dolphfyn - stock.adobe.com
Was beim Thema Cloud-Sicherheit wichtig ist
Unternehmen, die Daten, Dienste und Anwendungen in die Cloud verlagern wollen, sollten sich eingehend mit den Aspekten hinsichtlich Sicherheit und Compliance beschäftigen.
Eine immer schneller werdende Geschäftswelt, der Bedarf nach ortsübergreifender Vernetzung und nicht zuletzt der „New-Work“-Trend lassen auch auf Unternehmensseite Bedenken hinsichtlich der Cloud kleiner werden. Nach Angaben der Branchenverbandes Bitkom nutzten 2020 bereits 82 Prozent der deutschen Unternehmen die Cloud in ihrem Geschäftsbetrieb, 15 Prozent zogen ihre Verwendung zumindest innerhalb der nächsten Zeit in Betracht – und das aus gutem Grund.
Cloud-Dienste bieten die Flexibilität, Leistungsfähigkeit und nicht zuletzt Kosteneffizienz (den richtigen Cloud-Anbieter vorausgesetzt), die Organisationen in einer immer agileren und digitalisierten Geschäftswelt benötigen. Bei allen Vorteilen, die so oder mit ähnlichen Worten schon oft genug propagiert wurden, gibt es einen Punkt, der in vielen Unternehmen immer noch für Skepsis hinsichtlich der Cloud sorgt: Das Thema Security.
Risiken der Cloud
Berichte über Datenlecks, Hacks und Insider-Bedrohungen sind fast täglich Teil des News Feeds und lassen bei Entscheidern in Unternehmen die Frage aufkommen: Sind die Daten meines Unternehmens in der Cloud sicher? Aus Furcht vor solchen Datenvorfällen und den aus ihnen resultierenden Konsequenzen, setzen immer noch viele, vor allem mittelständische Betriebe, auf eigene On-Premises-Lösungen.
Denn die Risiken sind real und können unter vier Schlüsselrisiken zusammengefasst werden:
- Der Verlust von Daten.
- Daten-Leaks, die geschäftskritische Daten Mitbewerbern zugänglich machen.
- Unberechtigter Zugriff auf Daten.
- Systemausfälle, die aus Cyberattacken, Software- und Hardware-Fehlern resultieren.
Den Risiken begegnen
Von Seiten des Cloud Providers besteht die Pflicht, dem Verlust von Daten und -Leaks vorzubeugen: Er muss Sorge dafür tragen, dass sein Rechenzentrum auf dem neuesten Stand ist und dass Daten nicht an unautorisierte Dritte abwandern, etwa mit Hilfe physischer Zugangskontrollen. Hosten Unternehmen ihre Daten im eigenen Rechenzentrum, müssen sie die gleichen Sicherheitsvorkehrungen treffen.
Bei unberechtigten Zugriffen und Systemausfällen stehen sowohl Provider als auch nutzendes Unternehmen in der Pflicht, Gegenmaßnahmen einzuleiten. Insbesondere die Gefahr durch (Spear-)Phishing-Attacken, im Zuge derer Cyberkriminelle an Zugangsdaten und andere sensible Informationen zu gelangen versuchen, ist sehr ernst zu nehmen: Knapp jedes fünfte Unternehmen sah sich laut Bitkom 2021 solchen Angriffen ausgesetzt. Mit der gleichen Häufigkeit kamen Passwort- und Ransomware-Attacken zum Einsatz.
Beide Seiten sollten deshalb bei ihrer Belegschaft regelmäßige Schulungen durchführen, um deren Resilienz gegenüber Spear Phishing- und anderen Social-Engineering-Angriffen zu stärken.
Was Cloud Provider vorweisen sollten
Organisationen, die den Wechsel in die Cloud planen, sollten bei ihrer Auswahl auf die folgenden Kriterien achten, um sowohl sicherheits- als auch Compliance-technisch auf der sicheren Seite zu sein.
Identity und Access Management (IAM)
Das IAM verwaltet Zugriffe und Berechtigungen von Personen, die auf Daten zugreifen und mit ihnen arbeiten wollen. Mitarbeiter benötigen, um arbeiten zu können, Zugang zu in der Cloud gespeicherten Daten.
Ein IAM sammelt Informationen befugter Personen, um ihre Identität zu prüfen und danach Zugriff auf Daten zu gewähren, sei es mit reiner Leseberechtigung oder mit Schreib- beziehungsweise Bearbeitungsrechten. Darüber hinaus achten IAM-Systeme auf Unregelmäßigkeiten beim Login von Anwendern: Will ein Account auf Daten zugreifen, die er normalerweise nicht für seine Arbeit benötigt oder erfolgt der Zugriff von einer unbekannten Lokalität oder zu einer ungewöhnlichen Uhrzeit, schlägt das System Alarm und meldet einen möglichen Datenvorfall.
Zwei- und Multi-Faktor-Authentifizierung
Cloud-Anwender, die auf Daten zugreifen wollen, müssen sich im Zuge des IAM authentifizieren. In den meisten Unternehmen erfolgt dies immer noch durch die Kombination aus Passwort und Benutzernamen beziehungsweise der E-Mail-Adresse.
Dies zieht allerdings diverse Nachteile mit sich: User nutzen gerne Passwörter, die leicht zu merken sind und im Hinblick auf die Anzahl verschiedener, zur Arbeit notwendiger Konten neigen sie dazu, Passwörter wieder zu verwenden. Wie Forschungen des Hasso Plattner Instituts aus 2021 zeigen, sind Zahlenfolgen und Begriffe, wie sie im Wörterbuch stehen, immer noch sehr beliebt. Auf Unternehmensseite steuern Admins häufig mit strikten Passwortregeln entgegen, die zwar ihre Komplexität und damit die Sicherheit gegenüber Brute-Force-Angriffen erhöhen, auf User-Seite allerdings für mehr Support-Anfragen infolge vergessener Passwörter sorgen.
Unternehmen, die ihre Daten in die Cloud migrieren wollen, sollten deshalb bei ihrem Provider darauf achten, dass er 2FA (2-Faktor-Authentfizierung) oder besser noch MFA (Multifaktor-Authentifizierung) anbietet. Hier kommen zusätzlich zur Nutzernamen/Passwort-Kombination weitere Faktoren hinzu, dazu gehören etwa:
- SmartCards
- Authentifikator-Apps und dedizierte Token-Generatoren
- Authentifizierung per SMS
- Security Keys
- Biometrische Verfahren (beispielsweise Fingerabdruck-Scans)
Im Zuge einer MFA sind Kombinationen verschiedener Faktoren möglich. Sowohl 2FA als auch MFA sorgen dafür, dass unberechtigte Dritte keinen Zugriff auf sensible Daten erhalten – selbst im Falle einer erfolgreichen Phishing-Attacke oder eines Passwort-Leaks.
„Bei unberechtigten Zugriffen und Systemausfällen stehen sowohl Provider als auch nutzendes Unternehmen in der Pflicht, Gegenmaßnahmen einzuleiten.“
Henrik Hasenkamp, gridscale
Konformität zu Datenschutzrichtlinien
Der europäische und insbesondere der deutsche Datenschutz gehört zu den strengsten überhaupt, nicht erst seit Wirksamkeit der EU-Datenschutz-Verordnung 2018. Bei der Auswahl des Cloud-Anbieters sollten Entscheider deshalb auf seine DSGVO-Konformität achten, beispielsweise über Serverstandorte in Europa und Deutschland.
Daneben existieren weitere Sicherheitsvorgaben und Zertifizierungen, die Cloud-Anbieter erfüllen sollten, um für das eigene Unternehmen infrage zu kommen, zum Beispiel die ISO 27018 und ISAE 3000.
Erstere, auch unter BSI Grundschutz bekannt, ist maßgebend für den Schutz personenbezogener Daten im Cloud Computing und eng an den europäischen Datenschutz angelehnt. Der ISAE 3000-Standard testet bei Cloud-Providern unter anderem die Qualität von Background-Checks zukünftiger Mitarbeiter und interner Kontrollsysteme. Teil des Background-Checks kann sein, vorangegangene Unternehmen zu recherchieren, bei denen ein potenzieller zukünftiger Mitarbeiter angestellt war, um Interessenkonflikte zu erkennen.
Diese Regularien und Bestimmungen im unternehmenseigenen Rechenzentrum umzusetzen, ist aufwendig und mit hohen Kosten verbunden. Insbesondere Mittelständler und kleinere Unternehmen können häufig weder das Budget noch das nötige Know-how in Form von Fachkräften vorweisen, um hier ein ausreichendes Maß an Datenschutz generieren zu können. Viele Cloud-Anbieter stellen flexible Kostenmodelle sowie eine spezialisierte Beratung auch für kleinere Unternehmen zur Verfügung, damit auch sie ausreichenden Datenschutz für ihre Cloud-Modelle gewährleisten können.
Fazit
Die Cloud ist einer der sichersten Orte, an denen Organisationen ihre Daten speichern können – den richtigen Anbieter vorausgesetzt. Unternehmen, die die Migration ihrer Daten in die Cloud in Erwägung ziehen, sollten deshalb in einem ersten Schritt etablierte Provider ins Auge fassen, die aufgrund der hiesigen strengen Datenschutzrichtlinien auf dem neuesten Stand sein müssen.
Auch für Branchen mit strengen Regulierungen, etwa der KRITIS, bieten solche Provider Angebote in Form von Hybrid Clouds an, in denen die kritischsten Daten nicht in einer öffentlichen, sondern einer privaten Cloud oder auf einem unternehmensinternen Server gespeichert werden. Beachten Entscheider bei ihrer Auswahl zudem einige Must-Have-Features, steht der sicheren Arbeit mit der Cloud nichts mehr im Wege.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.