Zum Hauptinhalt springen

📚 Datensicherheit 101 - Grundlagen

· 7 Minuten Lesezeit
Flo Sloot

Hintergrund

Eine der am häufigsten gestellten Fragen unserer Kunden ist:

Wie sicher sind meine Daten in der Cloud?

Obwohl, oder auch gerade weil diese Frage sehr abstrakt ist, lohnt es sich, diese Frage aufzubrechen und als Einzelthemen genauer zu beleuchten, zu erläutern und zu beantworten - besonders im Hinblick auf die CERTAIN CE-Kennzeichnungssoftware.

Die “Datensicherheit 101” Serie auf unserem CERTAIN Blog soll erstens ein Verständnis dafür vermitteln, wie Daten in “der Cloud” verarbeitet und gespeichert werden und zweitens, durch dieses neugewonnene Verständnis, mehr Vertrauen in cloud-basierte Software geben. In dieser Serie werden wir uns mit den folgenden Themen befassen:

  • der Begriffsbestimmung “der Cloud”
  • einem Blick auf Daten-Verschlüsselung aus der Vogelperspektive
  • einem theoretischen Ansatz der Zugriffsbeschränkung in Cloud-Systemen
  • dem Sprung in eine passwortlose Zukunft
  • der spezielleren Anwendung der oben genannten Themen in der CERTAIN App. Ich werde Fokus darauf legen, diese technisch recht anspruchsvollen Themen verallgemeinert, aber für Laien verständlich zu erklären. Ich setze keine IT-Vorkenntnisse der Lesenden voraus.

In diesem ersten Teil der Serie klären wir einige grundlegende Begriffe, die wir benötigen, um unsere Kern-Frage überhaupt spezifizieren zu können.

Die Cloud

Der Begriff “Cloud” ist heutzutage in aller Munde und wird doch oft missverstanden.

Fangen wir einfach ganz vorne an. Jede Software muss von einem Computer ausgeführt werden. Die uns bekanntesten Computer nennen wir alltäglich Smartphone, Tablet oder Laptop. Eine andere Art von Computer, die unser aller Leben tagtäglich beeinflussen, wird Server genannt (ein ebenfalls uneindeutiger Begriff) und bezeichnet in unserem Fall jene Computer, die ausschließlich eine einzige spezialisierte Software ausführen, zum Beispiel die CERTAIN Anwendung. Im Gegensatz dazu stehen z.B. Smartphones, die für die Bedürfnisse der Endnutzer konzipiert sind und von Messengerdiensten über Internet-Browser und Spiele bis hin zu Kameratreibern, so ziemlich jede Art von Software/App ausführen können.

Die Software auf Servern muss in aller Regel mit anderen Komponenten kommunizieren, etwa mit Datenbanken, um eingehende Informationen zu speichern und bei erneuter Abfrage ausgeben zu können. Diese anderen Komponenten und die Kommunikation zwischen ihnen bedarf weiterer Soft- und Hardware **Infrastruktur in Form von Netzwerk-Kabeln, Routern, Firewall-Konfigurationen, und einer ganzen Menge anderer Dinge.

Klassischerweise müssen Softwareanbieter die gesamte Infrastruktur selbst zur Verfügung stellen. Diese Infrastruktur-Komponenten müssen gekauft und konfiguriert werden. Sobald die Infrastruktur einmal läuft, muss sie unbedingt vor unbefugtem Zugriff geschützt werden, sowohl in der physischen als auch in der digitalen Welt. Um dann auch noch die Verfügbarkeit der Infrastruktur und der abhängigen Software zu gewährleisten, müssen alle Komponenten redundant (d.h. In mehrfacher Ausführung) vorgehalten werden. Wenn der Anbieter es ernst meint mit der Ausfallsicherheit, dann müssen die duplizierten Komponenten zusätzlich geografisch voneinander getrennt werden und dürfen keine gemeinsamen Abhängigkeiten (Stromnetz, Internet-Anbieter, etc.) oder gar Abhängigkeiten untereinander haben.

Üblicherweise wird diese Art der selbst betriebenen Infrastruktur On-Premise genannt.

Das Betreiben einer On-Premise Infrastruktur erfordert nicht nur ungemein viel und spezialisiertes Knowhow, sondern stellt auch eine enorme finanzielle Hürde dar.

Im Kontrast zu On-Premise, finden wir die Cloud: eine Umgebung, in der die gesamte Infrastruktur zur Verfügung gestellt wird - von Profis für IT-Sicherheit, Profis für Netzwerktechnik, Profis für Rechen- und Speicherhardware - und von Kunden gemietet und nur nach tatsächlicher Nutzung bezahlt wird. Die größten und relevantesten Anbieter von Cloud-Infrastruktur sind Google Cloud, Microsoft Azure und Amazon Web Services (AWS).

Falls Sie sich fragen: die Cloudanbieter haben nachweislich keinen Zugriff auf die Daten oder Software die in ihren Rechenzentren läuft. Ebenso wenig können Kunden des Anbieters in irgendeiner Art und Weise auf die Daten/Software anderer Kunden zugreifen. Dies ist eine weitere wichtige Garantie und Vorteil, den Cloudanbieter bieten (hier weitere Information von AWS selbst).

Mit der Cloud lassen sich einfach, schnell und sicher bestehende Probleme lösen, neue Funktionalitäten entwickeln und Geschäftsmodelle testen. Sie ist also ein Katalysator der Digitalisierung und Innovation. Wir bei CERTAIN machen uns das zu Nutze und rollen unsere gesamte IT-Infrastruktur auf AWS aus. Damit bieten wir unseren Kunden kurze Entwicklungszeiten und eine nahtlose Skalierung.

Online oder Offline

Unabhängig davon, ob die Infrastruktur nun in der Cloud oder On-Premise bereitgestellt wird, sobald überhaupt Server involviert sind, mit denen die Anwendung über das Internet kommuniziert, reden wir von Online-Anwendungen.

Das bedeutet, dass Ihr Computer/Smartphone/Laptop Anfragen an die Server des Software-Anbieters sendet, um Daten abzurufen, zu speichern, zu bearbeiten oder sonstige Berechnungen. Das auf Ihrem Computer installierte/ausgeführte Gegenstück des Servers (i.d.R. Client genannt) steht stetig mit ihm im Austausch, um den online gespeicherten Stand widerzuspiegeln. Dadurch machen sich die Software und besonders ihre Datenspeicherung unabhängig vom Endgerät. Diese Unabhängigkeit wiederum verringert das Risiko eines Datenverlusts und ermöglicht zusätzlich eine Echtzeit-Kollaboration (Schluss mit dem Versenden von Word-Dateien per E-Mail, um Änderungen oder Kommentare der Kollegen einzuholen).

In offline verfügbaren Anwendungen hingegen, gibt es diese Server-Client-Beziehung nicht. Zumindest nicht mit externen Servern, die über das Internet verfügbar sind. Stattdessen werden sämtliche Berechnungen und Datenspeicherungen auf dem lokalen Endgerät selbst vorgenommen. Einerseits bringt das den Vorteil der vollständigen Kontrolle, andererseits aber auch die Verantwortung für den Schutz und die Haltbarkeit der Daten.

Ausgehendend von der Unterscheidung von Online-Apps und Offline-Apps, bei denen die Daten das „Eingabegerät“ nie verlassen, kann man unsere Ausgangsfrage genauer spezifizieren und fragen: „Sind die Daten, die meinen Computer über das Netzwerk verlassen, sicher?“.

Interessant ist diese Frage auch deswegen, weil sie oft von der Annahme ausgeht, dass Daten, die offline auf dem eigenen Computer gespeichert sind, aus Prinzip auch ****sicher**** sind. Aber sind sie das wirklich?

  • Sind die Daten auf dem Endgerät verschlüsselt?
  • Sind die Daten redundant gehalten?
  • Werden sie durch regelmäßige Backups gesichert?
  • Und wenn ja, liegen diese redundanten Kopien und Backups auf getrennter Hardware und sind auch diese verschlüsselt?
  • Ist der Zugriff auf diese Daten und den Verschlüsselungsschlüssel durch mehr als ein Laptop-Passwort geschützt?

Wir sollten nicht dem Trugschluss unterliegen, dass an unseren persönlichen Computern oder Firmenrechnern, sowieso niemand Interesse hat oder nicht herankommt und deswegen offline Daten per-se sicherer sind (Phishing und Ransomware lassen grüßen). In der Realität ist es so, dass Anbieter von Software im Allgemeinen Daten sicherer und haltbarer speichern können als ihre Endkunden, weil sie erstens über mehr Knowhow verfügen und zweitens die Daten einheitlich und zentralisiert speichern.

CERTAIN funktioniert vollständig online und speichert keinerlei Daten auf dem Endgerät. Durch unseren Online-Only-Ansatz können wir Lese- und Schreibkollaboration in Echtzeit anbieten und reibungslose Audit-Funktionalitäten für Ihre CE-Kennzeichnungsdokumente ermöglichen.

Multi-Tenancy

Wenn Daten online und in der Cloud gespeichert sind, können wir uns fragen: „Sind meine Daten, die in der Cloud gespeichert sind, sicher vor *dem Zugriff anderer Kunden?*“.

Eine häufige Konsequenz von Online-Anwendungen ist, dass die selbe Infrastruktur - also die selben Server, Datenbanken und sonstige Ressourcen - von mehreren Kunden verwendet wird. Diesen Ansatz bezeichnet man als Multi-Tenancy. Während Multi-Tenant-Systeme bedeutend effizienter zu betreiben sind, müssen in einem solchen System zusätzliche Maßnahmen getroffen werden, um zu gewährleisten, dass auf Kundendaten nur vom Kunden autorisierte Personen oder Systeme zugegriffen werden kann. Im Blog „XYZ“ gehe ich tiefer auf die Umsetzung von eben diesen Zugriffsüberprüfungen in Multi-Tenant-Systemen ein.

Als CERTAIN-Nutzer sind Sie einer von vielen Nutzern in unserem Multi-Tenant-System. Sollten Sie aus regulatorischen Gründen oder wegen ihrer Unternehmens Compliance-Regelungen die Anforderung haben, dass Ihre Daten ausschließlich auf dedizierter Infrastruktur verarbeitet wird, sprechen Sie uns gerne an.

Fazit

Mit diesen neuen Konzepten können wir die Frage nach der Sicherheit Ihrer Daten in der Cloud, deutlich präziser stellen: „Sind meine Daten, die online in einer Multi-Tenant-Cloud gespeichert werden, sicher vor dem Zugriff anderer Kunden, dem Softwareanbieter oder gar Angreifern?“.

Die Antwort auf diese Frage lautet: Ja.

In den folgenden Blog Posts, werde ich Ihnen die Mechanismen näher bringen, die im CERTAIN Umfeld angewandt werden, um diese Sicherheit zu gewährleisten.