Cloud und IT-Sicherheit im Pharmabereich

Cloud und IT Sicherheit

Die Cloud ist mittlerweile allgegenwärtig. Ob wir Medien streamen, mit Freund:innen und Kolleg:innen kommunizieren oder einfach Daten speichern, fast alles geschieht über Cloudanbieter. Doch oft klingt es wie ein Schlagwort, um etwas interessanter zu machen als es tatsächlich ist. Was genau ist die Cloud? Welche Arten gibt es? Und ist das ganze sicher? Hier zeigen wir Grundlagen zur Cloud und wie tracekey sie nutzt.

Man geht davon aus, dass sich bis zum Jahr 2025 die Hälfte der weltweit gespeicherten Daten in der Cloud befinden. Bis 2015 waren es gerade einmal 25%. Doch was bedeutet es Daten in der Cloud zu speichern? Vereinfacht gesagt, meint man mit der Cloud das Internet. Rechenressourcen wie Speicher, Netzwerkkomponenten oder Rechenleistung werden vom eigenen Rechner oder Server an Cloudanbieter ausgelagert. Cloud ist jedoch nicht gleich Cloud.

Welche Cloudarten gibt es?

Unterschieden wird in die drei Cloudarten: öffentlich, privat und ein Hybrid aus beidem. Jede Art bietet seine eigenen Vor- und Nachteile und verfügt so über verschiedene Anwendungsmöglichkeiten. Öffentliche Clouds werden oft in kleinen bis mittelständischen Unternehmen genutzt. Große Konzerne verfügen in der Regel über Private Clouds.

  1. Öffentliche Cloud: Bei dieser Art stehen die Ressourcen über das öffentlich genutzte Internet zur Verfügung. Bis zu einem bestimmten Ausmaß können Nutzer:innen diese Services meist umsonst nutzen. Bei größeren Mengen an Ressourcen werden auch hier Kosten fällig. Alle Komponenten, die diese Infrastruktur ermöglichen, wie Hard- und Software, sind im Besitz des Cloud-Service-Anbieters.
  2. Private Cloud: Im Gegensatz dazu wird die Private Cloud ausschließlich von einem einzigen Unternehmen genutzt. Diese befindet sich oft im Datenzentrum dieses Unternehmens. Es ist jedoch auch möglich die Infrastruktur eines externen Cloud-Anbieters zu mieten und so das Datenzentrum auszulagern. Private-Cloud-Systeme werden oft in Unternehmen genutzt in denen Compliance Regeln eingehalten werden müssen, oder die Unternehmen mit vertraulichen Daten arbeiten.
  3. Hybrid Cloud: Wie der Name suggeriert ist eine Hybrid Cloud eine Kombination aus den beiden vorherigen Varianten. Hier wird eine Private Cloud mit einer Öffentlichen Cloud verbunden, um die gewünschten Anforderungen eines Unternehmens zu ermöglichen. Unterschiedliche Programme oder Workloads werden je nach Anwendungsbereich auf der dafür besser geeigneten Cloud ausgelagert. Idealerweise erhöht sich dadurch die Flexibilität und Effektivität der gewünschten Ziele.

Unsicher und teuer? Vorurteile gegenüber Cloud-Services

Wie bei vielen technischen Entwicklungen gab und gibt es Skepsis gegenüber Cloud-Services. Hohe Kosten und fehlende Sicherheit gehören zu den gängigen Befürchtungen gegenüber der Cloud. Doch sind diese Vorurteile berechtigt? Ein Pauschalisieren macht in den wenigsten Fällen Sinn, so auch hier nicht. Jedoch spricht einiges für die Nutzung von Cloud-Diensten. Also werfen wir einen genaueren Blick auf diese Vorurteile.

  • Kosten: Beim Nutzen eines Cloudanbieters siedle ich Ressourcen aus. Ressourcen für die das eigene Unternehmen ansonsten aufkommen muss. Für eine On-Premise-Lösung, also hauseigenen Servern, benötigt es einen Serverraum, die Server selbst, Instandhaltung, regelmäßige Hard- und Software-Upgrades und noch mehr. All das ist mit hohen Anschaffungs- und laufenden Kosten verbunden. Anbieter von Cloud-Services bieten all das an, wodurch bereits die Anschaffungskosten verfallen. Monatliche Kosten für ein Abonnement können frei nach den eigenen Anforderungen angepasst werden. Hierdurch wird zudem die Skalierbarkeit des Unternehmens erleichtert.
  • Sicherheit: Viele Leute glauben mit On-Premise Datenspeicherlösungen verfüge man über größere Kontrolle über die eigenen Daten. Sie sind meist vor Ort gespeichert und man vertraut sie keinem externen Anbieter an. Kontrolle über die eigenen Daten verliert man bei Cloud Nutzung deswegen nicht. Unternehmen mit einer On-Premise-Lösung sind selbst für die Sicherheit der eigenen Daten verantwortlich. Dieses Unterfangen verlangt einer Menge Expertise, Zeit und Geld. Cloudanbieter verfügen über diese Expertise als Teils ihres Geschäftsmodells. Sie aktualisieren und verbessern ihre Systeme regelmäßig und in kurzen Abständen. Backups, Failover sowie Disaster Recovery sind weitere wichtige Punkte rund um die IT-Security. Diese sind bei Cloud-Speicherung oftmals automatisiert, simpel und integriert. Backups und redundante System bei lokalen Speichermethoden verlangen nach eigenständiger Umsetzung mit entsprechender Komplexität. Eine vollständige und garantierte Sicherheit gibt es allerdings bei beiden Arten der Datenspeicherung nicht. Viele Datenpannen sind auf Nutzer:innen und zu schwache Passwörter zurückzuführen. Man nimmt an, dass 95% der Pannen auf Menschen zurückzuführen sind. Auch hier helfen definierte, automatisierte Prozesse innerhalb der Cloud, die ohne menschlichen Eingriff auskommen.

Wie gehen wir mit IT-Sicherheit um?

Zusätzlich zu den drei herkömmlichen Cloud-Arten gibt es auch die Community Cloud. Als eine Form der privaten Cloud nutzen mehrere Unternehmen in einer gemeinsamen Cloud-Umgebung geteilte Ressourcen, gleichzeitig sind die Mandanten (Kundenkonten) untereinander streng getrennt. Durch einen kleinen Kreis an Nutzer:innen verfügt eine Community Cloud über ähnlich hohe Sicherheit wie eine Private Cloud. Zwar nehmen unterschiedliche Unternehmen die Cloud in Anspruch, diese haben aber selbstverständlich nur Zugriff auf ihre eigenen Daten. Alle Nutzer:innen haben einen eigenen gesicherten Bereich, in dem sie arbeiten können. Der Einsatz von moderner Verschlüsselung während der Übertragung mit TLS (Transport Layer Security) sowie der gespeicherten Daten (Encryption-at-rest) sind nur zwei Beispiele entsprechender technischer Maßnahmen, um Vertraulichkeit und Integrität zu gewährleisten. Selbstverständlich sind organisatorische Maßnahmen wie interne Richtlinien und Prozesse auch Teil eines ganzheitlichen, risikobasierten Managements der IT-Sicherheit. Neben den Best Practice Leitfäden der IT und Pharma Branchen ITIL und GxP/GAMP orientiert sich tracekey hierbei an international anerkannten und verbreiteten Normen bezüglich Informationssicherheit.

Software-as-a-Service Anbietern wie tracekey bieten den Vorteil, dass die besagte Software über die Cloud ausgeführt wird. Updates werden so automatisch für alle Nutzer:innen installiert. Veraltete Software stellt eines der größten Risiken für die IT-Sicherheit dar. Regelmäßige und insbesondere zeitnahe Updates schließen bestehende Sicherheitslücken und können entsprechende Angriffe verhindern. So konnten unsere Entwickler:innen, im Dezember 2021, bereits innerhalb kurzer Zeit nach Bekanntwerden der Sicherheitslücke Log4Shell das Risiko für sämtliche Kunden analysieren, vorhandene Gegenmaßnahmen bewerten und zusätzliche, proaktive Maßnahmen umsetzen. Ein Ausnutzen solcher und zukünftiger Lücken kann somit effektiv verhindert werden.

Teil der IT-Sicherheit ist nicht nur der Schutz gegen Manipulation oder Datenraub, sondern auch Schutz vor möglichen Serverausfällen, beispielsweise durch Katastrophen. Dafür werden durch tracekey die Daten unserer Kunden mehrfach als Backups an verschiedenen Standorten für mindestens 6 Jahre nach Erstellen gesichert. Redundante Systeme im westlichen und nördlichen Europa sorgen zudem für Hochverfügbarkeit falls einzelne Komponenten oder ganze Datenzentren ausfallen sollten. Dank der Server-Standorte in der Europäischen Union sind die Daten zudem durch Europäisches Recht geschützt.

Nicht immer hat die Technik schuld

Ähnlich wichtig wie die IT-Sicherheit seitens des SaaS Anbieters ist auch der Umgang und die Kultur innerhalb eines Unternehmens. Um die 80% von Cyber-Attacken sind auf gestohlene oder zu schwache Passwörter zurückzuführen. Phishing-Mails sind eine bekannte Möglichkeit für Hacker, um initialen Zugriff auf Systeme zu erlangen und sensible Daten abzugreifen. Regelmäßige Schulungen, Awareness-Trainings und Phishing- Simulationen sowie technische Maßnahmen wie Zwei-Faktor-Authentifizierung und sichere Passwortmanager sind geeignete Mittel, um dem entgegenzuwirken und Risiken zu minimieren. Auch deshalb bietet tracekey für seine mytrackey Webplattform bereits seit 2019 Unterstützung für den sicheren Web-Login Standard FIDO2 auf Basis von Biometrie oder physischen Sicherheitsschlüsseln.

Die Nutzung von Cloud-Services und eine hohe IT-Sicherheit schließen sich also keinesfalls aus. Der Einsatz technischer Maßnahmen allein ist jedoch nicht ausreichend. Erst ein ganzheitliches Konzept, dass sowohl den organisatorischen Kontext als auch den Menschen als Chance in der Cyberabwehr berücksichtigt, führt zu umfassender Sicherheit. Mit hervorragenden Kenntnissen und entsprechenden Vorkehrungen müssen sich Nutzer:innen keine Sorge um ihre Daten machen.

Mehr Pharma