Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sichere Identitäten in der Cloud
Neben den üblichen Diskussionen über die Sicherheit der Informationen in der Cloud besteht dort noch ein ganz anderes Risiko: Denn wie auch bei unternehmensinternen Anwendungen brauchen Sie digitale Identitäten, um sich bei Cloud-Diensten anzumelden.
Anwendungen benötigen Identitäten
Identitäten sind wesentlich für eine sichere Verwendung von Anwendungen, denn sie stellen sicher, dass die Benutzer sich “ausweisen” müssen, und dass sie die richtigen Berechtigungen für die Verwendung der Anwendungen bekommen. Doch leider bringen noch immer viele Anwendungen ihre eigene Verwaltung von Identitäten mit, und vergeben erneut Benutzername und Passwort, auch wenn der Benutzer schon viele davon hat. Innerhalb eines Unternehmens kann man dieses Problem lösen, indem man ein so genanntes Identitätsmanagement einsetzt, welches diese Benutzer synchron hält, und im Idealfalle — Stichwort “Single Sign-On” — auch die Authentifizierung angleicht.
Explosion der Identitäten in der Cloud
Doch durch die Nutzung von Cloud Services nimmt die Anzahl der Identitäten erheblich zu: auch hier ist es immer noch üblich, dass Cloud-Dienste ihre eigenen Benutzer verwalten, entsprechend bekommt jeder Nutzer eines Cloud-Dienstes wieder neue Identitäten zugesandt. Dies führt zu einem erheblichen Risiko: zum einen werden die Identitätsdaten nicht mehr innerhalb des Unternehmens verarbeitet, sondern über das Internet, was die Angreifbarkeit deutlich erhöht . Zum anderen werden die Nutzer oft gezwungen, komplexe Passwort-Vorgaben einzuhalten, was oft dazu führt, dass die Passwörter aufgeschrieben oder gleich vergessen werden. Durch die schiere Anzahl der verschiedenen Cloud Services wird das Problem noch deutlich größer — wer kann denn sicherstellen, dass er alle in der Cloud verwendeten Identitäten kennt, dass nirgendwo zwei gleiche Passwörter verwendet werden (denn wenn ein Angreifer eines herausbekommt, wird er dieses bei allen anderen Cloud-Diensten auch testen), und dass diese beim Cloud-Dienstleister auch sicher verarbeitet werden?
Identitäten: Raus aus den Cloud-Diensten!
Die Lösung besteht darin, auch bei Cloud-Diensten die Identitäten nicht den Anwendungen zu überlassen, sondern diese sozusagen “outzusourcen”. Es gibt viele große Cloud Services, die dies ermöglichen, und zwar über das so genannte “OpenID”-Protokoll. Damit kann jede Web-Anwendung die Identitäten von Diensteanbietern nutzen, die sich genau darauf spezialisiert haben. So kann man bei vielen Cloud Services schon Google-Identitäten oder Facebook-Identitäten verwenden, oder alternativ auch einen eigenen Dienst angeben. Es gibt eine Reihe von deutschen Anbietern, welche unter http://de.wikipedia.org/wiki/OpenID zu finden sind, dort kann man seine eigene Identität verwalten, was gerade für KMUs interessant ist. Denn damit haben die verwendeten Cloud-Dienste nur genau die Informationen über die Anwender, die sie benötigen.
Starke Authentifizierung — auch in der Cloud
Ein Restrisiko bleibt jedoch auch dann: Passwörter können unbemerkt gestohlen werden. Daher ist es sinnvoll, sich zu überlegen, stärkere Authentifizierungsmaßnahmen zu verwenden, so z.B. mTAN (Einmalpasswörter per SMS) oder Smart Cards. Eine besonders zukunftssichere Idee ist die Verwendung des neuen elektronischen Personalausweises für die Authentifizierung bei Cloud Services. Eine Reihe von Projekten haben zum Ziel, diesen sicher und bequem über OpenID und andere standardisierte Verfahren verwendbar zu machen. Das ist zwar noch nicht flächendeckend einsetzbar, wird aber auf absehbare Zeit sicherlich eine Standard-Lösung werden.
Prof. Dr. Sachar Paulus, Hochschule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kuppinger Cole, arbeitet gleichzeitig als selbständiger Unternehmensberater für Sicherheit und ist Professor für Unternehmenssicherheit und Risikomanagement an der FH Brandenburg. Er war Mitglied der ständigen Interessenvertretung der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur) und des Forschungsbeirats “RISEPTIS” für Vertrauen und Sicherheit im Future Internet der Europäischen Kommission. Er ist Vorstandsvorsitzender des Vereins “ISSECO” für sichere Software-Entwicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Brandenburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen zu Sicherheit tätig, unter anderem Leiter der Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat SAP als Vorstandsmitglied in den beiden Vereinen “Deutschland Sicher im Netz” und “TeleTrusT”.

Neueste Kommentare