Die Sicherheit von Cloud-Lösungen ist ein wichtiges Thema in nahezu allen Wirtschaftsbereichen, jedoch gelten für die Life-Science-Industrie hier besondere Anforderungen, da dieser Wirtschaftszweig Patientendaten und geistiges Eigentum schützen muss. Denn wie auch in einem anderen Artikel in diesem Blog (Data Privacy in the Age of Digital Health) erwähnt, zählen die persönlichen Gesundheitsdaten eines Patienten zu den sensibelsten Daten, die es gibt.
Ein durchschnittlicher Angestellter in einem Großunternehmen in den USA verwendet 27 Cloud-Dienste, da diese häufig für das Business einfach einzurichten sind. Das führt jedoch zu erhöhten Gefahren und einer wachsenden Schatten-IT. In einem Großunternehmen in den USA werden im Durchschnitt 897 Cloud-Dienste verwendet. 22 Prozent aller in die Cloud hochgeladenen Dateien enthalten sensible oder vertrauliche Daten.
Kurze Begriffsdefinition:
Die Public ist die Nutzung von Cloud-Diensten, die durch Dritte im Internet angeboten werden z.B.: Dropbox, Salceforce.com.
Die Hybrid Cloud ist eine Mischung aus Private und Public-Cloud, wenn nicht alle Daten in eine öffentliche Cloud ausgelagert werden sollen.
Die Sicherheitsrisiken bei Verwendung von Cloud-Diensten
Allgemein sind folgende Risiken bei dem Einsatz von Leistungen aus einer Public- oder Hybrid-Cloud zu beachten:
- Verletzung der Vertraulichkeit und Integrität der Daten
Eine Lokalisierung der Daten ist in einer Public- oder Hybrid-Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten. Gerade für sensitive Daten kann eine ausreichende Zugriffskontrolle nur schwer realisiert werden. Auch die Infrastruktur der Cloud selbst kann angegriffen oder missbraucht werden. - Löschung von Daten
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten oftmals nur schwer möglich ist. Auch nach Beendigung eines Auftrags müssen die verarbeiteten Daten und alle Zwischenergebnisse in der Public-Cloud gelöscht werden. - Ungenügende Mandantentrennung
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können. Dieses Risiko ist in einer Public-Cloud erhöht, da durch Virtualisierung und Grid-Computing keine physikalische Trennung der Daten unterschiedlicher Mandanten erfolgt. - Verletzung der Compliance
Da Daten in einer Public-Cloud prinzipiell in allen Ländern der Welt und in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlichen Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public-Cloud-Leistungen. - Verletzung von Datenschutzgesetzen
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden. Auch sind die Datenflüsse unbekannt. Es besteht dadurch die Gefahr der Verletzung von Datenschutzvorschriften. - Insolvenz des Providers
Die Insolvenz eines Cloud-Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem nach einer Insolvenz in der Regel an andere Provider verkauft. In allen diesen Fällen besteht das Risiko, dass Daten nicht vor unberechtigtem Zugriff geschützt sind oder Daten nicht mehr auffindbar sind. - Problematik der Subunternehmer
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider verpflichtet häufig Subunternehmer für verschiedene Leistungen. In einer Public-Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen, was ja nach der Philosophie des Cloud-Computing auch erwünscht ist. Daten können sich dann auf Computing-Ressourcen eines unbekannten Subunternehmers irgendwo in der Welt befinden. - Beschlagnahmung von Hardware
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden. Log-Daten auf Servern und Routern können Schlussfolgerungen auf die Geschäftstätigkeit des Kunden auch ermöglichen, wenn keine sonstigen Geschäftsdaten vorliegen. - Handel mit Ressourcen
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine “Ressourcenbörse” realisieren. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten. In Leistungsspitzen würde etwa der Preis pro CPU-Stunde auf der Börse höher gehandelt. Welche Konsequenzen dies für die Sicherheit der Daten haben kann, ist noch vollkommen unklar. - Erpressungsversuche
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public-Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.
Cloud-Sicherheit in der Praxis
Weil der Cloud-Anbieter für die Sicherheit seiner Produkte verantwortlich ist, basiert die Compliance auf einem geteilten Verantwortungsmodell. Bei diesem Modell muss ebenfalls das Business, welches die Cloud-Lösung nutzt, ebenfalls Kontrollmaßnahmen etablieren um den Datenschutz von Mitarbeiter- und Kundendaten sicher zu stellen. Das Business, die Anwender, die IT und die Compliance teilen sich die Verantwortung für die Cloud-Compliance.
Einige Cloud-Dienste haben Sicherheitsfunktionen, die weit über die der meisten Firmenrechenzentren hinausreichen. Doch mit mehr als 10.000 Cloud-Services die zur Verfügung stehen, gibt es eine große Variation in den angebotenen Sicherheitsfunktionen. Die gute Nachricht ist, dass eine zunehmende Zahl an Cloud-Diensten in IT-Sicherheit investieren, aber eine größere Anzahl noch nicht einmal grundlegende Sicherheitsfunktion anbieten. Nur 17 % der Cloud-Dienste bieten Multi-Faktor-Authentifizierung an, nur 5 % sind nach ISO 27001 zertifiziert und nur 11 % verschlüsseln Daten vollständig
Guideline für eine sichere Cloud
IT-Sicherheit und Datenschutz in der Cloud funktionieren anders, als die klassische Herangehensweise. Früher konnten Unternehmen ihre IT durch Firewalls, zentrale Benutzerverwaltung, eingeschränkte Rechte für User, Netzwerk-Traffic-Monitoring und andere Maßnahmen absichern. Jedoch können ein Teil dieser Methoden in der Public- bzw. Hybrid-Cloud nicht mehr verwendet werden, da hier ein Teil der Unternehmens IT im Internet und nicht mehr in den eigenen vier Wänden sitzt. Daraus resultiert ein Abhängigkeit bezüglich Software-Updates vom Provider, deren Zeitpunkt der Nutzer nicht mehr selbst bestimmen kann.
Folgende Maßnahmen sollten Sie für eine sichere Cloud treffen bzw. beachten:
- Verschlüsselung: All Ihre Daten sind beim Cloud-Anbieter und dem Transfer von und zum Anbieter verschlüsselt. Hierbei sollte der Anbieter aktuelle Verschlüsselungsverfahren nutzen. Um eine höhere Vertraulichkeit und Sicherheit herzustellen, sollten Sie die Daten zuvor bei Ihnen verschlüsseln und erst danach verschlüsselt beim Dienstanbieter speichern.
- Beachtung von Gesetzen: Machen Sie sich mit den Gesetzen vertraut, die für ihre Daten gelten, dies umfasst nicht nur die lokalen Gesetze sondern auch alle Gesetze der Orte, wo die Daten physisch gespeichert werden. Denn diese Gesetze können Vorgaben enthalten, die Sie implementieren müssen, um die Sicherheit und den Datenschutz der gespeicherten Daten zu gewährleisten.
- Beschränkung der Speicherorte: Falls entsprechende Gesetze den Transfer der Daten in Drittländer verbietet oder Sie sichergehen möchten, dass keine unbefugte Partei (wie z.B. Geheimdienste) Zugriff auf ihre Daten hat, können Sie auch dafür sorgen, dass der Cloud-Anbieter Ihre Daten beispielsweise ausschließlich innerhalb der EU speichert und verarbeitet.
- Validierung der Cloud: Wenn die Cloud für GxP-Aufgaben eingesetzt wird, ist eine Qualifizierung und Validierung der gewählten Cloud-Lösung erforderlich. Eine Cloud-Validierung hilft dabei ein Teil der anderen erwähnten Maßnahmen zu verwirklichen. Auch ist im Zuge einer Cloud-Validierung eine Auditierung des Cloud-Anbieters erforderlich. Des Weiteren führt eine Cloud-Validierung dazu, dass der Anbieter entsprechende Dokument vorhalten muss und man selbst entsprechende Dokumente erstellt und pflegt z.B.: Benutzeranforderungen, Testdokumentation.
- Dokumentierte Prozesse: Sorgen Sie dafür, dass dokumentierte Prozess existieren, wer für das Incident Handling und Security Monitoring ab welchem Punkt verantwortlich ist. Des Weiteren sollte Sie vom Provider die Dokumentation über seine internen Prozesse zeigen.
- Sicherstellung der Datenintegrität: Der Cloud-Anbieter muss die Integrität Ihrer Daten über entsprechende Maßnahmen Falls Sie eine Cloud-Lösung im GxP-Bereich verwenden, ist dies ohnehin eine Grundanforderung.
- Auditrecht: Lassen Sie sich vom Cloud-Anbieter ein Auditrecht einräumen, um sicherzustellen, dass er sich an die gesetzlichen und ihren Anforderungen hält. Lassen Sie sich vor allem Auditrechte für Dokumente, Beschreibungen und Protokolle einrichten, da Auditrechte für die physische Anwesenheit von Auditoren für die Anbieter zu aufwendig sind und das Sicherheitsniveau durch viele Fremd-Auditoren sinken würde.
- Datenverfügbarkeit: Definieren Sie mit dem Anbieter, wie die Datenverfügbarkeit ist, um im Falle einer Inspektion alle Daten ohne Umwege und sofort den Inspektoren zur Verfügung stellen zu können.
- Security Monitoring: Richten Sie ein Security Monitoring ein, dass auch das Monitoring Ihrer Cloud-Aktivitäten umfasst.
- Definition der Beendigung der Cloud-Nutzung: Sie sollten auch definieren, was mit ihren Daten nach Beendigung des Servicevertrages zur Nutzung der Cloud passiert. Hier sollten Sie festlegen, welche Daten nicht wiederherstellbar gelöscht werden und welche Daten und in welchem Format diese Ihnen übergeben werden.
- Policy Enforcement: Verpflichten Sie den Anbieter dazu, dass er sich an Ihre Vorgaben und Policies hält, da der Anbieter nicht Teil ihrer Organisation ist.
- Business Continuity: Legen Sie zusammen mit dem Cloud-Anbieter fest, was Sie bezüglich Business Continuity von ihm erwarten.
- Training: Verpflichten Sie den Anbieter dazu, dass er seine Mitarbeiter regelmässig trainiert und diese Mitarbeiter Ihre Daten auch vertraulich behandeln.
- Definition von Kennzahlen: Definieren Sie Kennzahlen für Vertraulichkeit und Integrität, da Kennzahlen für Verfügbarkeit und Performance durch die Provider vorgegeben werden.
- Um die Sicherheit von Cloud-Lösungen zu beurteilen, gibt es die Cloud Security Alliance, welche auch Zertifizierungen von Cloud Lösungen anbietet.
Wenn Sie all diese Vorschläge beherzigen, kann ihre Cloud sicherer sein als Ihr internes Netzwerk.
KVALITO kann Ihnen helfen die richtige Cloud-Sicherheitsstrategie für ihr Unternehmen im Life-Science-Umfeld zu erarbeiten und umzusetzen.
Autor: KVALITO Consulting