Sicher durch die Cloud

Cloud-Technologien gelten dank ihrer Möglichkeiten mit Blick auf Skalierbarkeit, Flexibilität, nutzungsabhängiger Abrechnung und vor allem der stets aktuellen Dienste als Innovationstreiber. In der Sicherheitsbranche steht diese Entwicklung jedoch noch am Anfang. Schille Informationssysteme hat nun den Schritt gewagt und ein cloudbasiertes Videoüberwachungssystem für Hochsicherheitsanwendungen entwickelt. Denn: Cloud Computing ist auch für viele Unternehmen der Sicherheitsbranche keine Frage mehr des „ob“, sondern „wann“ und „wie“.

Der Einsatz von Cloud-Technologien liegt auf der Hand: Auf der Pro-Seite stehen dabei unter anderem Skalierbarkeit von Ressourcen und Workloads, Kostenersparnis bei der Hardware, geringer Installations- und Wartungsaufwand, nutzungsabhängige Abrechnungsmodelle, integrierte Backup-, Failover- und Wiederherstellungsoptionen oder automatisiertes Ressourcenmanagement. Der erfolgreiche Weg in die Cloud bedarf jedoch guter Planung, um die Vorteile der Technologie voll auszuschöpfen.

Schille Informationssysteme bietet seit fast 30 Jahren Sicherheitsmanagementsysteme für komplexe Aufgaben an, die auf Basis einer lokalen Infrastruktur mit Servern und Arbeitsplätzen aufgebaut sind. Insbesondere im Umfeld von kritischen Infrastrukturen sind diese Projekte selten Insellösungen, sondern bieten über gesicherte Netzwerke Zugriffe von außen an, wie zum Beispiel den hoheitlichen Zugriff staatlicher Institutionen. Darüber hinaus sind in größeren Sicherheitslösungen oftmals Anbindungen von Außenstellen notwendig, wie von Filialen im Handel oder kleinen Bahnhöfen im Verkehrswesen. Die Cloud bietet nun die Möglichkeit, in einem hochsicheren Rahmen diese Lösungen in eine geordnete Struktur zu bringen.

Mit dem neuen Angebot „peri.cloud“, das in einem ersten Schritt die Videoüberwachung in der Cloud realisiert, ergänzt Schille Informationssysteme das bisherige Portfolio. Die Infrastruktur und alle Funktionen des Sicherheitsmanagements werden dabei vollständig über eine private oder öffentliche Cloud bereitgestellt. Vor Ort beim Kunden werden ausschließlich die Kameras und Sensoren installiert, welche über verschlüsselte Leitungen mit den zentralen Servern des Cloud-Anbieters verbunden sind. Diese Maßnahme reduziert wesentlich die Kosten für die Inbetriebnahme und Wartung der sicherheitstechnischen Einrichtungen.

Das System wurde für den professionellen Einsatz in privaten und öffentlichen Einrichtungen und für hoheitliche Aufgaben mit höchsten Anforderungen an den Datenschutz entwickelt. Es ist mehrstufig aufgebaut und trennt Eigentümer, Anbieter und Kunden des Dienstes vollständig voneinander. Kunden haben die Möglichkeit, die Überwachungen in Regionen und Orte zu trennen und den Zugriff individuell zu gestalten. Dieser kann sowohl über einen Webbrowser als auch über native Windows-Arbeitsplätze, wie etwa für eine Leitstelle benötigt, erfolgen.

Beim Thema Sicherheit greifen mehrere Aspekte ineinander: Angefangen bei der Infrastruktur, wobei es sich um eine hoch gesicherte Cloud-Lösung gemäß den BSI-Richtlinien für sichere Webanwendungen („ISiS“) und kryptografische Algorithmen (TS-02102) handelt. Alle Zugriffe, Abrechnungsdaten und technischen Ereignisse werden darüber hinaus in manipulationssicheren Meldebüchern dokumentiert und mit einem Blockchain-Algorithmus gesichert.

Zum Einsatz kommen außerdem verschiedene Verschlüsselungsmechanismen und -technologien. Die Kameras und Arbeitsplätze nutzen SSL/TLS-Leitungen mit AES256-Verschlüsselung und Zertifikatsprüfung sowie Authentifizierungen. Die Videodaten werden bei der Übertragung und bei der Aufzeichnung in der Cloud ebenfalls mit dem AES-Algorithmus verschlüsselt und sind für die Administratoren und Techniker nicht einsehbar.

Zu guter Letzt wurden verschiedene weitere Sicherheitsmaßnahmen integriert, die auf unterschiedliche Arten von Attacken ausgerichtet sind. So wird beispielsweise jeder externe Zugriff durch einen einmaligen zufällig generierten Schlüssel abgesichert, der durch Dritte nicht nachvollzogen werden kann. Auch bei Angriffsversuchen wie dem Ausprobieren verschiedener Kennwörter oder dem wiederholten Senden einer Kopie des letzten Browserzugriffs reagiert das System mit Gegenmaßnahmen.

Um gesetzliche als auch im betrieblichen beziehungsweise hoheitlichen Umfeld bestehende Anforderungen im Bereich Datenschutz zu erfüllen, setzt die Lösung auf eine strikte Trennung zwischen Administration und Nutzerdaten. Weder der Betreiber noch der Dienstleister für die Cloud-Umgebung haben Zugriff auf die Videoüberwachung des jeweiligen Kunden. Das gilt auch für die Administratoren der Kunden, die ebenfalls über keine Rechte zur Einsicht in die Videodaten verfügen. Dieser Zugriff erfolgt ausschließlich über gesonderte Nutzerkonten, die für den Kunden extra angelegt werden. Die gesamte Infrastruktur entspricht dabei praktisch den Anforderungen des BSI Common Criteria Schutzprofil Video.

Bei der Wahl des Cloud-Anbieters entschied man sich für Microsoft. Der Software-Konzern hat verschiedene Cloud-Angebote im Programm. Neben Software-as-a-Service-Angeboten wie Office 365 und Dynamics 365 vervollständigt noch Microsoft Azure als Cloud-Plattform das Portfolio, über die sowohl Infrastruktur- als auch Plattform-Dienste angeboten werden. Diese reichen von virtuellen Maschinen, Storage und Datenbanken bis hin zu Internet of Things-Angeboten oder verschiedenen Datenanalysemöglichkeiten. Microsoft betreibt für seine verschiedenen Cloud-Angebote über 100 Rechenzentren in 40 Ländern und 34 Regionen. Darunter fallen auch zwei Rechenzentren in Deutschland, genauer gesagt in Frankfurt/Main und Magdeburg. Diese bieten unter dem Namen „Microsoft Cloud Deutschland“ eine Besonderheit: Durch die Option der deutschen Datentreuhand werden die Kundendaten bei der Microsoft Cloud Deutschland ausschließlich in Deutschland gespeichert. Die Kontrolle und Entscheidungsgewalt über die Daten liegt bei den Kunden selbst.

Als Datentreuhänder unter deutschem Recht agiert T-Systems, eine Tochtergesellschaft der Deutschen Telekom. Diese kontrolliert jeden physischen und technischen Zugriff auf die Kundendaten, mit Ausnahme des Zugriffs durch den Kunden selbst. Der Treuhänder verpflichtet sich vertraglich direkt dem Kunden gegenüber und handelt nur in seinem Auftrag. Die Datenherausgabe an Drittparteien erfolgt nur, wenn der Kunde oder das deutsche Recht es verlangen. Microsoft hat dabei grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind.

Da „peri.cloud“ speziell für Zielgruppen entwickelt wurde, die höchste Anforderungen bei Datenschutz und Datensicherheit haben, bot das Angebot der Microsoft Cloud Deutschland hier eine optimale Grundlage, die potentielle andere Cloud-Anbieter so nicht zur Verfügung stellen konnten. Neben dem Ansatz mit einem deutschen Datentreuhänder verfügen Microsoft Azure Deutschland und Microsoft Azure als Cloud-Plattformen über verschiedene internationale Zertifizierungen in den Bereichen Sicherheit und Compliance. Dazu gehören zum Beispiel die internationalen Zertifizierungsnormen für Informationssicherheitsmanagementsysteme (ISO 27001) und den Schutz von personenbezogenen Daten in Public Cloud-Umgebungen (ISO 27018), die CSA Star Certification oder das Testat nach dem Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“ (C5), der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen wurde. Außerdem hat Microsoft sich die Einhaltung der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung für seine Clouddienste zum Ziel gesetzt und stellt in vertraglichen Verpflichtungen Zusicherungen in Bezug darauf bereit.

Abgesehen von den Aspekten der Sicherheit bietet Microsoft Azure auch die Möglichkeit getrennter Accounts für Server, Datenbank und Storage. Ein Merkmal, welches auch im Konzept von „peri.cloud“ vorgesehen ist und direkt unterstützt wird, da so eine Verteilung von Dienstleistung und Verantwortung auf Accounts des Betreibers und der Kunden ermöglicht wird. Dank der Skalierungsmöglichkeiten der Cloud-Plattform sind auch Erweiterungen des Systems schnell und mit wenig Wartungsaufwand umzusetzen.

Nicht zuletzt sind dank des breiten Spektrums an Cloud-Plattform-Diensten auch funktionelle Erweiterungen des Videoüberwachungssystems möglich. So umfassen zum Beispiel die Cognitive-Services verschiedene Angebote im Bereich der Videoanalyse auf Basis von Artificial Intelligence und Machine Learning, beispielsweise Gesichts- oder Spracherkennung. Sofern es datenschutzrechtlich erlaubt ist, ließen sich die Video- und Sprachdaten (live oder aufgezeichnet) per Programmierschnittstelle mit den Cognitive-Services für eine Auswertung verbinden.

Nach der Markteinführung soll „peri.cloud“ in einem zweiten Schritt um IoT-Komponenten und sicherheitstechnische Anlagen, wie Zutrittskontrollen, Brand- und Einbruchmeldeanlagen oder Sensoren der Gebäudetechnik erweitert werden. Hierzu wird es Koppelbausteine geben, die über Standards wie MQTT, OPC und BACnet Daten in die Cloud übernehmen und als Überwachungsdienstleistung den Kunden angeboten werden. Auch für die Sicherheitstechnik ist der Weg in die Cloud ein logischer Schritt. Mit der Kombination von Microsoft Azure Deutschland als Cloud-Plattform und der „peri.cloud-Dienstleistung“, die auf fast 30 Jahre Erfahrung aufbaut, wurde hier eine Lösung realisiert, die es auch Unternehmen besonderen Compliance-Anforderungen ermöglicht, die Chancen und Vorteile des Cloud Computings und der digitalen Transformation zu nutzen.

Florian Benne, Partner Development Manager, Microsoft Deutschland GmbH
Hendrik Schulte im Walde, Schille Informationssysteme GmbH