Ohne Cloud-Systeme geht im heutigen agilen Arbeitsalltag fast nichts mehr. Deshalb steht beim Bund die Schaffung einer sogenannten «Swiss Cloud» auf der Agenda. Sie würde die Abhängigkeiten von ausländischen Providern vermindern und die Datensouveränität steigern. Ebenso wichtig wie eine sichere Cloud- und Dateninfrastruktur ist aber auch die Sicherheit der Endgeräte. Lesen Sie in diesem Blogpost, wie Hybrid Cloud Services für einen sicheren, hochperformanten Datenaustausch über Netzwerkgrenzen und Sicherheitsdomänen genutzt werden können, ohne dabei Abstriche bei der IT- und Datensicherheit in Kauf zu nehmen.
Cloud-Services boomen, denn sie ermöglichen smartes Arbeiten. Auf die vielen Vorteile wie grössere Effizienz und Flexibilität sowie maximaler Nutzwert will niemand verzichten. Doch die Gefahren sind real: Denn die Nutzung öffentlicher Cloud-Dienste hat zur Folge, dass eine Abhängigkeit von den weltweit tätigen Anbietern entsteht – sowohl in technologischer Hinsicht als auch in Bezug auf die Verfügbarkeit von Daten und Anwendungen. Dabei dominieren global die drei grossen Cloud-Anbieter Amazon, Microsoft und Alphabet mit einem Marktanteil von 55 Prozent.
Mit diesem Problem sehen sich nicht nur Vertreter von Wirtschaft und Forschung sowie Privatpersonen konfrontiert, sondern auch die Bundesverwaltung und Behörden aller Staatsebenen. Deshalb hat der Bundesrat im Frühjahr 2020 in Auftrag gegeben, die Machbarkeit einer «Swiss Cloud» zu prüfen: Via das Informatiksteuerungsorgan des Bundes (ISB) lässt er bis Juni 2021 abklären, ob und wo Handlungsbedarf besteht, damit sowohl die Datensouveränität verbessert als auch die Abhängigkeiten von den grossen internationalen Public Cloud Service-Providern minimiert werden können.
Analog zu europäischen Daten-Cloud-Projekten strebt die Schweiz damit eine eigene Cloud- und Dateninfrastruktur an. Die «Swiss Cloud» muss aber nicht zwingend von einem einzelnen Schweizer Cloud-Anbieter neu aufgebaut und betrieben werden, sondern kann sich auf vorhandene dezentrale Infrastrukturen von mehreren Schweizer Public Cloud-Providern abstützen. Das ISB soll zudem prüfen, inwiefern ein solches Angebot zur Wettbewerbsfähigkeit des Standortes Schweiz wie auch zur Entwicklung und Anwendung von Technologien in den Bereichen Künstliche Intelligenz und sichere Datenhaltung beitragen könnte.
Nicht nur die Machbarkeitsstudie für eine «Swiss Cloud», auch die Strategie für Informations- und Kommunikationstechnik (IKT) des Bundes 2020-2023 macht die Cloud zu einem zentralen Thema. Im Rahmen der strategischen Initiative SI-4 «Hybrid Multi Cloud» soll aus einer Kombination von Leistungen aus öffentlichen und privaten Clouds eine hybride Cloud aufgebaut werden. So würden bestimmte Services bei öffentlichen Anbietern über das Internet laufen, während datenschutzkritische Anwendungen und Daten im Unternehmen betrieben und verarbeitet werden.
Solche Hybrid Cloud Services sind bei Organisationen populär, weil sie hinsichtlich Quality of Service, Redundanz, Zuverlässigkeit, Performance und Agilität leistungsfähiger sind als herkömmliche On-Premises Services. Mit dem hybriden Ansatz kann eine Organisation vertrauliche Daten in einer privaten Cloud oder in einem lokalen Rechenzentrum speichern – und gleichzeitig von den robusten Rechenressourcen einer verwalteten Public Cloud profitieren. Ziel ist, dass die Verwaltungseinheiten auf ausfallsichere, innovative und kostengünstige Cloud-basierte Lösungen und Dienste zurückgreifen können.
Die Planung und der Betrieb einer Hybrid Cloud stellt die Verantwortlichen vor einige Herausforderungen. Besonders wichtige Punkte, die erfüllt sein müssen, sind zum Beispiel:
Im Kampf gegen Cyber-Attacken ist es besonders für Behörden absolut zentral, dass die Geschäftsprozesse in datenschutzkritische und -unkritische Workflows getrennt werden. Voraussetzung dafür ist eine saubere und konsequente Klassifizierung der vorhandenen und verarbeiteten Daten. Das automatische Data-Tagging von Informationen muss dabei zwingend eine relevante Rolle übernehmen. Nur so können entsprechende Speicherorte, die klar definierten Anforderungen der Datenklassifizierung gemäss Datenschutzverordnung für die Datensicherheit und -integrität sowie die entsprechenden Datenzugriffe angewendet werden.
Funktioniert dieses System, werden Daten mit Schutzbedarf automatisch für die Speicherung in der Cloud geschützt. Der Zugang zu diesen geschützten Daten ist dabei ausschliesslich für definierte Mitglieder in der sogenannten Community of Interest (CoI) möglich. Zugriffe auf die Daten in der Public Cloud sollen zudem nur von entsprechenden Bundesarbeitsplätzen aus möglich sein, welche über die entsprechenden Berechtigungen für das Bearbeiten der Daten verfügen.
Diese beschriebenen Umsetzungsmassnahmen ermöglichen eine gut funktionierende Hybrid Cloud und erlauben es, Workloads nahtlos von der On-Premises-Plattform auf die Cloud-Plattform zu verschieben – und dies mit gleichbleibender Sicherheit!
Die Sicherheit der hybriden Cloud ist unbedingt gesamtheitlich zu gewährleisten. Ebenso unverzichtbar ist somit auch die Sicherheit der Endgeräte. Die CyOne Security verfügt über profundes Engineering Know-how für die Bewältigung der Herausforderungen bei der Planung und dem Betrieb einer solchen dezentralen Plattform. Dank des Security Know-hows können sensible Daten von der lokalen Serverumgebung geschützt in die Cloud verschoben werden. Dieser Schutz umfasst dabei die Daten sowohl während des Transports (in transit) als auch im abgespeicherten Modus (at rest). Dank den hoch-performanten Lösungsansätzen sind die Verzögerungen für die Chiffrieroperationen minimal und für die Benutzer kaum spürbar.
Bezüglich Sicherheit der Endgeräte ist das politische Milizsystem in der Schweiz eine besondere Herausforderung für die Cyber Defence. So kommen etwa auf den Laptops von Schweizer Parlamentariern Daten aus den drei Sphären Politik, Arbeit und Privatleben zusammen. Das heisst, dass vertrauliche Informationen wie Strategiekonzepte, Protokolle oder Infrastrukturpläne auf dem gleichen Gerät bearbeitet werden wie beispielsweise das Social-Media-Profil.
Doch auch Mitarbeitende der Bundesverwaltung sehen sich mit den drei Sphären des Milizpolitikers konfrontiert. Auch sie müssen auf demselben Gerät sowohl klassifizierte wie auch öffentliche Daten effizient bearbeiten können. Denn die Zusammenarbeit mit verschiedenen Stellen innerhalb eines Departements und darüber hinaus gestaltet sich vielfältig. Die Erfüllung der Verwaltungsaufgaben bedingt den permanenten, sicheren Zugriff auf verschieden klassifizierte Daten, ohne dabei die Praktikabilität durch umständliche Sicherheitsmassnahmen einzuschränken – eine konsequente Zonentrennung und gleichzeitig hoher Bedienkomfort für die Verwaltungsmitarbeitenden sind zentral.
Mit dem CyOne Workplace System können sensible Daten in der Cloud authentifiziert angefordert und dann auf einer geschützten Plattform bearbeitet werden. Das 9400 Officebook der CyOne Security verbindet sich automatisch über eine verschlüsselte Verbindung mit der IT-Infrastruktur und ermöglicht einen sicheren Online-Zugriff.
Zusätzlich verfügt das 9400 Officebook über eine zweite vollständig isolierte PC-Arbeitsumgebung, welche den sicheren Zugang in weitere Zonen wie zum Beispiel ins Internet ermöglicht. Damit kann der Nutzer mit dem gleichen Notebook auch auf öffentliche Informationen zugreifen – ohne die IT-Infrastruktur und damit womöglich sensible Behördendaten zu gefährden. Der Wechsel von der einen zur anderen PC-Arbeitsumgebung erfolgt dabei über einen einfachen Mausklick. Das System ist zudem einfach zu konfigurieren und lässt sich auch in die bestehende IT-Umgebung problemlos integrieren.
So werden IT-Sicherheit und Bedienkomfort unter einen Hut gebracht. Das ist an einem modernen, digitalen Arbeitsplatz unabdingbar: Denn wird die Praktikabilität durch umständliche Sicherheitsmassnahmen eingeschränkt, besteht die Gefahr, dass selbst sicherheitssensitive Mitarbeitende die Sicherheitsvorgaben missachten.
Damit die «Swiss Cloud» sicher genutzt werden kann, braucht es innovative und sichere Lösungen bereits in der Arbeitsumgebung bei den Endgeräten. Wie ein ganzheitlicher «Cyber Defence in Depth»-Lösungsansatz auf Basis der Virtualisierungstechnologie aussehen kann, lesen Sie im kostenlosen Whitepaper «Datensicherheit für verschiedene Rollen – durch konsequente Zonentrennung».