es gerade schon angerissen. Cloud-Sicherheit. Ein bisschen näher betrachtet wollen wir darüber sprechen. Wie schützt man eigentlich seine Daten und vor allem seine sensiblen Daten in der Cloud. Wir haben ja in den letzten 50 Episoden hier vor dieser durchaus das ein oder andere Mal über Umzüge in die Cloud gesprochen und wollen jetzt heute einfach noch mal ein bisschen näher darauf eingehen, was bedeutet das eigentlich, wenn meine Daten in der Cloud liegen und wie kann ich diese dort am sichersten verwahren sozusagen. Ich würde vorschlagen, wir starten einfach mal ganz locker rein. hast du vielleicht den ersten Tipp, sozusagen, wenn es darum geht, wie sichere ich meine Daten sinnvoll in der Cloud, beziehungsweise wo, wie kann ich sie so ablegen, damit ich sie im besten Fall vor Zugriff Dritter schützen kann?

Ja, genau. Also im ersten Schritt muss ich mir natürlich Gedanken darüber machen, was für Daten habe ich eigentlich? Also ich muss sie klassifizieren, dafür muss ich wissen, welche Daten liegen wo. Und dann kann ich anhand dieser Klassifizierung natürlich entscheiden, wie hoch ist da der Schutzbedarf und welche Daten sind eben besonders sensibel. Und darauf baut sich alles weitere letztendlich auf.

Ja, mit Klassifizierung, also mit Datenklassifizierung meinst du jetzt quasi geordnet der Sensibilität nach. Du meinst jetzt nicht beispielsweise abteilungsabhängig,

sondern hier geht es wirklich nur darum,

wie sensibel ist diese Datei, über die wir hier gerade sprechen?

Genau, typischerweise habe ich ja, ich sage mal als Beispiel, einen Personalordner vielleicht. Und im Personalordner, da sind ja durchaus sensible und schützenswerte Daten drin. Da sind irgendwie Gehaltsabrechnungen drin, da sind steuerlich relevante Daten drin. Also Sachen, die man vielleicht sagt, das wäre schon ganz cool, wenn die irgendwie nicht offen rumliegen. Und dann gibt es aber auch Ordner, da sind einfach nur irgendwelche Vorlagen drin, irgendwelche Word-Dokumente mit irgendwie Briefkopf. Das ist ja nichts Sensibles, das ist ja also nichts großartig Schützenswertes. Und das muss ich natürlich in meiner Dateistruktur, die ich habe, du hast eben abteilungsbasiert gesagt, ist mir auch relativ häufig vorhanden, das muss ich natürlich darin dann irgendwie wiederfinden, wo sind diese sensiblen Daten.

Okay, das heißt, ich muss mir schon auch Gedanken machen, dann am Ende ja welche Mitarbeiter, um bei den Abteilungen zu bleiben, dürfen auf diese sensiblen Daten zugreifen, was ja aber wiederum dazu führt, dass auch immer mehrere Mitarbeiter darauf Zugriff haben werden oder werden müssen.

Das kann in einzelnen Fällen so sein, genau. Und das ist genau das Ergebnis nachher dieser Datenklassifizierung, dass ich dann eben schaue, wo sind genau diese Daten und wer hat darauf Zugriff, wer kann darauf Zugriff haben und welche zusätzlichen Schutzmaßnahmen brauche ich vielleicht. Bei dem einen reicht vielleicht einfach nur, dass ich die Ordnerzugriffsrechte beschränke. Vielleicht brauche ich aber auch Schreib- und Leserechte, muss ich unterscheiden. Vielleicht muss ich aber auch bestimmte Daten nochmal gesondert verschlüsseln, weil sie eben besonders schützenswert sind. Genau, das kann ich aber erst, nachdem ich natürlich weiß, welche Daten habe ich überhaupt.

Jetzt haben wir ja in der Vergangenheit ganz oft über beispielsweise Microsoft OneDrive oder SharePoint gesprochen. Es ist ja üblicherweise so, Mitarbeiter X aus Abteilung Personal, nur um mal bei diesem Beispiel zu bleiben, das du aufgeführt hast, braucht Zugriff auf sensible Personaldaten. Jetzt ist es ja üblicherweise, also quasi out of the box erstmal so, dass ich, wenn ich mein Login für Microsoft 365 habe, von jedem beliebigen Gerät auf der Welt kann ich mich da anmelden und sagen, okay, pass auf, ich kann jetzt hier auf meine Sharepoint-Struktur zugreifen Und eben genau da an diesem Punkt mit meiner Zugriffsberechtigung habe ich auch diese sensiblen Daten. Das ist ja, ich sag mal, offensichtlich betrachtet erst mal ein Sicherheitsrisiko, oder?

Das kann erst mal ein Sicherheitsrisiko sein, genau. Deswegen ist das natürlich ein ganz wichtiger Punkt und so ein bisschen auch der zweite Punkt, Und natürlich, dass wir sagen, ja, Zykuskontrolle. Thema starke Passwörter haben wir in der Vergangenheit auch schon besprochen. Wichtiger Punkt. Passwörter, die ich eben auch für jeden Dienst nur einmal habe, also nicht das gleiche Passwort für mehrere verschiedene Dienste verwende. Und darüber hinaus, und auch das haben wir schon in der Vergangenheit thematisiert, Multifaktor-Authentifizierung. weil klar, sobald die Daten in der Cloud liegen und das betrifft nicht nur OneDrive, SharePoint, sondern auch eigentlich die meisten anderen Cloud-Dienste, kann ich halt von jedem Gerät darauf zugreifen, wenn ich den Benutzernamen und das Passwort habe. Und das umgehe ich mit der Multifaktor-Odentifizierung.

Ja, nun kann ich ja auch in der Theorie jedenfalls erstmal, kann ich ja auch dafür sorgen, dass beispielsweise Mitarbeiter X sich auch nur von Gerät X in diese Umgebung einloggen kann, oder?

Ja, genau. Das kann man eben einschränken, je nach System, je nach Diensten, die ich nutze, kann ich das weiter einschränken und auch eben ein Teil der Zugriffskontrolle, eben dass ich sage, ja, was für Richtlinien wende ich die eben darauf noch an.

Ja, ich glaube, der Kreis schließt sich relativ schnell wieder, weil du sagst ja auch gerade, es kommt eben darauf an, dass die Mitarbeiter sinnvolle Passwörter nutzen, dass die Mitarbeiter mehr Faktor-Authentifizierung nutzen. Also wir haben immer wieder, immer wieder stellen wir fest, dass quasi das schwächste Glied der Kette weiterhin der Mitarbeiter ist, beziehungsweise der Mensch. Absolut, ja. Ich glaube, dass die Sensibilisierung da wieder ein großes Thema ist, auch in diesem Kontext.

Ganz genau. Also wir haben ja das Thema Phishing häufig auch in dem Kontext dann. Und ja, da ist es wieder der Mensch, der irgendwo dann darauf reinfällt. Und auch da schützt eben wieder das Thema Multifaktor. Aber auch da schützt die Einschränkung der Zugriffsmöglichkeiten auf bestimmte Geräte oder Umgebungen. All das sind eben dann technische Maßnahmen, die das so ein bisschen ausgleichen können, sag ich mal. Ja.

Ich würde gerne nochmal ein Stück zurück zu der Datenklassifizierung. Wenn ich jetzt klassifiziert habe, was die sensiblen Daten sind oder welche die schützenswertesten Daten sind. Was genau unterscheidet denn das Ablegen dieser Daten von den herkömmlichen? Also wie kann ich mir das plakativ vorstellen, dass die unterschiedlich in der Cloud gespeichert sind?

Das Einfachste ist ja, dass ich die Daten in unterschiedliche Bereiche packe und die Zugriffsrechte unterschiedlich halte. Dass eben auf die Personaldaten auch nur die Mitarbeiter der Personalabteilung Zugriff haben, aber eben alle anderen nicht. Darüber hinaus kann ich dann eben noch sagen, ich verschlüssel die Daten und habe damit eben zusätzlich zu dem normalen Zugriffsschutz auch noch einen Schutz der Daten, die dort liegen. Das ist eben dann besonders sinnvoll, sicherlich, wenn es Daten eben besonderer Geheimhaltung gibt, seien es irgendwie vielleicht Firmengeheimnisse oder bestimmte Vorgehensweisen, um eben Produkte zu erstellen, wo man wirklich sicherstellen will, dass egal wie auch immer jemand darauf Zugriff erhält, damit nichts anfangen kann.

Jetzt klingt das Thema Verschlüsselung sicherlich für den einen oder anderen Zuhörer oder für die eine oder andere Zuhörerin, ich sag mal in Anführungszeichen recht kompliziert. Also wie genau muss ich mir das vorstellen? Ich habe jetzt eine Datei, die ist verschlüsselt und ich bin aber jemand, der die Berechtigung hat, darauf zuzugreifen. Muss ich mir das jetzt so vorstellen, dass wenn ich die Datei öffne, ich dann erneut zu meiner eigentlichen Authentifizierung noch mal, ich sag mal, ein irrsinnig kompliziertes Passwort eingeben muss, um die Datei zu entschlüsseln? Möglicherweise, ja.

Das hängt letztendlich davon ab, welche Variante verwende ich, welche Software verwende ich dafür, welche Lösung nehme ich für die Verschlüsselung. Und da gibt's diverse verschiedene, klar. Und davon hängt es auch ab nachher, ob ich dann eben noch ein Passwort eingeben muss oder auch möglicherweise einen Hardware-Token haben muss, um das zu entschlüsseln. Also da gibt es die verschiedensten Varianten.

Ja, jetzt unterstellen wir, dass wir die Daten klassifiziert haben, dass wir entsprechende Zugriffskontrollen haben, dass wir entsprechende Benutzergruppen haben etc. Jetzt mache ich das so ein paar Monate. Wie stelle ich denn sicher, dass das Verfahren, das ich nutze, das für mich den meisten Sinn ergibt, das für mich sicher erscheint, auch wirklich immer auf dem aktuellen Stand der Dinge ist sozusagen. Also ob das nicht irgendwann quasi, ich sag mal, nicht mehr die die Best Practice Methode ist, die aktuell auf dem Markt ist.

Na gut, das ist im Endeffekt wie bei allen anderen IT-Systemen auch. Ich muss Systeme immer aktuell halten, ganz klar. Ich muss also auch von solcher Verschlüsselungssoftware muss ich irgendwie dann gegebenenfalls Updates installieren oder aktivieren. Und ich muss natürlich regelmäßig auch mal, ja vielleicht auch von extern, ja dem was ist für Datensender mal prüfen lassen, wie sicher ist das Ganze denn. Wir haben immer wieder das Thema der sogenannten Pen-Tests, Penetration-Tests, wo also IT-Sicherheitsbeauftragte dann gezielt versuchen, die vorhandenen Sicherheitsmaßnahmen zu umgehen und dann ja einfach Schwachstellen aufzudecken, um dann eben, bevor es da zum Diebstahl der Daten kommt oder zum Einbruch kommt, das eben aufzudecken, dass man die eben rechtzeitig schließen kann. Also auch das ist sicherlich ein wichtiger Bestandteil, da regelmäßig auch von extern nochmal das Ganze auditieren zu lassen.

Ja, jetzt kommen wir mal zum Ernstfall vielleicht. Also ich habe wirklich alles getan, was in meiner Macht steht, um da ein sicheres System auf die Beine zu stellen. Aber es passiert irgendwas. Wir sind ja nie zu 100 Prozent davor gewappnet, dass irgendwas passiert. Wie sollte da ein geregelter Ablauf sein und wie wichtig ist nichtsdestotrotz, wie ganz oft angesprochen, schon das Tempo bergab?

Ja, auch da ist es immer wichtig, wenn es zum Tag X kommt und man hat dann das Problem, dass entweder ein Datendiebstahl da ist oder die Daten verschlüsselt sind, Thema Ransomware, auch das haben wir schon thematisiert, dann muss ich einen Plan haben. Für alle Sachen, wo ich einen halbwegs geregelten Ablauf haben will, brauche ich einen Plan. Das heißt, ich tue gut daran, einen entsprechenden IT-Notfallplan aufgestellt zu haben im Vorfall, der eben verschiedene Bereiche mit abdeckt. Und da kann dann eben auch mit abdecken den Bereich Datenverschlüsselung, Datenverlust, wo eben klar definiert ist, wer ist wann wie wo, für was verantwortlich, wer führt welche Aufgaben aus. Und eine Aufgabe davon kann eben auch dann die Wiederherstellung eines Backups sein, dass ich natürlich auch von meinen Cloud-Diensten besten Falle habe, denn bei aller einfachen Nutzbarkeit, da halte ich vergessen, da einfach mal einen Blick reinzuwerfen, was macht denn der Anbieter auch von dem Cloud-Dienst, den ich nutze. Also kümmert der sich wirklich um Backups oder stellt der mir nur die Speicherplattform bereit? Bei vielen ist es Letzteres, sodass man sich selber um die Backups kümmern muss oder auch die Backups eben gesondert einfach dazu zu buchen muss. Und ja, natürlich werden die sehr sicher betrieben. Die investieren viel Zeit und Arbeit da rein, diese Plattform sicher zu halten. Aber wenn es eben zu dem Fall kommt, ich muss aus welchem Grund auch immer Daten wiederherstellen, kann ich das nur sicher aus einem Backup, was ich im besten Fall auch vorher schon mal getestet habe.

Ja, jetzt, wenn wir sagen, der Cloud-Anbieter, für den ich mich entschieden habe, dass halt wichtig ist, dass ich entweder ein Backup inkludiert habe oder wenigstens eins dazu buche im weitesten Sinne. Wie wichtig ist denn da der Punkt der Georedundanz? Also wenn ich jetzt sage, ich habe hier Cloud Anbieter X und buche mir bei diesem Cloud Anbieter X auch das Backup dazu. Dann ist es nicht so, das muss ich mir aber nicht so vorstellen, wie ich habe den Serverraum bei mir in der Abstellkammer und habe daneben eine NAS und auf die sichere ich jeden Tag. Das lässt sich jetzt nicht miteinander vergleichen, oder?

Ja, auch das wäre zu prüfen. Da würde ich ganz klar einfach nochmal in die Details schauen. Was sagt denn der Anbieter, was er dafür im Backup macht? Also wo wird es auch gelagert? Wie stellt er sicher, dass das Backup unabhängig von dem, was mit den Primärdaten passiert, auch verfügbar ist? Und da sind die Anbieter in der Regel auch durchaus auskunftsfreudig, beziehungsweise haben das häufig auch schon in ihren Dokumenten irgendwo nachlesbar, was dann genau passiert. Und das würde ich mir im Zweifel genau anschauen. Und wenn das nicht ausreicht für den eigenen Bedarf, auch das muss ich bewerten, würde ich nach einer Alternative Umschau halten. Okay.

Ja, ich glaube von meiner Seite war es das. Erstmal zum jetzigen Zeitpunkt. Ich glaube, es war eine Menge recht komprimiert verpackt. Ich glaube, das muss der eine oder andere vielleicht erstmal sacken lassen. Aber gerne, wie immer am Ende unserer Podcast folgen, der Verweis darauf, wenn es dazu Fragen gibt, Anregungen oder Gesprächsbedarf, hagel-it.de slash Termin. Da einfach einen Termin bei einem unserer Kollegen oder Kolleginnen oder uns beiden buchen und dann sprechen wir im Zweifel drüber. Und an dieser Stelle danke wie immer für die ausführliche Beantwortung der Fragen.

Ja, vielen Dank, Dennis, dass du mir auch die 51. Folge hier über die Bühne gebracht hast und bis zum nächsten Mal. Bis zum nächsten Mal.