Sicherheitslücke Mitarbeiter: Vorteile und Gefahren von Cloud-Diensten
30. November 2016Die „Sicherheitslücke Mitarbeiter“ war schon immer in diversen Ausprägungen vorhanden, aber im Zeitalter der Cloud-Dienste steigt diese Bedrohung in eine neue Dimension. Dies wird deutlich, wenn man sich vor Augen führt, dass ein typisches Unternehmen in Deutschland im Durchschnitt mehr als 1200 Cloud-Dienste im Einsatz hat. Dabei ist folgende Tatsache sehr bedenklich: Die IT-Abteilungen und Sicherheitsbeauftragen in Unternehmen sind sich meist gar nicht bewusst, welche Cloud-Dienste in welchen Umfang von ihren Mitarbeitern genutzt werden. Im Interview erläutert Daniel Wolf, Regional Director von Skyhigh Networks die Gefahren und Vorteile einer intensiven Cloud-Nutzung in den Unternehmen.
NT4ADMINS: Wie sehen sie die vorschreitende Cloud-Nutzung in den Unternehmen?
Wolf: Die Cloud per se ist weder positiv noch negativ zu bewerten. Aktuell polarisiert das Thema nicht mehr so stark wie noch vor ein paar Jahren. Vor einiger Zeit gab es auf der einen Seite die „Cloud-Jünger“ und auf der anderen Seite die „Cloud-Skeptiker“. Aber inzwischen ist die Cloud als feste Größe in den Unternehmen angekommen. Beide Seiten haben sich dabei einander angenähert. Spätestens seit Office 365 und Cloud-Applikationen wie Salesforce hat beinahe jedes Unternehmen Cloud-Dienste in irgendeiner Form im Einsatz.
NT4ADMINS: Wie sind die Risiken zu bewerten?
Wolf: Heute werden in Unternehmen im Schnitt mehr als 1.200 Cloud-Dienste genutzt. Wenn man sich die Zahlen vor Augen führt, wird einem bewusst, dass man nicht um eine fundierte Risikoabschätzung herumkommt. Vor allem darf dies nicht an den IT-Abteilungen und Sicherheits- oder Datenschutzbeauftragten vorbeigehen. Die Kontrolle über Cloud-Nutzungen sollte daher nicht bei den Mitarbeitern liegen. In vielen Unternehmen ist dies allerdings der Fall. Die Angestellten installieren benötigte Apps direkt auf ihren Systemen. Teilweise werden ja auch gar keine dedizierten Cloud-Applikationen auf den Endgeräten aufgespielt, denn in vielen Fällen reicht es aus, einfach einen Webbrowser für den Zugriff auf Cloud-Dienste einzusetzen. Damit umgehen die Mitarbeiter Richtlinien, die eine eigenständige Installation von Applikationen etwa durch Active Directory verbieten und es entsteht sogenannte Schatten-IT.
An dieser Stelle setzen wir mit unseren Lösungen an. Dazu listen wir in unseren Datenbanken mehr als 20.000 unterschiedliche Cloud-Dienste. Und zu jedem Service nehmen wir ein entsprechendes „Risk-Rating“ vor. Dies geht wie folgt von statten: Wir analysieren nach 54 unterschiedlichen Parametern die einzelnen Dienste, und bilden somit einen Gesamtüberblick der möglichen Risiken an. Unter den Kriterien finden sich beispielsweise folgende Punkte wieder:
- Ist eine Multi-Faktor-Authentifizierung vorhanden?
- Werden die Daten verschlüsselt übertragen?
- Werden die Daten verschlüsselt abgelegt?
- In welchem Land befinden sich die Server?
- Wann und wie werden die Daten gelöscht, falls ich meinen Account lösche?
- Verliere ich mein geistiges Eigentum, wenn ich die entsprechenden Daten an den Cloud-Service weiterreiche?
- Ist der Dienst zertifiziert? Wenn ja, welche Zertifikate wurden ausgestellt?
Anhand dieser Parameter liefern wir zum einen eine grobe Einschätzung (Risk-Wert zwischen „Eins“ und „Zehn“), zum anderen wird in unserer Datenbank abgelegt, warum es zu diesem „Rating“ kommt. Sprich wenn ich hier einen Dienst mit „Fünf“ bewerte (mittleres Risiko) dann steht beispielsweise noch dabei: „Verwendet keine Zwei-Faktor-Authentifizierung, und ist nicht zertifiziert.“ Auf Basis dieser Informationen kann der Kunde beziehungsweise der Datenschutzbeauftragte dann eine entsprechende Entscheidung treffen, ob eine Nutzung im Unternehmen erlaubt oder unterbunden werden soll.
NT4ADMINS: Was ist nun, wenn der Mitarbeiter bewusst versucht, Informationen und Daten per Cloud-Service „aus dem Unternehmen zu schmuggeln“?
Wolf: Wir gehen davon aus, dass die Mitarbeiter in der Regel nicht vorsätzlich handeln. Falls nun doch Personen versuchen mit entsprechender krimineller Energie Daten abzugreifen, lässt sich dies möglicherweise nicht unterbinden. Auch muss man als Arbeitgeber ja ein gewisses Vertrauensverhältnis zu seinen Mitarbeitern aufbauen und daher zunächst davon ausgehen, dass die Mitarbeiter als vertrauenswürdig einzustufen sind. Die größte Gefahr geht von Mitarbeitern aus, die unbedarft oder fahrlässig handeln.
Schließlich möchten die Mitarbeiter (meist) nur schnell und effektiv ihrer Arbeit nachgehen. Beispielsweise weil der Mitarbeiter eine vom Kunden erhalten Datei öffnen will, auf seinem System aber nicht das passende Programm installiert ist. Folglich wird „schnell“ im Internet nach einem Online-Konverter gesucht. Dass derartige Online-Helferlein auch eine potentielle Sicherheitslücke darstellen, ist vielen Mitarbeitern noch immer nicht bewusst.
Stattdessen suchen sie sich im Cloud-Zeitalter quasi „ihren eigenen Weg“. Durch die simple Art der Nutzung, also Browser öffnen, Suchmaschine bemühen, Dienst finden und gleich nutzen, sinkt die Barriere. Teilweise werden nicht einmal E-Mail-Adressen für Cloud-Accounts benötigt. Und selbst zahlungspflichtige Services lassen sich schnell und einfach einrichten. Zumeist werden für „Consumer-Angebote“ nur Kleinstbeträge wie etwa fünf Euro fällig. Diese lassen sich beispielsweise per Kreditkarte bezahlen und der Service wird Augenblicke später zur Verfügung gestellt.
NT4ADMINS: Ändert dies auch die Vorgaben für eine sichere IT-Infrastruktur? Welche Schritte müssen die Unternehmen gehen, um bei diesem Stand der Vernetzung sicherzustellen, dass die Daten geschützt sind?
Wolf: Viele Unternehmen haben in der Vergangenheit eher in die Absicherung „ihrer“ Netzwerkinfrastruktur investiert. Es wurden Firewall-Appliances beschafft und konfiguriert, Proxys vorgeschaltet und entsprechende Systeme für das Identität- und Content-Management bereitgestellt. Dies hatte meist den Hintergrund, die internen Ressourcen und vor allem die internen Geschäftsdaten von der „Außenwelt“ abzuschotten. So ein Konzept ist unserer Meinung nach nicht mehr zeitgemäß.
Denn was hilft es ein internes Netzwerk vom Internet abzuschotten, wenn die wichtigen Daten bereits ihren Weg in das globale Netz gefunden haben und sich gar nicht mehr innerhalb der Unternehmen befinden? Was helfen Firewall-Systeme und Proxys, wenn die Mitarbeiter beispielsweise Geschäftsdaten in die Cloud verschieben? Aber der Weg in die Cloud muss nicht immer nur von den Mitarbeitern ausgehen: Viele Firmen setzen inzwischen auf Lösungen wie etwa Office 365. Hier werden Dokumenten und E-Mails sowie Kontakte und Kalendereinträge ja bereits außerhalb der Unternehmen gespeichert.
Daher sollten die Firmen auf einen anderen Ansatz bauen. Die IT-Security-Verantwortlichen müssen weiterhin alle wesentlichen Informationen besitzen, welche Daten wann wo landen und wer gerade auf welche Dienste zugreift.
NT4ADMINS: Diesem Punkt haben viele Firmen bereits erkannt, und bieten etwa mit „ihren“ Firewall-Lösungen die Möglichkeit, eben diesen Datenstrom ins Internet zu überwachen (etwa den http- oder HTTPS-Stream). Dies ermöglicht es zu erkennen, dass nun beispielsweise ein bestimmter Cloud-Dienstleister aufgerufen wird, oder dass auf eine Speicherplatz-App (etwa wie Dropbox, Onedrive, iCloud oder Amazon) eingesetzt wird. Der Systemadministrator wird nun beispielsweise per E-Mail benachrichtigt, dass „User_012“ gerade auf Dropbox Dateien verschiebt. Worin unterschieden sich die Lösungen von Skyhigh Networks an dieser Stelle von denen der Mitbewerber?
Wolf: Die Voraussetzung für einen derartigen Mechanismus ist, dass man Kenntnis über alle Cloud-Dienste hat. Das können bei weitem nicht alle Anbieter gewährleisten. Die Firewall-Lösungen kennen meistens „nur“ drei oder viertausend Cloud-Dienste. Sprich die etwas „bekannteren“ Kandidaten. Was passiert nun, wenn diese beispielsweise innerhalb einer Firewall-Appliance blockiert werden? Der User sucht sich einfach einen anderen Dienst, der von den Reglementierungen nicht erfasst wird. Diese „unbekannteren“ Dienste sind aber meist die fragwürdigsten. Somit wird das Problem nur verlagert. Bei Skyhigh bieten wir unseren Kunden eine nahezu vollständige Liste von Cloud-Diensten, die täglich gepflegt wird.
Ein weiteres Problem geht mit der Nutzung von Bring Your Own Device einher. Denn falls die Mitarbeiter Dateien auf „ihren“ Geräten speichern oder auf Geschäftsdaten in Cloud-Speicherplätzen zugreifen, können diese für das Unternehmen unbemerkt weitergegeben werden. So lassen sich beispielsweise unterschiedliche Cloud-Dienste miteinander synchronisieren, Daten abgleichen und alles an einer zentralen Stelle speichern. Dieser Datenstrom geht dann an den Firewall-Systemen der Unternehmen vorbei.
NT4ADMINS: Wie lässt sich die Sicherheit in Umgebungen gewährleisten, die in einem hohen Maß mit unterschiedlichen Cloud-Diensten vernetzt ist?
Wolf: Zum ersten ist es wichtig, eine genaue Bestandsaufnahme zu machen. Denn mit der genauen Analyse der tatsächlichen Cloud-Nutzung kann später ein entsprechendes Konzept entwickelt werden. Hierbei setzen wir „Skyhigh for Shadow IT“ ein. Damit erreichen wir volle Transparenz. Stellen wir an dieser Stelle eine Nutzung von fragwürdigen Cloud-Diensten fest, führt meist kein Weg daran vorbei, diese Services komplett zu sperren. Für diese Aufgabe ziehen wir dann den bestehenden Perimeter-Schutz respektive die Firewalls der Firmen heran. Somit integrieren wir uns in die bestehenden Systeme. Denn der Kunde hat in der Regel wenig Interesse daran, Portregeln und Dienste in einer zweiten „Liste“ zu verwalten, um Einträge zu sperren oder zu erlauben.
Die zweite Möglichkeit besteht darin, eine entsprechende Coaching-Page vorzuschalten und den Mitarbeiter auf mögliche Gefahren bei bestimmten Diensten hinzuweisen. Hier können die Verantwortlichen auch noch entsprechende Alternativen präsentieren.
Als drittes sollten sich die Verantwortlichen die Frage stellen, welche unternehmenskritischen Cloud-Anwendungen unbedingt benötigt werden. Hier könnten Dienste wie „Salesforce“ oder „Office 365“ stehen. Nun stellt sich die Frage, ob hier unternehmenskritische Geschäftsdaten verarbeitet oder gespeichert werden. Hier sind dann wichtige Security-Fragen zu klären – etwa ob der Cloud-Anbieter standardmäßig die wichtigen Punkte wie Multi-Faktor-Authentifizierung, entsprechende Verschlüsslung und Zertifikate bietet, die für das entsprechende Unternehmen benötigt werden. Weitere wichtige Punkte sind etwa:
- Threadprotection,
- Visability,
- Compliance und
- Data Security.
Denn schließlich möchten die Systemverantwortlichen Sicherheitsverletzungen entsprechend identifizieren können. Etwa wenn Passwörter kompromittiert wurden oder Dritte Daten aus dem unternehmenskritischen Bereichen „anzapfen“. Ebenso sind für bestimmte Unternehmen zusätzliche, branchenspezifische Sicherheitskriterien zu erfüllen, etwa bei Ärzten oder Anwälten. Auch interessant wird es, wenn beispielsweise Datenbanken verschlüsselt werden müssen. Hier ist es wichtig, die Verschlüsslung einzelner Datenbankfelder zu ermöglichen. Sprich wenn es um granulare Verschlüsslung geht. Somit können einzelne Felder, etwa mit Gesundheitsdaten oder Namen im Klartext, zusätzlich abgesichert werden.