Sicherheit

Die Sicherheit in der IT ist kein ausschließliches Thema für die Cloud, sondern ein Thema das jeden verantwortlichen IT Administrator beschäftigt. Ich möchte ein paar Denkansätze liefern und darstellen, wie es in der Cloud-Lösung von Microsoft darum bestellt ist. Weder bin ich Sicherheitsberater für die IT, noch Rechtsanwalt. Alles was hier steht, stellt meine persönliche Meinung dar.

Entwicklung

Seit die Nutzung des Internets, in all seinen Facetten bei den Konsumenten angekommen ist, wird es immer attraktiver Sicherheitslöcher in der Hard- und Software zu nutzen. Maleware breitete sich weiter aus und gewann mehr und mehr an “Intelligenz”. Eine “saubere” und wirtschaftlich interessante Sparte für kriminelle Aktivitäten tat sich auf. In den Statistiken der Polizei unter Cybercrime aufgeführt. Neben der Schädigung durch Entwendung von Geld, gewinnt zunehmend die Abhörung sowie die gezielte chirurgische Spionage die Überhand.

Zwischen den Staaten findet ein Cyberwarfare (Krieg) statt. Je größer die Abhängigkeiten von Wirtschaft, Politik und privatem Leben von der Computerwelt, desto interessanter wird diese Art der Kriegsführung und Kriminalität. Cybercrime und -warfare machen vor Grenzen keinen Halt — Die Vernetzung der Kriminalität, sowie die Nutzung der vorhandenen IT-Infrastruktur nimmt stattdessen zu. Im Gegensatz zu vielen Unternehmen nehmen Kriminelle, die Angebote von Cloud Lösungen gerne in Anspruch. Haben Sie doch dort, mit niedrigen Investitionskosten, Zugriff auf die neueste Technologie und eine performante Hardware.

Handlungsmöglichkeiten für Anwender

Ein wohlüberlegtes bewegen im Internet, genauso wie die Nutzung der Sicherheitsfunktionen der aktuellsten Software, hilft diese Risiken zu vermindern. Dabei macht die Sammelwut staatlicher und wirtschaftlicher Stellen, sowie der Kriminalität keineswegs halt vor den Geräten. Soziale Plattformen, Suchdienste, Fahrzeuge und vieles, was mir vielleicht noch gar nicht bewusst ist, bieten Informationen über uns und unsere Lebensweise an, die durch künstliche Intelligenz abrufbar sind. Inzwischen lassen sich mit Hilfe simpler Bürosoftware, Massen von Daten auswerten und in Zusammenhang gebracht werden:

  1. Sicherer Passwörter – keine mehrfach Verwendung eines Passworts in Online-Zugängen – regelmäßiges ändern
  2. Die Nutzung, der zur Verfügung stehenden technischen Lösung, die meine Daten schützen.
  3. Der bewusste Umgang mit dem Medium z.B. Abschalten von Ortungsdiensten, Nutzung des Flugmodus …
  4. Sparsam bei der Verteilung von persönlichen Informationen sein.
  5. Die Privatsphäre von Familie, Freunden und Bekannten achten z.B. keine Markierung von Personen auf Fotos
  6. Vermeidung von Diensten, in deren Nutzungsbedingungen, die Verwendung der Informationssammlung drin steht.
  7. Mir bewusst machen, dass es keine kostenlosen Dienste gibt.

Lösungen zur Sicherheit in Office 365 Stand Juni 2014:

  1. Verwendung des Secure Sockets Layer (SSL) Protokolls von Beginn an. Dabei verwendet Microsoft eine eigene Entwicklung des Protokolls, da das Thema Sicherheit bereits vor längerer Zeit, als ein Kernpunkt für die Softwareentwicklung angesehen wurde.
  2. Microsoft Azure Rights Management Services (RMS), die neben Transportregeln, Data Loss Preventation (DLP) auch die Verschlüsslungstechnologie für verschiedene Geräte und deren Betriebssysteme zur Verfügung stellt (iOS, Android, Smartphones und Tablets).
  3. Verschlüsslung von verschiedenen Dateiformaten für das Clientbetriebssystem z.B. pdfs, jpegs auf der Festplatte.
  4. Multifactor Authentification d.h. zusätzlich durch die Anmeldung mit einem Benutzernamen und Password, kann ein Code durch Anruf oder Zusendung einer SMS generiert werden, bevor der Benutzer Zugang zum Portal erhält.
  5. Verwendung von eigenen SSL-Zertifikaten, die Sie käuflich bei verschiedenen Anbietern erwerben können.
  6. Bring your own key (BYOK) entweder durch das Hochladen in den Azure Dienst oder durch Verwendung eines eigenen Hardware Mangement Systems (HMS), so das der Private Key in ihrem eigenen System bleibt und Sie lediglich den Public Key dem Rechenzentrum zur Verfügung stellen.

Für das Fiskaljahr 2014/2015 hat Microsoft einen Schwerpunkt auf das Thema Sicherheit in ihren Cloud Diensten gelegt. Die Ausweitung der Verschlüsselung auf alle Dienste und Daten ist gewollt.

Zurück zur eigenen Infrastruktur

Anmerkung: Ein Umzug ist mit Aufwand, Kosten und Know-How verbunden. Es ist nur einfacher, weil die Bedienung der Server sowohl in der eigenen Infrastruktur, als auch der Online Infrastruktur aneinander angeglichen ist. Außerdem stehen Tools, teilweise kostenpflichtig, zur Verfügung, auch von Drittanbietern.

Aufgrund der parallelen Angebot von Microsoft für die Privat und Public Cloud ist ein Umzug auf eine eigenen Infrastruktur jederzeit möglich. Ihre Daten gehören grundsätzliche Ihnen, mit allen rechtlichen Konsequenzen. Nach einem Toleranz Zeitraum (falls Sie aus irgendeinem Grund nochmals zugreifen müssen), werden ihre Daten vollkommen und endgültig im Rechenzentrum von Microsoft gelöscht.

Rechtliche Situation

Hier gibt es viele unterschiedliche Darstellungen und Aussagen. Meinem Verständnis nach, ist durch die EU-Model Clauses, sowie die Möglichkeiten der Anpassung durch die Sicherheitsfeature, die Nutzung der Cloud-Lösungen von Microsoft für deutsche Unternehmen möglich. In vielen Fällen, denke ich sogar, dass Unternehmen den deutschen gesetzlichen Rahmenbedingungen in der Cloud-Lösung viel eher gerecht werden, als in einer eigenen IT-Infrastruktur, wo oft das Wissen fehlt.

Rechtliche Ressourcen im Internet:

Technische Sessions und Ressourcen zu dem Thema IT-Sicherheit:

Mein Roman 2015 Arbeitstitel Tamara

In meinem Roman mit dem Arbeitstitel Tamara, an dem ich zur Zeit schreibe und der 2015 als eBook erscheinen soll, beschäftige ich mich ebenfalls mit dem Thema Sicherheit in der IT.

Teilen:

Kommentare sind geschlossen