CLOUD-LÖSUNGEN
INTERACTIVE INTELLIGENCE
DATENSCHUTZ UND SICHERHEIT FÜR CLOUD CONTACT CENTER
D
ie Nachfrage von Cloud Services im Call Center Umfeld steigt jährlich um ca. 30 Prozent. Laut aktuellen Studien wie dem DimensionData Global Contact Centre Benchmarking Report planen 61 Prozent aller Unternehmen die Umstellung in die Cloud und nur 23 Prozent verbleiben in den kommenden Jahren auf Premise-Technologien. 84 Prozent der bestehenden Anwender erkennen den Kostenvorteil von Cloud Lösungen und 89 Prozent der Nutzer erhielten durch Cloud den Zugang zu neuen Funktionalitäten.
• Sehr hohe Komplexität kann zu erheblichen Sicherheitsproblemen führen (Ausfall von Diensten, Datenverlust, etc.) In der letzten Umfrage des statistischen Amtes der Europäischen Union (EUROSTAT) gaben 57 Prozent der Großunternehmen (250 und mehr Mitarbeiter) an, dass Sie Bedenken in Bezug auf das Risiko von Sicherheitsverletzungen haben. Dagegen teilten nur 38 Prozent der kleinen und mittleren Unternehmen diese Bedenken. Hierzu gesellt sich noch die Tatsache, dass Deutschland in der Nutzung von Cloud Computing mit nur elf Prozent aller Unternehmen im Jahr 2014 weit abgeschlagen liegt. Selbst Malta, Estland und Litauen sind diesbezüglich sehr viel fortschrittlicher und die nordischen Länder erreichen sogar eine Penetration von über 40-50 Prozent.
Unabhängige Sicherheitsempfehlungen
Nutzung von Cloud Computing-Diensten von Unternehmen in den EU-Mitgliedsstaaten 2014. (% der Unternehmen) Quelle: Eurostat
ABER wie sieht es mit Sicherheit und Datenschutz aus? Rund zwei Drittel all derjenigen, die den Schritt in die Cloud bereits vollzogen haben, sind im Nachhinein gesehen der Überzeugung, dass sich die Sicherheit durch die Cloud sogar noch verbessert hat. Trotzdem bilden Sicherheitsfragen nach wie vor die wichtigsten Vorbehalte, die einer vermehrten Nutzung von Cloud Computing entgegenstehen. Die folgenden Bedenken herrschen dabei vor: • Verlust der Kontrolle über die Daten und Anwendungen • Verletzung geltender Vorgaben und Richtlinien (beispielsweise Datenschutzanforderungen) • Viele unbekannte Nutzer teilen sich eine gemeinsame Infrastruktur • Steigendes Risiko einer Verletzung der Grundwerte der Informationssicherheit • Daten bzw. Anwendungen werden über das Internet genutzt, so dass ein Ausfall der Internetverbindung den Zugriff unmöglich macht • Zunahme von verteilten Denial-of-Service Angriffen auf CloudComputing-Plattformen 20
TeleTalk 10/2016
Diese Tatsache veranlasste die Bundesregierung, die Akzeptanz von Cloud-Lösungen in Deutschland zu fördern. Eines der Ergebnisse war, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sich dem Thema angenommen hat und ein sog. „Eckpunktepapier zum Thema Sicherheitsempfehlungen für Cloud Computing Anbieter“ herausgegeben hat. Dieses Papier beschreibt die Mindestanforderungen an die Informationssicherheit in Deutschland. Diese umfangreiche, 93-seitige Cloud-Empfehlungs-Broschüre ist sowohl für Anbieter als auch Nutzer gedacht und im intensiven Dialog mit der Wirtschaft entstanden. Die Grundlage hierfür sind angemessene Sicherheitsempfehlungen, die praxisnah und mit vertretbarem Aufwand umsetzbar sind. Alle wichtigen Bereiche wurden hierbei umfänglich berücksichtigt. Die zehn Kapitel decken sowohl organisatorische, personelle wie auch technische sicherheitsrelevante Empfehlungen und Maßnahmen ab. Ein eigenes Kapitel beschäftigt sich mit dem Datenschutz, welches vom Bundesbeauftragten für den Datenschutz verfasst worden ist. Die folgenden notwendigen Sicherheitsmaßnahmen sind Bestandteil der Empfehlungen: • Sicherheitsmanagement beim Cloud-Anbieter • Sicherheitsarchitektur • ID- und Rechte-Management • Kontrollmöglichkeit für Nutzer • Monitoring und Security-Incident Management • Notfallmanagement • Portabilität und Interoperabilität • Sicherheitsprüfung und -nachweis www.teletalk.de
INTERACTIVE INTELLIGENCE
• Anforderungen an das Personal • Vertragsgestaltung • Datenschutz und Compliance Dabei werden auch die unterschiedlichen Cloud Ausführungen berücksichtigt. Die Maßnahmen für Public und Private Clouds sind weitgehend identisch. Bei den Themen IaaS / PaaS /SaaS werden geringe Unterschiede gemacht. So muss etwa auch ein SaaS-Anbieter sicherstellen, dass die Forderungen an die Infrastruktur erfüllt werden. Das BSI unterscheidet in seinem Papier drei Kategorien, zwischen denen Anwender wählen können, die mit unterschiedlichen Empfehlungen definiert sind (siehe Tabelle unten): B (=Basisanforderung), C+ (=Vertraulichkeit hoch, Confidentiality) und A+ (=Verfügbarkeit hoch, Availability). Darüber hinaus entwickelte das BSI einen sog. IT-Grundschutz. Hierbei werden typische Komponenten sowie typische Gefährdungen, Schwachstellen und Risiken aufgeführt und konkrete Umsetzungshinweise für das Sicherheitsmanagement gegeben. Die Empfehlungen geeigneter Bündel von Standard-Sicherheitsmaßnahmen basieren auf vorbildlichen Lösungen aus der Praxis, den sogenannten „Best Practice“-Ansätzen.
CLOUD-LÖSUNGEN
EXPERTENSTATEMENT ZU COMPLIANCE Cloud-Dienstleister haben ein höchstmögliches Maß an Sicherheit sowie das Einhalten der Konformität mit gesetzlichen und regulatorischen Vorschriften zu gewährleisten. (...) Cloud-Anwender in Europa sollten sich davon überzeugen, dass nicht nur Teile der Infrastruktur, sondern auch die Dienstleistung vollständig konform ist. Diese Konformität sollte zumindest hinsichtlich ISO/IEC 27001:2013 (basierend auf den Maßnahmen von ISO27002) als auch ISO/IES 27017 (eine spezielle Gruppe von Cloud-relevanten Maßnahmen), sowie ISO/IEC 27018 (eine weitere spezielle Gruppe von Maßnahmen für den Schutz von personenbezogenen Daten) nachgewiesen sein. Ebenso sollten durch Wirtschaftsprüfer erstellte SOC1 und SOC2 (Type II) Berichte vorgelegt werden können. Für den Fall, dass auch Kreditkartendaten verarbeitet werden, ist zudem eine Zertifizierung der Anwendung inklusive der Infrastruktur nach PCI DSS Version 3.2 Level 1 unerlässlich. (...) Zudem sollten die genutzten Cloud-Dienste auch Aufzeichnungen der seitens des CloudKunden vorgenommen Konfigurationen und Aktivitäten zur Verfügung stellen. Mit diesen können dann sowohl die Konfiguration als auch deren Entstehung und etwaige Veränderungen exakt nachvollzogen werden. Auch bieten die Cloud-Infrastrukturen klar definierte Eingangs- und Ausgangs-Punkte für den Netzwerkverkehr. Diese werden dann durch entsprechende Maßnahmen wie Firewalls oder IDS/IPS Systeme geschützt. Innerhalb der Cloud-Infrastruktur sind die Datenströme in der Folge transparent und können eindeutig nachvollzogen werden. IT-Verfahren in der Grauzone oder unbekannte Verfahren können somit weitgehend ausgeschlossen werden. Durch die Transparenz der Aktivitäten in der Cloud als auch durch die hinsichtlich Sicherheit optimierten Vorgänge, nachgewiesen durch die Konformitätsberichte von den Cloud-Dienstleistern, entstehen Konfigurationen, die in ihrer Kombination ein sehr geringes Risikoprofil aufweisen. Dieses ist in der Regel kleiner, als es die meisten Cloud-Kunden in ihrer eigenen Infrastruktur realisieren könnten. Bertram Dorn, Solutions Architect EMEA, Amazon Web Services
Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische StandardSicherheitsmaßnahmen werden kombiniert, um ein Standard-Sicherheitsniveau aufzubauen und so geschäftsrelevante Informationen zu schützen. Vieles sind höherwertige Maßnahmen, die die Basis auch für sensiblere Bereiche bilden. Da diese Anforderungen für den Anwender sehr komplex sind, haben sich einige Cloud Anbieter, wie etwa Amazon Web Services (AWS)
dazu entschieden, ihre Cloud Plattform gemäß den IT-Grundschutz Standards durch bekannte Institute, wie den TÜV zertifizieren zu lassen. Auch diese Zertifikate können mit ein paar dutzend Seiten sehr umfangreich sein. Sie bieten jedoch dem Nutzer ein sehr konkretes Bild über den tatsächlichen Erfüllungsgrad in Form von konkreten Compliance Aussagen. Außerdem stellen sie so sicher, dass durch ein externes und darauf spezialisiertes Unternehmen die Neutralität und Richtigkeit der Aussagen gewährleistet ist. Unternehmen, die an Cloud-Lösungen interessiert sind, sollten diese kostenfreien und neutralen Ratgeber des BSI zu Rate zu ziehen und potentielle Cloud Anbieter auf ihr Sicherheitskonzept prüfen. Marketing Aussagen wie „Cloud aus Deutschland“ alleine sind kein Garant für die Erfüllung der hohen Anforderungen deutscher Unternehmen. Die BSI-Empfehlungen hingegen bieten eine sehr gute Orientierung, um schnell, günstig und trotzdem professionell einen sicheren Cloud Anbieter zu finden, der die bestehenden Sicherheitskonzepte adäquat umsetzt und mögliche Sicherheitsbedenken zerstreut.
Quelle: BSI - Eckpunktepapier zum Thema Sicherheitsempfehlungen für Cloud Computing Anbieter
www.teletalk.de
Christian Klein Senior Solutions Consultant bei Interactive Intelligence
[email protected] · +49 (0) 69 951066-0 10/2016 TeleTalk
21
