Bislang schützten Unternehmen ihre Daten mit einem mittelalterlichen Konzept: um die Firma wurde eine Mauer (Firewall) aufgebaut. Dieser geschützte Bereich wird als Perimeter bezeichnet. Für Mitarbeiter, welche von aussen auf Daten zugreifen mussten, wurden Tunnels gebaut, welche die Daten verschlüsselt übermittelten (VPNs). Für Programme, die gegen innen und aussen kommunizieren sollen, wurden Löcher für einen kontrollierten Austausch in die Mauer gebohrt (Ports). Somit kann die traditionelle IT-Architektur und Datenhaltung der Firmen mit einer gut bewachten Burg mit Aussenmauern verglichen werden. In der Cloud gibt es diesen Perimeter nicht mehr. Die Daten sind neu ausserhalb des Perimeters (in der Cloud) und die Mitarbeiter greifen auch mit Geräten und von Lokationen ausserhalb des Perimeters auf die Daten zu. Die neue Art des Schutzes beruht auf dem Konzept, dass sowohl die Daten verschlüsselt abgelegt und übertragen wie auch der Zugriff auf die Daten nur für sichere Identitäten erlaubt wird. Dieses Konzept nennt sich identitätsbasierte Sicherheit. Siehe auch die folgende Grafik zur Illustration:
Anders als in herkömmlichen Systemen dreht sich die identitätsbasierte Sicherheit um den Benutzer. Dabei geht es aber nicht nur um die Person, sondern um den Benutzer als “Ganzes”: seine Geräte mit denen er sich einloggt, die geographischen Orte wo er sich aufhält, die Apps mit denen er auf die Daten zugreift, das Verhalten des Mitarbeiters beim Zugriff, etc. Public Cloud Services wie Microsoft investieren Milliarden in diese identitätsbasierte Sicherheit und bieten ein ganzes Toolset an Sicherheitsmechanismen. Während das Einloggen in traditionellen Systemen aus der Kombination von Benutzername und Passwort besteht und damit anfällig ist für menschliche Fehler und externe Angriffe, ist die Verwendung eines zweiten Faktors (two factor authentication) gekoppelt mit definierten Zugriffsregeln (conditional access) wesentlich sicherer. Mittels Conditional Access kann ein unübliches Verhalten eines Gerätes oder Benutzers erkannt und Schaden verhindert werden. Versucht beispielsweise ein Gerät sich innerhalb weniger Minuten von Paris und danach von New York einzuloggen, erkennt Conditional Access automatisiert, dass dieses Gerät oder der Benutzer unmöglich in dieser Zeit von Paris nach New York reisen konnte. Entsprechend wird der Zugriff blockiert oder z.B. ein weiterer Sicherheitsfaktor für das Einloggen abgefragt.
Daten in der Cloud haben den Vorteil, dass sie von überall aus mit allen geteilt werden können. So entsteht ein digitaler Arbeitsplatz, der zwar ortsunabhängig aber genauso funktional wie der Büroschreibtisch mit Desktop Computer ist. Aber auch hier entstehen Risiken hinsichtlich der Sicherheit. Microsoft 365 beinhaltet für die Benutzer Möglichkeiten, Daten mit Hilfe von Berechtigungen intern wie auch extern zu teilen. Das digitale Arbeiten in der Cloud bringt Unternehmen somit viele Vorteile, nicht nur hinsichtlich der Produktivität und Flexibilität der Mitarbeiter, sondern auch bezüglich der Kosten und dem gemeinsamen Arbeiten in Projekten mit Lieferanten, Partnern oder Kunden. Identitätsbasierte Sicherheit und Microsoft 365 sind so die Antwort auf die Herausforderungen der Arbeit in der Cloud in einer digitalen Welt, mit Sicherheit als höchster Priorität. Die technischen Möglichkeiten für einen sicheren Weg in die Cloud sind also da. Die Technologien richtig zu konzipieren und konfigurieren braucht das Wissen von Profis, die wissen was sie tun. Wir bei Swisscom haben das für uns selber umgesetzt. Es war eine nicht ganz einfache Reise, während der wir bemerkt haben, wie wenig Knowhow dafür in der Schweiz vorhanden ist. Nun sind wir bereit und lassen unsere Kunden gerne von unserem Knowhow profitieren.
Andreas Schmid
Principal Product Manager
Find the job or career to suit you. A career where you can make a difference and continue your personal development.
What you do is who we are.