Wie können Sie rechtliche Sicherheitsvorgaben in der Cloud umsetzen, ohne geschäftliche Abläufe zu behindern? Verschlüsselung macht es möglich. Mit externem Schlüsselmanagement können Nutzer die größtmögliche Kontrolle über ihre Schlüssel behalten.
Die Cloud ist der neue Standard; eine Digitalisierung ist ohne flexible Plattformen praktisch nicht vorstellbar. Selbst Unternehmen, die weiterhin auf traditionelle Modelle für die IT-Bereitstellung setzen, stehen zunehmend unter dem Druck, in die Cloud zu wechseln. Dies liegt vor allem daran, dass zahlreiche Wettbewerber die Cloud nutzen, um sich einen Marktvorsprung in puncto geschäftliche Flexibilität zu sichern. Und wer will schon das Feld der Konkurrenz überlassen? Mit zunehmendem Bedarf für geschäftliche Flexibilität nimmt auch die Nutzung der Cloud zu und der Cloud-Markt wächst. Im Oktober 2022 prognostizierte Gartner ein Wachstum von fast 19 Prozent auf 490 Milliarden US-Dollar für 2022 und verwies darauf, dass „weiterhin der Großteil der IT-Ausgaben auf die Cloud entfällt“.
Die Cloud eröffnet neue Geschäftsmöglichkeiten, doch IT-Manager sind oft skeptisch: Die Frage nach der Sicherheit in der Cloud steht nach wie vor im Mittelpunkt, wie zahlreiche Studien belegen. Doch Vorbehalte in Hinblick auf die Sicherheit sind nicht primär durch fehlendes Vertrauen gegenüber Hyperscalern begründet. So sind die in die Plattform integrierten Best Practices zur Sicherheit durchaus überzeugend: „Wir können dieses Sicherheitsniveau in unseren eigenen Rechenzentren nicht erreichen“, lautet eine häufige Aussage. Die Vorbehalte in Bezug auf Cloud-Sicherheit beruhen vielmehr auf einem Mangel an interner Expertise. Qualifiziertes Know-how zur Sicherheit ist selten und im Markt sehr gefragt. Doch das Konzept der geteilten Verantwortung setzt voraus, dass auch die Nutzer ihren Beitrag zur Sicherheit leisten.
Die Berücksichtigung der Cloud-Sicherheit ist entscheidend und es lohnt sich, hier ganz genau hinzuschauen. Denn schließlich sollten die Prozesse in der Cloud mindestens genauso zuverlässig und sicher sein wie im Rechenzentrum des Unternehmens. Dabei handelt es sich keineswegs um einen rein technischen Aspekt. Denn das Geschäft wird vor allem dann in Mitleidenschaft gezogen, wenn Cloud Services nicht verfügbar sind. Folglich wird Cloud-Sicherheit zu einem entscheidenden Faktor für zukünftigen Geschäftserfolg und Sicherheitskonzepte verdienen hohe Priorität.
Verschlüsselung spielt eine grundlegende Rolle in Cloud-Sicherheitsarchitekturen. Dabei stellt sich für erfahrene Cloud-Nutzer ebenso wie für Neueinsteiger die Frage nach den verfügbaren Optionen bei der Verschlüsselung. Verschlüsselung ist zwar kein Allheilmittel, aber sie löst doch eine ganze Reihe von Anforderungen rund um die Sicherheit. Anforderungen, die ein Unternehmen in seinem eigenen Interesse, aber auch aufgrund externer Vorgaben, beispielsweise von Aufsichtsbehörden, erfüllen muss.
Anbieter wie Amazon Web Services (AWS) bieten eine breite Auswahl an Sicherheitsdienstleistungen, die den gesamten Lebenszyklus der Sicherheit abdecken: Identifizierung, Absicherung, Erkennung, Reaktion und Wiederherstellung. Dazu gehören auch Verschlüsselungslösungen. Die VerschlüsselCodierung von Daten „in Bewegung“ ist vergleichsweise einfach: Im Unternehmenssektor werden diese Daten häufig verschlüsselt. Bewährte Lösungen wie Transport Layer Security (TLS) kommen zwischen Rechenzentren, Servern und Endgeräten zum Einsatz. Für die Verschlüsselung ruhender Daten sind plattformspezifische Services erforderlich. Bei AWS ist eine Verschlüsselung für die meisten Services verfügbar, darunter alle Arten von Speicherlösungen sowie viele Datenbanken, Amazon EBS, Amazon S3, Amazon RDS, Amazon Redshift, Amazon ElastiCache, AWS Lambda und Amazon SageMaker. Mit seinen Nitro-Compute-Instanzen bietet AWS auch Confidential Computing zur Verschlüsselung von Daten während der Verarbeitung.
Moderne Verschlüsselungsverfahren, die durch eine robuste Schlüssel-Richtlinie gestützt werden, erhöhen das Vertrauen in die Cloud. Doch es stellt sich immer eine entscheidende Frage bezüglich der Verschlüsselung: Wer hat den Schlüssel? Diese Szene haben Sie bestimmt schon einmal in einem Film gesehen: Der Protagonist fährt in einem schicken Auto vor einem Hotel vor. Ein elegant gekleideter Hotelbediensteter springt in das Fahrzeug und fängt dabei die ihm zugeworfenen Autoschlüssel auf. Der Held betritt das Hotel, während sein Auto davonbraust. Diese Szene sieht man immer wieder. In vielen Filmen nimmt das Ganze dann aber einen anderen Verlauf: Der Fahrer macht erst einmal eine Spritztour mit dem Auto oder verschwindet gänzlich damit, ohne dass dessen Besitzer etwas davon weiß. Ganz ähnlich ist es auch bei der Cloud-Verschlüsselung.
Unternehmen haben drei Möglichkeiten, ihre Daten zu verschlüsselneine Verschlüsselung zu implementieren. Das oben genannte Beispiel wäre eine rein Cloud-basierte Verschlüsselung, bei der die Verschlüsselungsanbieter die Schlüssel auf ihrer Plattform generieren, verwalten und speichern. Dies funktioniert gut zwischen Partnern (aber eben nicht immer zwischen Fremden 😉) und vereinfacht die Verwaltung erheblich. Alternativ dazu können Unternehmen die Option „Bring Your Own Key“ nutzen. Dabei generiert und verwaltet der Nutzer die Schlüssel. Der Cloud-Anbieter erhält Zugang zu diesen und kann sie verwenden. Die dritte Möglichkeit ist, dass die Schlüssel beim Nutzer verbleiben und von diesem gespeichert werden. Hierbei haben die Nutzer die volle Kontrolle über ihre Schlüssel – und somit auch auf ihre Inhalte und Datenbanken.
Die volle Kontrolle über die Verwaltung der Schlüssel zu haben, ist jedoch mit erheblichem Aufwand verbunden, der mit der Vielfalt der für AWS-Services eingesetzten Verschlüsselung noch zunimmt. Eine Alternative zur Selbstverwaltung ist das externe Schlüsselmanagement durch einen vertrauenswürdigen EKM-Anbieter („Management as a Service“). Dieser Ansatz steht hinter dem External Key Management (EKM) von T-Systems für Amazon Web Services. Dabei hostet T-Systems als Ihr Schlüsselverwalter die Schlüssel auf Hardware-Sicherheitsmodulen (nach FIPS 140-2 Level 3 zertifizierte HSM) in einem hochsicheren und hochverfügbaren Rechenzentrum der Telekom. Der AWS Key Management Service (AWS KMS) ist mit diesen Backend-Systemen verbunden. So können unsere Kunden die Schlüssel in ganz ähnlicher Weise wie AWS-verwaltete Customer Master Keys (CMK) nutzen: Die Schlüssel sind mit allen AWS-Services integriert, die AWS Key Management Services (KMS)KMS unterstützen.
Mit einem externen Schlüsselmanagement KMS erhöhen Unternehmen ihr Sicherheitsniveau ganz erheblich – so dass selbst streng regulierte Branchen ihre sensiblen Daten auf AWS verarbeiten können. Doch das EKM erfüllt nicht nur Compliance-Anforderungen, indem es sichere und überprüfbare Prozesse für das Schlüsselmanagement ermöglicht, wie sie zum Beispiel vom PCI-DSS, HIPAA und der EU-DSGVO vorgeschrieben werden. Externe Schlüsselmanagementsysteme vereinfachen außerdem Multi-Tenant-Szenarien, ermöglichen die problemlose Nutzung dezentralisierter Speichersysteme und unterstützen eine Schlüsselrotation. Diese Best Practice der IT-Sicherheit (beispielsweise nach PCI-DSS notwendig) für den regelmäßigen Schlüsselaustausch kann mithilfe von Lösungen für externes Schlüsselmanagement automatisiert werden.
Externes Schlüsselmanagement kann eine wichtige Rolle in Ihrer AWS-Sicherheitsarchitektur spielen. Vor allen Dingen eröffnen Sie mit einem externen Schlüsselmanagement Möglichkeiten zur Verarbeitung sensibler Daten mit AWS. Wenn Sie unsere Hilfe oder ein unverbindliches Gespräch mit uns wünschen, um Ihre Optionen kennenzulernen, kontaktieren Sie uns.
