"Vertrauen in die Cloud zurückgewinnen"
Frankfurt am Main (15.11.2013) -
Der Skandal um die Späh-Programme der amerikanischen und britischen Regierungen hat dem Boom des Cloud Computing einen ersten Dämpfer verpasst - plötzlich keimen Zweifel auf, ob es so eine gute Idee ist, vertrauliche Daten in der Cloud zu speichern. Altrans IT-Security Consultant Benedikt Heintel erläutert im Interview mit Altran-Pressesprecher Dr. Markus Ross, wie es um die Sicherheit und das Vertrauen in Cloud-Diensten bestellt ist und was Unternehmen nun tun können, um ihre IT-Sicherheit zu erhöhen.
Herr Heintel, der Markt für Cloud-Dienstleistungen wächst zweistellig. Die Berichterstattung über PRISM und Tempora erzeugte allerdings den Eindruck, als sei es um die Sicherheit in der Cloud nicht gut bestellt. Wie ist Ihre Einschätzung?
In der Tat hat der Skandal um die Spähprogramme die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen. In Deutschland hat der Datenschutz aufgrund unserer Historie größere Bedeutung als im angelsächsischen Raum. Durch die Enthüllungen von Edward Snowden wissen wir, dass beim amerikanischen Überwachungsprogramm PRISM fast alles aufgezeichnet und ausgewertet wird. Allein dies wäre in Deutschland illegal, denn eine konkrete Überwachung bedarf hier einer richterlichen Verfügung oder der Sachlage einer "Gefahr im Verzug". Ein solch begründeter Anlass ist in den USA nicht notwendig, Geheimgerichte mit nicht-öffentlichen Verfahren und das Verbot der Veröffentlichung sogenannter "Security Letters" sorgen nicht gerade für Vertrauen in die amerikanischen Geheimdienste.
Die Zahl der Nutzer, die über mobile Endgeräte auf Cloud-Dienste zugreifen, wächst. Vergrößert dieser Trend potenzielle Angriffspunkte?
Die mobilen Endgeräte selbst sind gar nicht so kritisch - auch die Betriebssysteme sind relativ sicher, nicht zuletzt wegen ihrem geschlossenen System. Ein wesentlich größeres Problem ist jedoch die teilweise mangelnde Qualität der Software: Mitarbeiter, die sich auf ihre Geschäfts-Smartphones schnell oder schlecht programmierte Apps privat herunterladen, bedrohen die IT-Sicherheit und Integrität ihrer Unternehmen. Vielfach haben sich die Entwickler nicht die Mühe gemacht, Sicherheit in ihre Programme zu integrieren, so dass Smartphones dann über solche Apps leicht angreifbar werden. Insbesondere beim Trend des "BYOD" (Bring your own device) wird das "Mobile Device Management" (MDM) des Unternehmens häufig umgangen.
Könnten die seltenen Updates der Betriebssysteme der Smartphones ein Problem sein?
In der Tat bringen die Hersteller ihre Smartphones häufig mit großartigen Versprechungen auf den Markt, stellen dann aber bereits nach wenigen Monaten die Versorgung mit Updates für das Betriebssystem ein; Apple bildet hier eine rühmliche Ausnahme, da hier Betriebssystem und Hardware aus einer Hand kommen. Alle anderen Anbieter haben natürlich kein großes Interesse daran, Softwareupdates an die spezifische Hardware anzupassen - da sich damit kein Geld verdienen lässt. Im Endeffekt heißt dies, dass vielfach nur Experten ihre Betriebssysteme mit Hilfe eines Root-Zugriffs selbständig auf dem aktuellen Stand halten können. Ein Root-Zugriff wiederum macht den Angriff auf die Smartphones einfacher, da Rechte zur Kontrolle des gesamten Geräts zur Verfügung stehen; diese müssen dann wieder abgesichert werden.
...womit wir beim Faktor Mensch bei der IT-Sicherheit wären.
Tatsächlich ist der Mensch mittlerweile der wichtigste Angriffspunkt für Hacker, denn er ist wesentlich leichter zu täuschen als Maschinen. Beim sogenannten Social Engineering versuchen Hacker durch Überzeugung oder Beeinflussung zwischenmenschliche Beziehungen zu manipulieren und dabei am effektivsten an vertrauliche Informationen zu kommen - entweder im realen Leben oder über Chats und soziale Netzwerke. Damit haben Angreifer bereits tausendfach Erfolge erzielt: E-Mails mit Gewinnversprechen, Zahlungsaufforderung oder Androhung strafrechtlicher Verfolgung erzeugen Gefühle wie Freude oder Angst. Gepaart mit der Aufforderung schnell zu handeln geben viele Menschen dann schnell nach. In jedem Fall setzen die Kriminellen an der Vorstellungskraft des Mitarbeiters an und versuchen damit sein Handeln zu lenken. Noch dreister: Angreifer geben sich am Telefon mit falsch angezeigter Telefonnummer als Help Desk aus, lassen sich zum Administrator verbinden und täuschen dort höchste Eile vor. Ein überrumpelter Administrator gibt dann durchaus auch sensible Passwörter heraus - je nachdem, wie er in seiner Persönlichkeit gestrickt ist.
Was empfehlen Sie Unternehmen?
Unternehmen benötigen Strategien dafür, Informationssicherheit im Unternehmen zu verankern. Dazu gehört zum einen ein Informationsmanagementsystem (ISMS), auf der anderen Seite die Schulung der Mitarbeiter. Im Unternehmen sollte bei den Mitarbeitern ein kritisches Bewusstsein für die Gefahren der Technologie entwickelt und für einen misstrauischen Umgang mit neuer und unbekannter IT geworben werden - insbesondere, wenn diese nicht vom Unternehmen empfohlen wurde.
Nach PRISM und Tempora glauben signifikant weniger Deutsche an den vertrauenswürdigen Umgang mit den Daten in der Cloud. Wie können Unternehmen dies Vertrauen zurückgewinnen?
Eine Reihe von Cloud-Betreibern haben die Initiative "Cloud Services Made in Germany" gegründet. Allerdings hat die Initiative für mich nur geringe Bedeutung, da die Unternehmen sich zwar verpflichten ihren Hauptsitz in Deutschland zu haben und ausschließlich nach deutschem Recht zu agieren, andererseits aber nicht klar ist, welche Sicherheitsstandards die Unternehmen garantiert einhalten. Wichtiger wäre, dass sich die Anbieter auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen. Außerdem wären vertrauensbildende Maßnahmen denkbar, etwa indem man mögliche Cloud-Kunden einlädt und aufzeigt, wie Sicherheit bei dem Anbieter gelebt wird.
Sind die Unternehmen in Deutschland für die Nutzung von Cloud-Diensten vorbereitet?
Großkonzerne sind in vielen Fällen schon gut gerüstet. Vor allem bei den Mittelständlern besteht hier jedoch enormer Nachholbedarf. Es müssten dringend Maßnahmen ergriffen werden, wenn das intellektuelle Kapital vieler "Hidden Champions" auch in Zukunft vor organisierter internationaler Cyber-Kriminalität sicher sein soll. Neben den Schulungen gilt es auch dringend, ein IT-Sicherheitsmanagement einzuführen - insbesondere dann, wenn die Organisation mit mobilen oder Heimarbeitsplätzen arbeitet. Aufgrund der dramatischen Unterschätzung der IT-Kriminalität, sehe ich hier sogar Teile des wichtigen deutschen Mittelstandes in Gefahr.
Wie könnte es im nächsten Schritt weitergehen, um die Sicherheit in der IT zu erhöhen?
Man könnte bei den kleinen und alltäglichen Dingen ansetzen: Gerade die Sicherheit im E-Mail-Verkehr betrifft fast jeden. Derzeit ähnelt eine verschickte E-Mail einer Postkarte. Die enthaltenen Informationen können mit ein wenig technischem Verständnis E-Mails ohne weiteres mitgelesen werden. Abhilfe schafft hier der digitale Briefe, also die verschlüsselte E-Mail. Im Zweifel sollte die Bundesregierung tätig werden und jedem Deutschen ein digitales Zertifikat ausstellen. Unternehmen können das selbstverständlich auch selbst in die Hand nehmen. Prinzipiell ist es nämlich sehr einfach, eine E-Mail zu verschlüsseln. Dafür müsste allerdings jeder Mitarbeiter ein Zertifikat besitzen. Hierbei handelt es sich um eine digitale Bestätigung der Identität. Hier anzusetzen wäre definitiv ein erster Schritt auf eine umfassende IT-Sicherheit. Die digitale Identität kann darüber hinaus auch für die Authentifizierung gegenüber Cloud-Diensten eingesetzt werden.
Welche Rolle spielt Altran an dieser Stelle?
Altran hilft Anbietern und Kunden dabei, neues Vertrauen in die Unternehmens-IT zu gewinnen und dadurch die Umsätze im E- und M-Commerce weiter zu erhöhen. Wir sind in der Lage, die gesamte IT-Infrastruktur mit innovativsten Technologien vor Wirtschaftsspionage, Cyber-Kriminalität und Datenverlust zu schützen indem wir z. B. Kundendaten, geistiges Eigentum und neue Forschungsergebnisse mit hochsicherer Verschlüsselung ohne Hintertüren absichern - selbst mit den stärksten Rechnern der Welt bräuchte man mehrere hundert Jahre, um diese Verschlüsselung zu knacken. Schließlich gehören auch Security Design, Analyse, Risikomanagement, ISMS-Beratung und interne Audits zu den IT-Sicherheitsangeboten von Altran.
Über Altran
Altran wurde 1982 in Paris gegründet und ist das global führende Beratungsunternehmen für Innovations- und Ingenieurdienstleistungen. Altran begleitet seine Kunden bei der Konzeption und Entwicklung neuer Produkte und Dienstleistungen und berät seit über 30 Jahren Marktführer aus den Bereichen Automobilbau, Energie, Finanzen, Healthcare, Luft- und Raumfahrt, Schienen- und Transportwesen sowie Telekommunikation. Altran deckt mit seinen Beratungsangeboten sämtliche Stufen der Projektentwicklung ab, von der strategischen Planung bis hin zur Serienreife und kann dabei auf umfangreiches Technologie-Know-how aus vier Solutions zurückgreifen: Innovative Technologies, Sustainable Products, Sustainability Concepts sowie Sustainable Enterprise Performance. Altran beschäftigt derzeit weltweit mehr als 20.000 Mitarbeiter in über 20 Ländern, bei einem Jahresumsatz der Gruppe von 1,45 Mrd. Euro im Jahr 2012. Die Aktie von Altran ist an der Euronext-Börse in Paris gelistet. In Deutschland zählt das Beratungsunternehmen rund 3.000 Mitarbeiter an 11 Standorten. Der deutsche Unternehmenssitz befindet sich in Frankfurt am Main.
Altran GmbH & Co. KG,
Dr. Markus Ross