Ein Beitrag von unserem Gastautor Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler

[datensicherheit.de, 26.06.2019] Acht Jahre nach dem Start von Office 365 hat die Cloud-basierte Suite einen unvergleichlichen Siegeszug in Unternehmen angetreten. Dennoch klagen viele Firmen nach der Einführung über Engpässe im Netzwerk, die Anwender unzufrieden reagieren lassen und ausufernde Kosten für Hardware-Upgrades in Form von Firewalls und Proxies.

Firmen wollen Komplexität und Kosten reduzieren

Eine aktuelle Studie von TechVaildate (2019 Office 365 Migration Survey) zeigte, dass Unternehmen mit Hilfe von Office 365 Komplexität und Kosten reduzieren wollen und ihre Anwender von steigender Produktivität profitieren sollen. Allerdings erzielen sie oftmals genau das Gegenteil: 41 Prozent der befragten Entscheider berichten von Engpässen im Netzwerk. Mehr als die Hälfte der Unternehmen war mehrfach pro Tag mit Netzwerkproblemen konfrontiert. Fast zwei Drittel (63 Prozent) klagten über eingeschränkte Funktionalität bei der Zusammenarbeit durch mangelhafte Netzwerkperformance.

Bild: Zscaler

Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler

Unternehmen müssen sich angesichts dieser Statistiken die Frage gefallen lassen, was beim Umstieg auf die Cloud-basierte Office 365 Lösung schiefgelaufen ist. Es scheint, als fokussieren die Unternehmen in einem ersten Schritt der Transformation zu sehr auf die Applikation und migrieren diese in die Cloud, ohne im Vorfeld Netzwerk- und Sicherheitsanforderungen ausreichend berücksichtigt zu haben. Was während eines Proof of Concept (POC) vom zentralen Unternehmensstandort nicht auffiel, wird nach dem Roll-out offensichtlich: Office 365 geht mit neuen Anforderungen an Bandbreite und Netzwerkperformance einher, der herkömmliche Hub- und Spoke Netzwerke nicht gewachsen sind.

Remote-Standorte müssen schon in der Proof of Concept-Phase berücksichtigt werden

Wenn in der Proof of Concept-Phase die Niederlassungen oder Zweigstellen nicht eingebunden werden, werden die neuen Anforderungen an Netzwerkbandbreite oft nicht deutlich. Denn gerade in den Remote-Standorten entsteht der Stau, wenn Datenströme von Mitarbeitern aus den Niederlassungen erst über MPLS-Leitungen in die Zentrale geschickt werden, um von dort zu den Microsoft Rechenzentren zu gelangen – um dann den gleichen Weg wieder zurück zum Anwender nehmen zu müssen. Microsoft empfiehlt in seinen Design-Guides aus diesem Grund direkte Internet-Übergänge für den performanten Zugriff auf Office 365. Es wird also deutlich, dass die Applikationstransformation nicht losgelöst von Netzwerk- und Sicherheitsanforderungen betrachtet werden darf.

Um explodierende Kosten und Netzwerküberlastung zu vermeiden muss die richtige Reihenfolge bei der Einführung beachtet werden. Denn auch die Security-Architektur muss dem gestiegenen Traffic gewachsen sein. Office 365 verlangt parallele Sessions zu den Anwendungen woraus sich ggf. Hardware-Investitionen ergeben, die eben für Verzögerungen und ausufernde Kosten sorgen. Machen sich Unternehmen in einem ersten Schritt Gedanken, wie ein Cloud-ready Netzwerk aussehen muss, können sie die Probleme beim Roll-out vermeiden. Um für die erforderliche Performanz zu sorgen, starten erfolgreiche Migrationsprojekte mit der Transformation des Netzwerks und der Security-Infrastruktur. Lokale Internet-Übergänge idealerweise mit SD-WAN sorgen für Geschwindigkeit und halten die Kosten im Rahmen. Wird gleichzeitig eine Cloud-basierte Security-Lösung berücksichtigt anstelle eines Hardware-Upgrades, greift der Perfomanzfaktor erneut und MPLS-Kosten lassen sich deutlich reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2019]
Account Takeover-Angriffe: Wie Unternehmen ihre Office 365-Konten schützen können

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

Von unserem Gastautor Michael Scheffler, Regional Director CEEU, Bitglass

[datensicherheit.de, 07.03.2019] Die Vielzahl an Cloudservices eröffnet zahlreiche Möglichkeiten, einzelne Geschäftsprozesse zu optimieren. Die richtige Cloudstrategie hat sich damit längst zu einem Wettbewerbskriterium entwickelt. Viele Unternehmen setzen auf eine Multicloud-Strategie, um bei eventuellen Ausfällen den Geschäftsbetrieb aufrecht erhalten zu können und nicht von nur einem Anbieter abhängig zu sein. Die Nutzung von Cloudservices sollte umfassend geplant werden. Bei lediglich punktuellen Migrationen einzelner Prozesse besteht das Risiko, dass das Optimierungspotential nicht vollständig genutzt wird. Doch neben dem Faktor Performance hat auch die Datensicherheit mittlerweile geschäftskritische Relevanz erreicht. Regulatorische Standards sollten daher frühzeitig in das Multicloud-Konzept einfließen, die Auswahl der Anbieter mitbestimmen und durch geeignete Sicherheitsmaßnahmen flankiert werden.

Foto: Bitglass

Michael Scheffler, Regional Director CEEU, Bitglass

Vielfältige Gründe für die Auswahl von Cloud-Tools für eine Multicloud-Strategie

Die Gründe, die bei der Auswahl von Cloud-Tools für eine Multicloud-Strategie sprechen, sind vielfältig: Werden Services von mehreren Cloud Service-Providern genutzt, lassen sich Kosten einsparen, das Risiko von Anwendungsausfällen reduzieren und bestimmte Datenarten entsprechend regulatorischer Vorgaben innerhalb nationaler Grenzen speichern. Weiterhin legen viele Unternehmen Wert darauf, die jeweils am besten geeigneten Plattformen für bestimmte Prozesse zu wählen, Skalierbarkeit sicherzustellen und nicht ausschließlich von einem Anbieter abhängig zu sein. Da Multicloud-Umgebungen eine größere Angriffsfläche für verschiedene Bedrohungen darstellen, gestaltet sich auch die Entwicklung einer geeigneten IT-Sicherheitsstrategie deutlich komplexer. Damit potenzielle Sicherheitslücken gar nicht erst entstehen, sollte eine übergreifende Top-Down-Securitystrategie implementiert werden. Um eine Multicloud-Umgebung erfolgreich zu verwalten und sicherzustellen, dass jederzeit ein einheitlicher Sicherheitsstatus gewährleistet ist, sollte zunächst überprüft werden, wie Daten, Anwendungen und Workflows zwischen Cloud-Diensten und den verbundenen Geräten zusammenhängen. So kann ermittelt werden, welche Maßnahmen erforderlich sind, um die Sicherheit der Daten gewährleisten zu können.

Die folgenden fünf Tipps können Unternehmen dabei unterstützen, eine Sicherheitsstrategie zu entwickeln, die potenziellen Herausforderungen von Multicloud-Umgebungen gewachsen ist:

1. Kontrolle über alle Unternehmensdaten gewinnen
   Im Gegensatz zu reinen On-Premise-Umgebungen stellt die Cloud unmittelbar dort Daten zur Verfügung, wo sie gebraucht werden – an mehreren Standorten, für verschiedene Benutzer, Anwendungen und Geräte. Darüber hinaus werden sich die Arbeitsabläufe dynamisch weiterentwickeln, je nachdem, wie sich Anwendungen oder Anforderungen der Endbenutzer ändern. Die Fähigkeit, Einblick in jede Cloud-Instanz zu haben, ist daher von entscheidender Bedeutung, um ungewöhnliche Verhaltensweisen zu identifizieren und den Datenverkehr während des Betriebs im Netzwerk zu überwachen.
   Mit der Einführung weiterer Cloud-Dienste wird die Überwachung dieser Datenströme exponentiell schwieriger, aber auch unerlässlich. Unternehmen müssen darauf vertrauen können, dass sie Geräte und Daten – in einer sich ständig verändernden Umgebung – verfolgen, Richtlinien anwenden und pflegen können, wenn sich die Dinge im Laufe der Zeit ändern.Wichtige Fähigkeiten in diesem Zusammenhang sind:
   • Anwendungsübergreifende Aktivitätsprotokolle: Diese geben einen umfassenden Überblick aller Benutzer- und Dateiaktivitäten, erleichtern IT-Audits und eine Gesamteinschätzung der Datenintegrität.
   • Verschlüsselung: Verschlüsselungsfunktionen sollten sowohl auf Daten- als auch Dateiebene erfolgen. Damit die Workflows von Anwendern nicht beeinträchtigt werden, sollte die Verschlüsselungssoftware auch Funktionen wie Suchen und Sortieren bieten.
   • Kontrolle über Schatten-IT: Nicht verwaltete Anwendungen, durch die Daten verloren gehen könnten, müssen ermittelt und unter Kontrolle gebracht werden.
2. Geeignete Identitäts- und Autorisierungskontrollen nutzen
   Viele Unternehmen machen den Fehler, davon auszugehen, dass die Sicherheit bei der Ausführung ihrer Workloads in der Cloud in der alleinigen Verantwortung des Cloud-Anbieters liegt. Während Cloud-Provider für die Bereitstellung bestimmter Sicherheits- und Datenschutzniveaus in ihren Angeboten verantwortlich sind, liegt die Verantwortung für die Kontrolle, wer auf diese Daten zugreifen darf, beim Unternehmen.
   Dies bedeutet, dass das Unternehmen über geeignete Tools verfügen muss, um sich vor Bedrohungen wie kompromittierten Anmeldeinformationen und bösartigen Insidern zu schützen. Folglich müssen Unternehmen wissen, wo sich ihre Daten befinden, wohin sie gehen und wer berechtigt ist, auf sie zuzugreifen. Mit robusten Authentifizierungsfunktionen legen Unternehmen einen wichtigen Grundstein für ihre IT-Sicherheit.Erforderliche Kontrollmechanismen zur Unterstützung der oben genannten Punkte sind:
   • Verhinderung der Datenexfiltration von einem genehmigten – zu einem nicht genehmigten Cloud-Service.
   • Authentifizierung von Benutzern in allen Cloud-Anwendungen.
   • Erkennung von Anomalien bei der Benutzeranmeldung.
3. Datenschutz während der Übertragung und im Ruhezustand
   Um Datenverlust in Multicloud-Umgebungen vorzubeugen, benötigen Unternehmen leistungsstarke, Cloud-basierte Tools, die die Kontrolle über den Datenzugriff ermöglichen, das Online-Verhalten der Benutzer in Echtzeit überwachen, den Zugriff von nicht-verwalteten Endgeräte regeln und die Dateifreigabe steuern können.Folgende Funktionen sollten die Sicherheitstools bieten:
   • Unterscheidung zwischen persönlichen und geschäftlichen Instanzen von Cloud-Anwendungen und entsprechende Durchsetzung verschiedener Richtlinien.
   • Kontextabhängige Zugriffssteuerung: Für den Zugriff auf Dateien müssen neben den Anmeldeinformationen weitere Parameter, wie unter anderem die Position im Unternehmen, der Standort und das Gerät des Nutzers herangezogen werden, um sicherzustellen, dass sensible Informationen für Unbefugte nicht zugänglich sind.
   • Data Loss Prevention (DLP): DLP-Funktionen wie Digital Rights Management, die zum Beispiel für die Anzeige von bestimmten Dokumenten Anmeldeinformationen erfordern oder lediglich schreibgeschützten Zugriff gestatten, helfen, das Datenverlustrisiko zu reduzieren.
4. Endpoint Security
   Da immer mehr Mitarbeiter mit ihren privaten Geräten auf Cloud-Ressourcen im Unternehmen zugreifen, steigt das Risiko eines Verlustes sensibler Daten exponentiell an. Um Benutzer und Unternehmen zu schützen, ist es wichtig, dass Unternehmen einen sicheren mobilen Zugriff der Mitarbeiter auf die benötigten Daten ermöglichen können.
   Für Unternehmen, die Bring-Your-Own-Device (BYOD) eingeführt haben, lässt sich durch agentenlose Sicherheitslösungen mit geringem Verwaltungsaufwand ein hohes Sicherheitsniveau herstellen: Diese schützen Daten während des Zugriffs, nutzen Verschlüsselungstechnologien, nehmen erforderliche Geräteeinstellungen vor und ermöglichen im Fall von Verlust oder Diebstahl die Entfernung der Daten auf dem Gerät per Fernzugriff.
5. Sicherstellung der Interoperabilität zwischen allen Security-Tools
   Um einen ausreichenden Daten- und Bedrohungsschutz, Transparenz und Zugriffssicherheit über die gesamte Cloud-Umgehung eines Unternehmens hinweg zu erzielen, müssen Unternehmen sicherstellen, dass sich die von ihnen eingesetzten Cloud-Sicherheitslösungen nahtlos ineinander und mit bestehenden Tools vor Ort integrieren lassen. Eine unzusammenhängende IT-Umgebung kann zu inkonsistenter Cybersicherheit und damit zu Schwachstellen führen. Beispielsweise müssen Cloud-Sicherheitslösungen eine Erweiterung der lokalen DLP-Richtlinien auf die Cloud und die Integration mit SIEM-Tools (Security Information Management) für das Sicherheitsinformations- und Vorfallmanagement bieten.

Ganzheitlicher Sicherheitsansatz nötig

Die erfolgreiche Umsetzung einer Multicloud-Strategie erfordert einen ganzheitlichen Sicherheitsansatz, der die Sicherheit sensibler Informationen in jeder Cloud-Anwendung und auf jedem Gerät gewährleistet – rund um die Uhr. Das bedeutet, dass Unternehmen Daten jenseits ihrer klassischen Infrastruktur verwalten und schützen müssen, um langfristig ihre Wettbewerbsfähigkeit zu stärken.

Weitere Informatinen zu Thema:

datensicherheit.de, 03.3.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

datensicherheit.de, 03.10.2018
Multi-Cloud: Umdenken bei der Planung von IT-Budgets erforderlich

Von unserem Gastautor Klaus Gheri, Vice President and General Manager Network Security, Barracuda Networks

[datensicherheit.de, 29.06.2018] Moderne Anwendungen müssen skalieren können und gleichzeitig performant sein. Um diese Anforderungen zu erreichen, werden viele Implementierungen auf Public Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) gehostet, was für Elastizität und Geschwindigkeit sorgt. Und die Cloud-Nutzung boomt, mittlerweile setzen zwei von drei Unternehmen in Deutschland Cloud Computing ein, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Vorteile wie hohe Flexibilität, Effizienzsteigerung der Betriebsabläufe und verbrauchsabhängige Abrechnung von Services liegen auf der Hand.

Traditionelle Sicherheitskonzepte nicht übertragbar

Die Herausforderung besteht jedoch in der Sicherung von Anwendungen in der Cloud – das Problem: Traditionelle On-Premises-Sicherheitskonzepte lassen sich nicht effektiv auf Public Cloud-Applikationen übertragen. Deshalb sollten Unternehmen auch nicht versuchen, ihre alten lokalen Security-Tools einfach in eine Cloud-Umgebung zu verlagern. Die Sicherung von Cloud-Applikationen erfordert neue Ansätze, Richtlinien, Konfigurationen und Strategien, die es Unternehmen ermöglichen, Geschäftsanforderungen wie Leistung und Skalierbarkeit mit den nötigen Sicherheitsvorkehrungen in Einklang zu bringen.

Bild: Barracuda Networks

Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

Balance von Leistung und Sicherheit

Die Akzeptanz der Public Cloud bei Unternehmen nimmt rapide zu, doch Sicherheitsbedenken sind immer noch eine Hürde beim Wechsel in die Cloud. Vielen Unternehmen ist oft nicht klar, wie die Sicherheitsverantwortung in der Cloud verteilt ist.  Nach dem Shared-Responsibility-Modell ist es Aufgabe des Cloud Providers, die Infrastruktur zu schützen, das bedeutet, er sorgt für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung seiner Rechenzentren. Doch es ist Sache der Unternehmen, ihre Daten und Anwendungen in der Cloud zu schützen. Bedrohungsvektoren wie Cyberangriffe, Softwarefehler und menschliches Versagen gelten daher in gleicher Weise in der Cloud wie On-Premises und erfordern entsprechende Sicherheitsvorkehrungen. Dennoch stellen viele Unternehmen die Anwendungsleistung und -geschwindigkeit über die Sicherheit. Angesichts der Risiken sollte diese Faktoren jedoch in einem ausgewogenen Verhältnis zueinander stehen.

So ist der Einsatz von Layer 7-Schutzmaßnahmen für die Sicherung von Applikationen äußerst wichtig, doch jede Technologie muss hierbei tief in bestehende Cloud-Plattformen und Lizenzmodelle integriert werden. So sollte sie eng mit der dynamischen Skalierbarkeit von Public Cloud-Anbietern wie AWS, Azure und GCP verbunden sein, um sicherzustellen, dass die Anforderungen an das Performance-Management ohne manuelle Eingriffe in Echtzeit erfüllt werden. Außerdem sollten Unternehmen direkten Zugriff auf die nativen Protokollierungs- und Berichtsfunktionen der Cloud-Plattformen haben.

Management von Anwendungsschwachstellen in der Cloud

Viele Anwendungsschwachstellen bleiben oft so lange unbemerkt, bis es zu spät ist. Leider sind Fixes oder Patches ein reaktiver Prozess, der Schwachstellen viel zu lange offen lässt – Monate sind keine Seltenheit. Die automatische und kontinuierliche Behebung von Schwachstellen ist für die Gewährleistung der Anwendungssicherheit sowohl On-Premises als auch in der Cloud von größter Bedeutung. Daher ist es unerlässlich, eine Reihe von Richtlinien zu implementieren, die kontinuierlichen Schutz durch ein regelmäßiges Schwachstellen-Management und -Behebungsverfahren bieten. Dies kann auch automatisiert werden, um sicherzustellen, dass Anwendungsänderungen keine Schwachstellen öffnen.

Vier Punkte zur Auswahl einer effektiven Cloud-Sicherheitslösung

Im Folgenden einige Best Practices für effektive Anwendungssicherheit in der Cloud:

1. Auf die Cloud spezialisiert: Die Sicherheitslösung sollte anspruchsvollste Anwendungsfälle erfüllen können, wie sie für Cloud gehostete Anwendungen spezifisch sind. Außerdem ist es zwingend erforderlich, dass sie sich direkt in native Public Cloud Services wie Elastic Load Balancing, AWS CloudWatch, Azure OMS und andere sowie Cloud Access Technologien wie Azure ExpressRoute oder AWS Direct Connect integriert.
2. API: Die Lösung sollte eine möglichst umfassende API bereitstellen, die eine für Cloud Einsatzszenarien angemessene Kontrolle durch bereits verwendete Orchestrierungswerkzeuge von DevOps-Teams wie z.B. Puppet ermöglicht.
3. Skalierbarkeit und zentrale Verwaltung: Sicherheitsanwendungen müssen in Hochverfügbarkeits-Clustern implementiert und mit Hilfe von Cloud-Templates automatisch skaliert werden können. Außerdem sollten sie eine Verwaltung und Überwachung von einer einzigen Konsole aus bieten.
4. Flexible Lizensierung: Wichtig ist darüber hinaus, dass die Lösungen vollständige Lizenzflexibilität bieten, einschließlich einer rein verbrauchsabhängigen Abrechnung. Auf diese Weise können Unternehmen so viele Instanzen wie nötig bereitstellen und bezahlen nur den Datenverkehr, der durch diese Anwendungen gesichert ist.

Grundsätzlich erfordert die Sicherung von Anwendungen in der Cloud neue Security-Strategien. Unternehmen sollten daher ihre eingesetzten Lösungen unter die Lupe nehmen und prüfen, wo es der Nachbesserung bedarf, um eine kontinuierliche Überwachung und Schwachstellenbehebung von Anwendungen in der Cloud zu gewährleisten. Dabei ist es wichtig, jede Anwendung auf entsprechendem Sicherheitsniveau zu schützen. So sollten die Security-Maßnahmen auf den aktuellen Cloud-Verbrauch abgestimmt sein und entsprechende Tools genutzt werden, die speziell für Cloud-Umgebungen entwickelt wurden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.03.2018
BSA Global Cloud Computing Scorecard: Deutschland auf Platz 1

datensicherheit.de, 26.02.2018
DSGVO macht Cloud-Lösungen für den Mittelstand weniger attraktiv

datensicherheit.de, 11.07.2017
NIFIS: Cloud-Anbieter haften künftig für den Datenschutz ihrer Kunden

[datensicherheit.de, 17.11.2016] Webshops haben vielfach längst in den „Weihnachtsmodus“ umgeschaltet – Ideen für SEO, Content-Marketing etc. wurden umgesetzt, ein eigenes Thema für die Weihnachtszeit gewählt, die Produkte für Weihnachtsaktionen ausgewählt, eventuell sogar Adventskalender mit täglich wechselnden Gewinnen integriert, und auch die technische Infrastruktur möglichst „festtagssicher“ aufgesetzt, um für den zu erwartenden Besucheransturm gewappnet zu sein. Online-Händler müssten sich jedoch bewusst machen, dass ihr Webshop für Verbraucher, insbesondere für Neukunden, erst einmal ein anonymer Dienst sei. Niemand kaufe in einem Webshop, bei dem er nicht weiß, wo seine Daten landen und was mit ihnen passiert. „Vertrauen in die Sicherheit beim Datentransfer hat neben guter Performance höchsten Stellenwert für Verbraucher“, betont Christian Heutger, Geschäftsführer der PSW GROUP.

Online-Händler in der Pflicht

„Insbesondere in einer Welt, in der die Konkurrenz nur einen Klick entfernt ist und die gesetzlichen Anforderungen an Datenschutz steigen, kommen Online-Händler deshalb nicht um SSL-Verschlüsselung ihres Shops herum“, so Heutger.
Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Neben der vertraulichen Datenübertragung wird außerdem auch die Identität des Servers geprüft. Mit der Feststellung der Authentizität des Servers sichert Verschlüsselung somit die Identität einer Website. Der Einsatz von Verschlüsselung stellt darüber hinaus sicher, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Ob eine Website verschlüsselt ist, erkennen Webshop-Kunden ganz leicht am „https“ in der Adresszeile. Das „s“ hinter „http“ steht dabei für „secure“, also für eine sichere Verbindung.
Heutger: „Spätestens, wenn Besucher persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingeben, sollten deshalb SSL/TLS-Zertifikate Pflicht sein. Denn ab diesem Moment tragen Online-Händler für die Sicherheit der Kundendaten Sorge.“

Verschlüsselung als wichtiger Rankingfaktor

Ein TLS-/SSL-Zertifikat bestätige aber nicht nur die Identität des Online-Händlers. Auch der Gesetzgeber mache es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie z.B. das Bayerische Landesamt für Datenschutzaufsicht prüften dies intensiv.
„Obendrein ist Verschlüsselung ein wichtiger Rankingfaktor bei Google. Und auch wenn es andere Suchmaschinen gibt, so kommt für ein effizientes Webmarketing keiner an dem Internetriesen vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben nun einmal den Ton an bei der Suchmaschinenoptimierung“, so der Geschäftsführer der PSW GROUP.

Für gewerbliche Websites mindestens ein organisationsvalidiertes Zertifikat

Nun sei der Markt groß und unübersichtlich:

• Es gebe sowohl kostenlose als auch teure SSL/TLS-Zertifikate,
• welche, die eine grün gefärbte Adressleiste generierten,
• welche von namhaften Anbietern
• und jene von unbekannten Anbietern.

Diese Unterschiede erklärten sich unter anderem mit der Validierung, also wie umfassend der Besteller eines TLS-Zertifikats von der Zertifizierungsstelle geprüft wird.
Auch die Kosten hingen stark vom gewählten SSL/TLS-Zertifikat ab. Bei der Wahl des geeigneten Zertifikats komme es wiederum auf den Einsatzzweck an: Während für ein privates Blog ein domainvalidiertes Zertifikat (DV) ausreichend sein könne, sei für gewerbliche Websites mindestens ein organisationsvalidiertes (OV), idealerweise jedoch ein „Extended Validation“-Zertifikat die bessere Wahl. „Sehr reizvoll ist in diesem Zusammenhang die grüne Adressleiste, die dem Websitebesucher schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt. Allerdings schaffen ausschließlich Extended-Validation-Zertifikate diese grüne Adressleiste“, erläutert Heutger. Um ein solches EV-Zertifikat zu erhalten, müsse das Unternehmen im Handelsregister und auf „upik.de“ eingetragen sein.

© PSW Group

Christian Heutger: Neben Performance kommt es auch auf die Datensicherheit an!

Weitere Informationen zum Thema:

datensicherheit.de, 18.08.2016
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke

[datensicherheit.de, 16.06.2011] Cloud Computing ist derzeit eine zentrales Mode-Thema im IT-Bereich. Die meisten Unternehmen stehen diesem Thema indes mit großen Bedenken gegenüber – und das laut einer aktuellen Studie von TREND MICRO mit gutem Grund:
Fast die Hälfte der befragten IT-Entscheider habe demnach in den vergangenen zwölf Monaten Sicherheitsprobleme mit ihrem „Cloud-Dienstleister“gehabt. Für die Studie zum Thema „Cloud-Sicherheit“ seien weltweit 1.200 IT-Verantwortliche in Unternehmen mit mehr als 500 Mitarbeitern befragt worden, darunter 200 aus Deutschland.
An den Ergebnissen der Studie lasse sich eine generelle Tendenz ablesen – insgesamt bewegten sich Unternehmen in großen Schritten in Richtung „Cloud“. Doch trotz dieser immer größer werdenden Popularität sei die Verwirrung unter Unternehmensverantwortlichen hinsichtlich „Cloud Computing-Services“ noch immer groß. In den kommenden Jahren werde es online etwa fünfmal mehr „Cloud“-Anwendungen als jetzt geben, so Frank Schwittay, „Managing Director Central Europe“ bei TREND MICRO. Dies lasse nur einen Schluss zu – die Absicherung von „Cloud-Umgebungen“ sei keine Option, sondern eine Notwendigkeit. Leider müsse man aber feststellen, dass viele „Cloud“-Dienstleister nicht in ausreichendem Maß IT-Ressourcen für die Sicherheit bereitstellten. Während Sicherheitsbedenken noch immer der wichtigste Grund seien, der gegen den Einsatz von „Cloud“-Dienstleistungen spreche, sähen Unternehmen in zunehmendem Maß auch die Performance und Verfügbarkeit als fast genauso wichtig an.
Beim Schutz sensibler Daten in der „Cloud“ setzten 85 Prozent der Befragten, die öffentliche „Cloud“-Infrastrukturen nutzen, auf Verschlüsselung, und mehr als die Hälfte der Befragten würde im konkreten Fall eher einen „Cloud“-Dienstleister wählen, der verschlüsselte Datenspeicherung im Angebot hat.
Die im vergangenen Jahr eingeführte Sicherheitsplattform „Trend Micro SecureCloud“ etwa kombiniere richtlinienbasiertes Schlüsselmanagement mit sicherer Verschlüsselung nach Industriestandard. Unternehmen hätten dadurch die Kontrolle über ihre Daten in öffentlichen, privaten oder hybriden „Cloud“-Umgebungen. Risiken in Bezug auf Datensicherheit, Datenschutz und Compliance bei der Verwendung von Daten in „Cloud-Computing-Umgebungen“ ließen sich so minimieren, ohne dass eine komplexe Infrastruktur installiert werden müsste. Parallel dazu könnte „Trend Micro Deep Security“ Betriebssysteme, Anwendungen und Daten auf physischen, virtuellen und Cloud-Servern sowie virtuellen Desktops schützen.

Weitere Informationen zum Thema:

TREND MICRO
Trend Micro SecureCloud / Datenschutz für die Cloud

TREND MICRO
Deep Security – Virtualisierungssicherheit für Unternehmen / Erweiterter Schutz für physische, virtuelle und webbasierte Server