Geldinstitute > Security

29.08.2017 von hs

Cloud-Sicherheit muss ganzheitlich gedacht werden

Banken befinden sich beim Thema ‚Cloud Computing’ im permanenten Spannungsfeld zwischen Kostenvorteilen und Flexibilität auf der einen sowie Sicherheit und Verfügbarkeit auf der anderen Seite. Die Folge: Viele Banken agieren beim Cloud Computing zögerlich. Die Redaktion sprach mit Dr. Maxim Schnjakin, Cloud-Experte der Bundesdruckerei, über Argumente gegen die Cloud-Nutzung, die Bedeutung einer ganzheitlichen Cloud-Sicherheit, pragmatische ­Lösungsansätze und über „Sichere Datenhäppchen“.

„Ein zentrales Kriterium für die Wahl ­eines Cloud-Anbieters ist die Daten­sicherheit. Der Nutzer muss sich ­darauf verlassen können, dass die Daten ­beim Anbieter sicher sind und kein Datenverlust droht.“

Wie lässt sich die seit vielen Jahren zu beobachtende Zurückhaltung vieler Banken gegenüber Cloud-Angeboten erklären? 

Hier spielen vor allem Sicherheitsbedenken und Datenschutzgründe eine wichtige Rolle. Banken unterliegen strengen regulatorischen und rechtlichen Vorgaben. So dürfen gemäß Bundesdatenschutzgesetz personenbezogene Daten im Rahmen der Auftragsdatenverarbeitung die Europäische Union nicht verlassen. Banken müssen zudem sicherstellen, dass die Bundesanstalt für Finanzdienst­leistungsaufsicht jederzeit Gebrauch von ihren Informations- und Audit-Rechten machen kann. Dafür muss ein Zugang zu den entsprechenden Ressourcen der IT-Infrastruktur sichergestellt werden. Generell sind kunden- und transaktionsbezogene Daten das höchste Gut von Banken, ein Verlust oder Missbrauch daher nicht ­akzeptabel. 

Nach den Angaben vieler Cloud-An­bieter entsprechen ihre Lösungen den gesetzlichen Vorgaben und bieten ein hohes Maß an Datensicherheit und ­Datenschutz. Wird Cloud-Sicherheit von Anbietern und Anwendern also unterschiedlich wahrgenommen? 

 

Unbestritten ist die technologische Reife von Cloud Computing sehr weit fortgeschritten und nimmt weiterhin stetig zu. Zudem sehen wir einen klaren Trend, die Rechenzentren in Deutschland oder im EU-Raum zu betreiben, um den entsprechenden Datenschutzvorgaben gerecht zu werden. Zentral für Banken ist es jedoch, Cloud-Sicherheit von Anfang bis Ende zu erhalten. Cloud-Sicherheit muss ganzheitlich gedacht und integraler Bestandteil technologischer Cloud-Konzepte werden. Verwendet werden sollte idealerweise das Security-by-Design-Prinzip, das ­Sicherheit als explizite Anforderung im Entwicklungsprozess von Anfang an vorgibt. Genau dies fehlt bei vielen ­Angeboten. 

Was bedeutet das konkret, welche ganzheitlichen Sicherheitsmaßnahmen muss eine Cloud-Lösung in der Praxis erfüllen? 

Gefragt sind technologische Konzepte, mit denen die Datenhoheit gewahrt wird, mit denen sich Daten vertraulich speichern und weitergeben lassen und mit denen eine hohe Sicherheit und Verfügbarkeit der Informationen sichergestellt werden. Dazu gehört der Einsatz moderner Verschlüsselungstechnologien für die Datenübertragung ebenso wie ein Identitätsmanagement mit mehr­stufigen Authentifizierungsmethoden. Zudem können beispielsweise mit Hilfe der neuen Sicherheitstechnologie „Redundant Array of Independent Clouds“, kurz RAIC, auch höchste Anforderungen an Verfügbarkeit und Sicherheit der Daten erfüllt werden. 

Wie funktioniert diese RAIC-Sicherheitstechnologie? 

Die RAIC-Sicherheitstechnologie ist mit dem in der Datenspeicherung bekannten RAID-Prinzip – „Redundant Array of ­Independent Disks“ – vergleichbar und erzeugt quasi sichere Datenhäppchen. Die bei RAID bewusst erzeugte Redundanz wird nun beim Cloud Computing eingesetzt. So werden die Daten zunächst am Client-Rechner verschlüsselt, dann in einzelne Fragmente zerlegt und am Ende verteilt auf mehrere öffentliche Speicherdienste abgelegt. Spezielle Algorithmen sorgen dafür, dass bei der späteren Daten-Wiederherstellung bereits ein Teil der Fragmente genügt.

Welche Vorteile hat der Anwender von dieser „häppchenweisen“ Vorgehensweise?

 

Das Prinzip des verteilten Speicherns ­erhöht den Datenschutz beim Cloud Computing erheblich. Um an die Original­datei zu gelangen, müssten sich die ­Angreifer in alle Speicherdienste, bei denen die Informationen liegen, einhacken sowie gleichzeitig den geheimen Schlüssel des Anwenders kennen – ein sehr ­unwahrscheinliches Szenario. 

Ein weiterer großer Praxisvorteil ist die hohe Verfügbarkeit der Daten: Selbst wenn mehrere Cloud-Speicherdienste ausfallen, wird die Datei ähnlich wie bei einem RAID-System wiederhergestellt, ohne dass der Anwender etwas davon ­bemerkt. 

 

Welche Kriterien sollten Banken bei der Auswahl eines Cloud-Partners besonders berücksichtigen?

Ein zentrales Kriterium für die Wahl eines Cloud-Anbieters ist die Datensicherheit. Der Nutzer muss sich darauf verlassen können, dass die Daten beim Anbieter sicher sind und kein Datenverlust droht. Banken sollten genau darauf achten, dass der Cloud-Anbieter – wie vorhin erläutert – bei Datensicherheit und Datenschutz einen ganzheitlichen Ansatz verfolgt. Um Cloud-Lösungen im Bankensektor stärker zu etablieren, bedarf es zudem vertrauensbildender Maßnahmen von Seiten der Anbieter. Die Cloud ist und bleibt Vertrauenssache. Banken erkennen einen vertrauenswürdigen Partner daran, dass er ein hohes technologisches Know-how und langjährige Praxiserfahrungen im Bereich ‚Datensicherheit’ aufweist. Vertrauen schaffen lässt sich auch mit Hilfe von Zertifizierungen durch kompetente und anerkannte Stellen – wie dem Bundesamt für Sicherheit in der Informationstechnik.

 

Welche Vorgehensweise schlagen Sie Banken beim Thema Cloud Computing vor?

Cloud Computing ist schon länger kein Hype-Thema mehr, sondern eröffnet Banken Kostenvorteile und die Möglichkeit, sich noch stärker auf die Kernkompetenzen zu konzentrieren. Banken sollten daher die Nutzung von Cloud-Services vorbereiten. Ich empfehle hierbei ­einen pragmatischen Ansatz: In einem ersten Schritt ist ein klar umrissener und eingegrenzter Anwendungsfall zu definieren. Das kann zum Beispiel eine sichere und hochverfügbare Ablage für zentrale Kundendokumente sein. Auch Teile der Dokumentenarchivierung lassen sich ­unter Nutzung der RAIC-Sicherheitstechnologie in die Cloud auslagern. Auf Basis der gemachten Erfahrungen können dann weitere Anwendungen in der Cloud umgesetzt werden. Wichtig ist dabei, dass die eingesetzte Cloud-Lösung leicht ­skalierbar ist, global funktioniert und im Einklang mit den regulatorischen Vor­gaben steht.