Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit

Werden die Daten in der Cloud klassifiziert, erhöht dies die Transparenz und Sicherheit erheblich. Datenschutz und Compliance profitieren ebenso.

Microsoft hat mit Azure Information Protection einen neuen Dienst angekündigt, mit dem sich Daten in der Cloud klassifizieren und schützen lassen sollen.

Einmal klassifiziert und geschützt begleiten diese Informationen die Daten, unabhängig vom Speicherort. Der Schutz soll daher systemübergreifend funktionieren, entsprechend auch auf Mobilgeräten mit Systemen wie iOS oder Android (siehe auch Microsoft Azure Information Protection: Daten klassifizieren und schützen).

Dienste wie Azure Information Protection haben in Sachen Cloud-Sicherheit eine große Bedeutung. Vor allem Unternehmen, die strengere Regulierungen beachten müssen, sind wenig begeistert über das Wandern der Daten von einem Cloud-Service zum Nächsten und dies auch noch über Endgeräte hinweg.

Dass die Cloud neue Risiken mit sich bringt, ist seit langem bekannt. Die mangelnde Transparenz und Kontrolle darüber, welche Daten wohin hochgeladen werden und wer darauf Zugriff hat, nimmt dabei eine Spitzenposition unter den Risiken ein. Ebenso die fehlende Übersicht über den Lebenszyklus der Daten. Addalom, ein Cloud Access Security Broker (CASB), den Microsoft übernommen hat, hat 2014 eine Studie hinsichtlich dieser Risiken der Cloud veröffentlicht.

Demnach haben 29 Prozent der Mitarbeiter durchschnittlich 98 Dateien ihres Unternehmens über private E-Mail-Accounts ausgetauscht. Durchschnittlich fünf Prozent der internen Dateien von Unternehmen wurden öffentlich zugänglich gemacht.

Und fünf Prozent der Daten in den Cloud-Diensten waren niemandem mehr zuzuordnen. Davon waren 70 Prozent von Nutzern außerhalb des Unternehmens erstellt worden und 30 Prozent von gekündigten Mitarbeitern oder ehemaligen Vertragspartnern.

Abbildung 1: Mit dem neuen Dienst Microsoft Azure Information Protecion sollen sich Daten plattformübergreifend und unabhängig vom Speicherort schützen lassen.

Zahlen wie diese belegen, dass Unternehmen dringend mehr Transparenz und bessere Werkzeuge benötigen, um die sensiblen Daten entsprechend zu klassifizieren. Nur so können alle Vorgänge, wie das Erstellen von Daten, die Bewegung, Zugriffe und Verarbeitung sowie auch die mögliche Löschung mit Richtlinien nachvollzogen werden. Hier setzen die Dienste zur Datenklassifizierung an.

Neben dem eingangs erwähnten Azure Protection Information Service bieten auch andere Dienstleister wie CipherCloud oder CloudLock ähnliche Lösungen an. Bei den meisten dieser Dienste können Unternehmen ihre Daten auf einfache Art und Weise mit Metadaten markieren. Hierüber lassen sich die Klassifizierungen vornehmen und auch relevante Sicherheitsinformationen mit auf den Weg geben. Die markierten Dateien kann man dann über Richtlinien versehen, auf Netzwerk-, Host- oder Prozess-Ebene. Die Dienste zur Datenklassifizierung erlauben Unternehmen üblicherweise folgende Maßnahmen und Funktionen:

  • Unternehmen können Schemata für die Datenklassifizierung innerhalb der Cloud-Umgebung festlegen. Die Daten können zu unterschiedlichen Zeitpunkten ihres Lebenszyklus mit Metadaten versehen werden. Auf diese Weise können Administratoren Daten bereits bei der Erstellung Tags mit auf den Weg geben, die über die gesamte Lebensdauer erhalten bleiben.
  • Die Überwachung der Bewegung und der Migration von Daten, auch zwischen verschiedenen Cloud-Diensten. Und sowohl die räumliche Bewegung als auch jene über Endgeräte hinweg. Die ist notwendig für die Durchsetzung und Aufrechterhaltung von Compliance- und Datenschutzrichtlinien.
  • Die Datenklassifizierung kann sich an den Zugriffsberechtigungen und Benutzerrechten orientieren. Mit der Klassifizierung kann man zu vorhandenen IAM-Lösungen, die bestimmen, wer Daten wie verwenden darf, eine weitere wichtige Dimension hinzufügen.
  • Die Überwachung, welche Daten wo in der Cloud gespeichert sind, und wer darauf Zugriff hat. Zu wissen, welche Art von Daten sich in der Cloud befinden, wo diese gespeichert sind und wer über den Lebenszyklus hinweg darauf zugreift, liefert Sicherheits- und IT-Verantwortlichen wertvolle Informationen darüber, wie Nutzer agieren. Im Idealfall lassen sich so auch schnell Schatten-IT-Szenarien erkennen.

Klassifizierung, Verschlüsselung und DLP verknüpfen

Die Richtlinien zur Datenklassifizierung müssen mit anderen Sicherheitsmechnismen wie Verschlüsselung und Data Loss Prevention eng verknüpft werden. Vieles davon lässt sich über APIs abbilden, die von den meisten Lösungen geboten werden.

Für Cloud-Anbieter wird das Angebot einer ordentlichen Klassfizierung inklusive einem Richtlinienmodell zur Durchsetzung ein starkes Unterscheidungsmerkmal werden. So können die Cloud Provider ihren Kunden eine granulare Kontrolle ihrer Daten über den gesamten Lebenszyklus hinweg anbieten, beginnend mit der Datenerstellung. Damit erhalten IT-Abteilungen viel mehr Möglichkeiten für einen sauberen Richtlinienansatz hinsichtlich der Daten. Zudem können sensible Daten so viel besser überwacht werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Microsoft Azure Information Protection: Daten klassifizieren und schützen.

Cloud-Sicherheit: Darauf sollten Sie achten.

IBM Cloud Security Enforcer – Cloud-Sicherheit mit Zugriffskontrolle.

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance.

Artikel wurde zuletzt im August 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Sicherheit für hybride IT-Infrastrukturen gewährleisten

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close