shutterstock_14215126.jpg

Die Cloud im Finanzsektor – immer noch ein rotes Tuch?

Ein Artikel von Mario Galatovic, Vice President Products & Alliances bei Utimaco | 20.11.2020 - 11:09
Utimaco - Mario Galatovic.jpg

Mario Galatovic, Vice President Products & Alliances bei Utimaco

Cloud und Sicherheit müssen kein Widerspruch sein – mit den richtigen Technologien
lassen sie sich auch vereinen. Vieles spricht für die Cloud: geringere Kosten, höhere Flexibilität und schnellere Reaktion auf Marktanforderungen dürften zu den häufigsten Argumenten gehören. Cloud Computing ist daher auch in der Versicherungswirtschaft ein immer widerkehrendendes Thema. Compliance, Datenschutz und Datensicherheit spielen hier allerdings eine noch größere Rolle als in anderen Branchen, wenn es um die generelle Entscheidung für oder gegen die Cloud und später um die Auswahl eines Providers geht. Um die eigenen Daten zu sichern, gibt es verschiedene Konzepte. Hybride Modelle unterscheiden etwa zwischen kritischen Daten, die in-house verbleiben und unkritischen Daten, die in die Public Cloud transferiert werden dürfen.

Vor allem im Finanzumfeld kann man sich aber durchaus die Frage stellen, ob es überhaupt unkritische Daten gibt. Im Zweifel sollte man bei allen Cloud-Aktivitäten Sicherheitsmaßnahmen ergreifen. Oft fällt hier das Stichwort Verschlüsselung und entsprechende Angebote haben alle namhaften Cloud Provider im Portfolio.

Nur ein Cloud-Anbieter: Die bessere Lösung?

In der Regel setzen Unternehmen aber nicht nur auf einen einzigen Cloud Provider. Auch der Bankenverband empfiehlt dies explizit für Finanzunternehmen, um Risiken zu vermeiden, die durch die Konzentration auf einen einzigen Anbieter entstehen könnten. Doch bei mehreren Anbietern muss die Portabilität der Daten gewährleistet werden. Genau hier können aber die Sicherheitsmaßnahmen ihrerseits zu Problemen führen und zwar dann, wenn Unternehmen proprietäre Verschlüsselungen verschiedener Anbieter nutzen.

Um dieses Problem zu umgehen und die größtmögliche Kontrolle zu behalten, bietet sich Hold Your Own Key (HYOK) an. Diese Methode erlaubt es Cloud-Nutzern, die Kryptographie im Haus zu behalten und nur verschlüsselte Daten in die Cloud zu übertragen. Damit ist ein Datenzugriff des Cloud Providers auch technisch ausgeschlossen. Eine Vorstufe dazu bildet Bring Your Own Key (BYOK). Bei diesem Verfahren erfolgt die Verschlüsselung an sich zwar beim Cloud-Anbieter, aber der Nutzer generiert seinen eigenen Schlüssel. Damit ist bereits eine Verbesserung gegenüber der Nutzung eines vom Provider bereitgestellten Schlüssels gegeben.

Provider übernehmen Lifecycle Management

Wirklich sensible Daten, etwa Zahlungsinformationen, dürfen allerdings auch mit Verschlüsselung nicht einfach in eine Public Cloud migriert werden. Doch auch um diese Prozesse zu modernisieren, stehen bereits Entwicklungen in den Startlöchern. Besonders vielversprechend ist der Near-Cloud-Ansatz. Bei diesem Geschäftsmodell mietet sich ein Trust Provider mit seinem Equipment in einem nach ISO/IEC 27001 und PCI zertifizierten Rechenzentrum ein und baut eine direkte Interconnection zu einem Cloud Provider auf. Dabei läuft kein Traffic über das öffentliche Internet, es ist sichergestellt, dass Daten nur an einem einzigen bekannten Ort gespeichert werden und die Auditierbarkeit ist gewährleistet. Auf Wunsch kann ein Trust Provider wie Utimaco auch das gesamte Key Lifecycle Management für den Kunden übernehmen.