der darin befindlichen sensiblen Daten“, so der Autor.
Zunächst befasst er sich mit Schutzzielen im Kontext mit Cloud-Computing, die die Sicherheit der IT messbar und die aktuelle Gefahrenlage bewertbar machen. Der Autor erläutert die Sicherheitsmaßnahmen der Cloud-Anbieter, die häufig bereits im Angebot integriert sind oder zugebucht werden können. Zur Beurteilung, ob diese Maßnahmen ausreichend sind, führt er Kriterien an, die es bei der Bewertung zu berücksichtigen gilt. Um den Anforderungen an die Datensicherheit und den Datenschutz gerecht zu werden, plädiert er dafür, die Datenverschlüsselung selbst in die Hand zu nehmen. Er erläutert die verschiedenen Arten der Verschlüsselung und führt zum Schluss mehrere Praxisbeispiele an, die durch den Einsatz von Verschlüsselungslösungen datenschutzgerecht umgesetzt werden konnten.
Kritische Infrastrukturen werden als besonders schützenswürdig eingestuft. Durch die zunehmende Digitalisierung werden die Anlagen und Systeme angreifbarer, und die meldepflichtigen IT-Sicherheitsvorfälle haben im letzten Jahr deutlich zugenommen.
Dr. Simon Woldeab, fuentis, gibt in seinem Beitrag Herausforderungen für Kritische Infrastrukturen (KRITIS) zunächst einen Überblick über die derzeitige Gesetzeslage und den entsprechenden Richtlinien. Er listet die KRITIS-Sektoren und Anlagenkategorien sowie die entsprechenden Bemessungsgrundlagen und Schwellenwerte auf und erläutert sie. Er geht auf den Anforderungskatalog des BSI ein und diskutiert das Thema „Stand der Technik“ im Zusammenhang mit den branchenspezifischen Sicherheitsstandards (B3S). Zum Schluss veranschaulicht er am Beispiel Krankenhaus den Einsatz eines ISMS unter Einbindung von KRITIS-Standards.
Prof. Dr. Heiko Meyer, KMS Vertrieb und Services, geht in seinem Beitrag IT-Sicherheit im klinischen Umfeld darauf ein, warum Kliniksysteme zukünftig als Cloud-Lösung betrieben werden sollten. Er erörtert, warum Hybrid-Cloud-Systeme von Vorteil für Kliniken sind, und gibt Hinweise, wie klinische IT-Systeme sicher in der Cloud betrieben werden können. Dabei werden die gesetzlichen Besonderheiten des Gesundheitswesens näher beschrieben, spezielle Mechanismen zum Schutz der Daten vorgestellt und die daraus resultierenden Vorteile aus betriebswirtschaftlicher und medizinischer Sicht für Patienten, Ärzte, Klinikmanagement sowie Forschung und Wissenschaft erörtert.
Valeri Milke, Insentis, befasst sich in zwei Beiträgen sowohl mit Best Practices zur automatischen Identifizierung und Behebung der häufigsten kritischen Sicherheitslücken in AWS als auch mit Best Practices zur automatischen Identifizierung und Behebung der häufigsten kritischen Sicherheitslücken in Microsoft Azure. Er legt die Schwerpunkte jeweils auf übergeordnete architektonische Aspekte, auf die wichtigsten sicherheitsbezogenen sowie auf die am häufigsten eingesetzten AWS- und Azure-Services. In tabellarischer Form stellt er den Services detailliert die entsprechenden Handlungsempfehlungen und Maßnahmen gegenüber. Der Autor stellt weitere Tools vor, die die automatisierte Identifizierung von Sicherheitslücken im AWS- und Azure-Umfeld unterstützen. In seinem zweiten Beitrag gibt er zum Abschluss allgemeingültige Hinweise für ein sicheres Cloud Computing.
Herausforderung Cloud Security: Wandel in Technologie und Organisation
Tino Hirschmann und Marcel Reviol
1 Wandel der IT
1.1 Historie
Für ein gutes Verständnis von modernen Cloud-Plattformen sowie den damit verbundenen Sicherheitskonzepten auf technischer und organisatorischer Seite ist es wichtig, eine kurze Zeitreise zu den Anfängen der IT in Unternehmen zu starten. Bei einer Nutzung von Cloud-Diensten wird jede darunterliegende Computer-Hardware im Rechenzentrum des Cloud-Anbieters automatisch für den Anwender durch die Virtualisierung unsichtbar. Allerdings werden diese Technologien immer noch verwendet. Für jeden jüngeren „Digital Native“ lohnt sich daher z.B. ein Besuch im Deutschen Museum in München, wo auch verschiedene Generationen von Computern angeschaut werden können.
Mainframe / Großrechner
Großrechner zeichneten sich durch hohe Zuverlässigkeit sowie einen hohen Datendurchsatz bei der Ein- und Ausgabe aus. Eine Wartung konnte ohne Unterbrechung oder Beeinträchtigung des Betriebes durchgeführt werden. Diese Eigenschaften wurden durch eine herstellerspezifische Abstimmung der Hardwarekomponenten und Betriebssysteme sowie einer integrierten Redundanz ermöglicht.
Der Betrieb der Großrechner sowie die Datenhaltung erfolgten entweder im Rechenzentrum des Herstellers, dem eines IT-Dienstleisters oder in einem firmeneigenen Rechenzentrum des Unternehmens, insofern Ressourcen und Kompetenzen vorhanden waren.
Der Zugriff erfolgte über Hardwareterminals, während die Benutzerverwaltung zentral auf dem Großrechner durchgeführt wurde.
Firmeneigenes Rechenzentrum ab dem Jahr 1980
In den Jahren ab 1980 gab es in den Büros der Unternehmen erste lokale Installationen von auf x86 basierenden Personal Computern (PCs), welche durch interne IT-Teams verwaltet wurden.
Gleichzeitig waren Großrechner in den Rechenzentren immer noch stark verbreitet, und es war eine Koexistenz zwischen beiden Technologien vorhanden. Die zentrale Verwaltung von Rechten erfolgte weiterhin auf dem Großrechner. Eine weitere Absicherung gegen Ausfälle neben den integrierten Hardwareredundanzen der Großrechner erfolgte durch ein Backup-Rechenzentrum beim Hersteller/Dienstleister.
Anbindungen an das damals noch nicht weit verbreitete Internet waren zu dieser Zeit nur in den Bereichen Forschung oder Verteidigung vorhanden. Üblich war hingegen die Verbindung von Bedienterminals z. B. in Unternehmensaußenstellen zum Großrechner über Telefoneinwahlverbindungen bzw. Standleitungen.
Die ersten Serverbetriebssysteme zur Bereitstellung von Dateisystemen, Druckern und Verzeichnisdiensten in einem Rechnernetz wurden verfügbar, welche unabhängig von der darunterliegenden Hardware eingesetzt werden konnten. Diverse Netzwerktechnologien wurden bereits unterstützt.
Eigenes Rechenzentrum ab dem Jahr 1990
Erste Betriebssysteme mit einer grafischen Oberfläche, welche auf unterschiedlichen Prozessorarchitekturen lauffähig waren, kamen auf den Markt und verbreiteten sich in den Unternehmen. Parallel dazu wurde die Zuverlässigkeit verbessert und dadurch ein Einsatz von systemkritischen Anwendungen attraktiv. Die Sicherheit stand zunehmend im Fokus, und eine Zuweisung von Rechten war nun auch im Bereich der Personal Computer, wie bereits zu früheren Zeiten bei Großrechnern, möglich. Eine zentrale Verwaltung in einem Verzeichnisdienst ermöglichte die Kontrolle der Anmeldungen an größere Umgebungen vom vernetzten Personal Computer. Eine Funktionalität für die Hochverfügbarkeit von Netzwerkbetriebssystemen wurde durch die Hersteller bereitgestellt. Zum Einsatz kamen überwiegend physische Server verschiedener Hersteller mit einer dedizierten Funktion (Betriebssystem und Anwendung).
Client-Server-Architekturen ermöglichten den Einsatz von Personal Computern (PCs) in Unternehmensnetzwerken. Großrechner waren immer noch bei den Unternehmen für geschäftskritische Anwendungen verbreitet. Allerdings erfolgte der Zugriff mittlerweile mit softwarebasierenden Terminals und neueren Netzwerktechnologien.
Die Anbindung an andere Standorte der Unternehmen erfolgte über Standleitungen oder gebündelte ISDN-Leitungen. Computerviren verbreiteten sich über Dateien und Wechselmedien, da eine Anbindung an das Internet noch nicht weit verbreitet war.
Gegen
