Foto: Michael D Brown/ shutterstock.de

Cloud-Dienste

Kosten gesenkt, Kontrolle verloren?

Cloud Computing eröffnet auch für die öffentliche Verwaltung ganz neue Möglichkeiten, IT-Infrastrukturen und Anwendungen zu betreiben: höhere Flexibilität der Dienste, größere Skalierbarkeit – dies ist von Vorteil, wenn neue Online-Dienste für Bürger angeboten werden. Doch wie sieht es mit der Datensicherheit aus?

Durch Cloud Computing ergeben sich große Einsparpotenziale aus dem Wegfall von Servern, geringeren Softwarelizenz-, Betriebs- und Energiekosten. Auch strategisch hat Cloud Computing entscheidende Vorteile: So müssen sich Behörden nicht mehr selbst um Bereitstellung, Management und laufenden Betrieb von Anwendungen oder Datenbanken kümmern. Angebotene Dienste sehen die Nutzung einer Infrastruktur, einer Plattform oder auch von Softwareanwendungen vor. Dadurch kann sich die öffentliche Einrichtung stärker auf ihre Kernaufgaben konzentrieren.

Besondere Anforderungen in Behörden

Der Cloud-Euphorie stehen gravierende Vorbehalte gegenüber – so haben in den letzten Monaten diverse Ausfälle von Cloud-Diensten deren Zuverlässigkeit in Frage gestellt. Sicherheit und Datenschutz haben zudem höchste Priorität für öffentliche Verwaltungen zum Schutz der Bürgerdaten. Es muss gewährleistet sein, dass Unbefugte nicht auf persönliche oder behördliche Daten zugreifen können, die an den Cloud-Dienstleister ausgelagert wurden.

Diese Anforderungen erfüllt nur eine Private Cloud, in der die Daten nicht auf Servern rund um den Globus, sondern auf gesicherten Systemen gespeichert werden, die sich direkt im Rechenzentrum des Cloud-Dienstleisters befinden. Doch auch hier müssen maßgebliche Sicherheitsrichtlinien sowie die Vorgaben zum Datenschutz berücksichtigt werden: Die zuverlässige Abwehr von Schadprogrammen oder Hacker-Angriffen ist Basisaufgabe des Dienstleisters – auch zu seinem eigenen Schutz. Ebenso wichtig, aber weniger offensichtlich, ist die Regelung der Zugriffskontrolle bei der Verarbeitung personenbezogener Angaben. Denn aus Datenschutzgründen darf nicht jeder Behördenmitarbeiter auf sämtliche Informationen zugreifen.

Eine notwendige Voraussetzung in einem sicheren Cloud-Szenario (übrigens auch in jeder anderen vertrauenswürdigen Portallösung) ist die sichere Authentifizierung: Nur durch sie können Datenschutzrichtlinien verlässlich eingehalten werden. Jeder, der auf Daten zugreifen möchte, beweist anhand solcher Authentifizierungslösungen, auch tatsächlich derjenige zu sein, dem die Berechtigung zugeordnet ist. Der Nachweis erfolgt zum Beispiel durch Fingerabdruck, Unterschrift, Besitz einer Smartcard oder Eingabe eines Passworts. Für sicherheitskritische oder datenschutzrelevante Anwendungsbereiche empfiehlt sich die sogenannte Zwei-Faktor-Authentifizierung, bei der zwei Nachweise miteinander kombiniert werden, wie zum Beispiel ein Passwort (Wissen) und eine Smartcard (Besitz).

Sichere Lösung als Zukunftsmusik?

Für Authentifizierungsdienste, die als zentrale Services innerhalb von unsicheren Netzwerkumgebungen wie Clouds eingesetzt werden, gelten besondere Anforderungen: Sie müssen sehr flexibel sein, ohne dabei an Sicherheit einzubüßen. Damit der Zugang zu den Verfahren von beliebigen Endgeräten möglich ist, sollten sie als browser- und betriebssystemunabhängige, barrierefreie Lösungen aufgebaut sein. Ein optimaler Authentifizierungsdienst übernimmt zudem die initiale Teilnehmerregistrierung, um die Webanwendungen selbst von dieser Aufgabe zu entlasten.

Eine unerfüllbare Aufgabe? – Nein! Es gibt bereits eine bewährte und einsatzbereite Lösung, die die genannten Kriterien für einen solchen Cloud-Authentifizierungsdienst erfüllt: die Authega-Technologie. Sie wird derzeit als Dienstleistung für die öffentlichen bayerischen Stellen im staatlichen Rechenzentrum in Nürnberg pilotiert.

Auf Anwenderseite einfach gehalten, ist die Lösung auf Anbieterseite ein umfassender und anpassungsfähiger Infrastruktur-Basisdienst für eine sichere Authentifizierung in Online-Portalen. Mit Hilfe von derartigen Authentifizierungslösungen kann auch die öffentliche Verwaltung von den Vorteilen des Cloud Computing profitieren, ohne die Kontrolle über ihre Daten zu verlieren – die Dienste können bereits heute sicher und vertraulich genutzt werden. Dazu stehen zuverlässige, getestete und ständig aktualisierte Lösungen von Sicherheitsexperten bereit.

Authega sichert den Zugang

Seit August 2011 sichert die Authentifizierungslösung Authega für die Mitarbeiter des Freistaats Bayern den Zugang über das Internet zu den Diensten des Serviceportals des Landesamtes für Finanzen ab. So können im Rahmen des derzeit noch eingeschränkten Pilotbetriebs der Mitarbeiter-Mitteilungs-Service-Online-Dienste (MMSOnline) Bezügemitteilungen und zukünftig auch Reisekostenabrechnungen oder Beihilfeanträge sicher online übermittelt werden. Derzeit wird auch das Verfahren der Bayerischen Staatsbäder zur Erstellung von Gastkarten und Meldescheinen an Authega angebunden.

Das gleichnamige Projekt Authega wurde im Sommer 2010 durch die Stabsstelle des IT-Beauftragten des Freistaats Bayern (CIO) initiiert. Der Einsatz von Authega im Serviceportal des Landesamtes für Finanzen zeigt, dass die durch das Elster-Verfahren realisierten Sicherheitsmechanismen (Zwei-Faktor-Authentisierung mit vollautomatischer Registrierung und Zertifikatsverwaltung) nicht nur in der Steuerverwaltung verwendbar sind, sondern auch für andere Fachanwendungen verfügbar gemacht werden können.

In Zukunft ist die Anbindung weiterer Benutzergruppen und Verfahren an Authega vorgesehen, so für den Zugang zu E-Government-Portalen durch Bürger und Unternehmen sowie für die elektronische Signatur oder Ende-zu-Ende-Verschlüsselung der zwischen Benutzern und Behörden ausgetauschten Daten.

Cebit 2012

Secunet sichert Unternehmen und Behörden

Managing Trust - passend zum Leitthema der Cebit 2012 zeigt Secunet Lösungen rund um IT-Sicherheit und IT-Hochsicherheit für Unternehmen und Behörden.

Foto: HID Global

HID Global

Authentifizierung in Office 365

HID Global ermöglicht mit der neuen ActivID-Tap-Authentication-Plattform die komfortable und zugleich sichere Multifaktor-Authentifizierung bei der Anmeldung an Cloud-Anwendungen und Web-basierte Dienste.

QSC

Sicheres Cloud Computing

Cloud Computing ist im Alltag der Unternehmen angekommen. Bei der Auslagerung ausgewählter Applikationen an einen Cloud-Provider spielen dessen technische Kompetenz und die Erfüllung der datenschutzrechtlichen Anforderungen eine entscheidende Rolle.

Foto: HID Global

Gefahren beim Online- und Mobile-Banking

Flexibel, aber sicher

Online- und Mobile-Banking: Für Banken ist das keine Frage des Ob, sondern des Wie. Die Nutzung dieser Kommunikationskanäle ist in einem zunehmend wettbewerbsintensiveren Umfeld unverzichtbar, da das Multi-Channel-Banking zu den zentralen Kundenanforderungen gehört. Für Finanzdienstleister bedeuten zusätzliche Online-Angebote aber auch ein höheres Bedrohungspotenzial.