Sichere Cloud

Datenwolken werden sicher

Von Daniela Hoffmann · 2018

Eine Datencloud schwebt über einem Tablett. Thema: sichere Cloud
Unternehmen nutzen mit ihren Cloudstrategien Angebote verschiedenster Data-Center-Dienstleister.

Es gibt keine international einheitlichen Sicherheitszertifikate für die Cloud, doch speziell der europäische Markt bietet eine gute Grundlage, um Dienstleister auf Basis von Zertifizierungen zu bewerten. Mit einer gut durchdachten Strategie sind Unternehmen bei den Sicherheitsanforderungen auf der sicheren Seite – und bereit, neue Technologien für die Geschäftsmodelle der digitalen Transformation zu nutzen.

Technologien wie Big-Data-Analytics, Machine-Learning und künstliche Intelligenz erleben ihren derzeitigen Durchbruch überhaupt erst durch Cloudcomputing und billigen Speicher: Auf sie können und wollen wohl die wenigsten Unternehmen verzichten. Denn Cloudcomputing kann Unternehmen helfen, die Herausforderungen der digitalen Transformation zu meistern. Vor dem Schritt in die Wolke muss jedoch die Gretchenfrage beantwortet werden: Kann die genutzte Cloudarchitektur ausreichend geschützt werden? 

Es bleibt selten bei einer Cloud

Zu den wichtigsten Kategorien des Cloudcomputings zählen Infrastruktur, Plattform und Software-as-a-Service. Zudem wird Public-, Private- und Hybrid-Cloud unterschieden – also für jedermann zugängliche Dienste, skalierbare Umgebungen auf dedizierten Servern für ein Unternehmen sowie Mischformen von beidem. Die Unterteilung zeigt, dass Unternehmen in unterschiedlichsten Bereichen mit der Cloud in Berührung kommen. In der Praxis ist es gang und gäbe, verschiedenste Clouds parallel zu nutzen: Büro- und Mail-Anwendungen des einen Herstellers laufen parallel mit den Werkzeugen für den Kundenservice des Mitbewerbers. 

Auch nutzen die IT-Verantwortlichen ganz selbstverständlich unterschiedlichste „Internet of Things“-Plattformen oder Onlinemarktplätze, gemeinsam mit eigenbetriebenen Cloudplattformen. Dies belegen Studien: Rund zwei Drittel der deutschen Unternehmen vertrauen auf Multi-Cloud-Strukturen aus Public- und Private-Cloud.

Doch die Cloud ist alles andere als einfach und selbsterklärend. Technisch und rechtlich sind bei der Beschaffung und Nutzung bis hin zum Exit aus der Cloud einige Hürden zu nehmen. Das Thema Cloud-
computing unbeschwert oder naiv anzugehen, ist keine Option. Vor allem dann nicht, wenn Finanzdaten und sensible Kundenkontakte aus dem Unternehmen in eine anonyme Wolke wandern. Ohne Zweifel entsteht hier zunächst ein Hochsicherheitsrisiko, das ernst genommen werden sollte. Denn letztlich haftet die Geschäftsleitung – nicht der Cloudanbieter – wenn keine ausreichenden IT-Sicherheitsmaßnahmen ergriffen wurden. 

 

Grafik zu IT-Trends 2018. Quelle: Bitkom Berlin, 2018
Quelle: Bitkom Berlin, 2018

Sichere Cloud: Zertifikate helfen bei Beurteilung

Da es nicht möglich ist, jeden potentiellen Cloudanbieter im Detail unter die Lupe zu nehmen, müssen Zertifikate bei einer vergleichenden Bewertung helfen. Dabei gibt es eine weitere Herausforderung. Natürlich gibt es nicht „das eine Zertifikat“ oder „den einen Standard“, sondern eine Vielzahl verschiedener Standards und Zertifikate mit verschiedenen Schwerpunkten. 

Abhängig davon, wie die eigenen Bedürfnisse sind, können unterschiedliche Standards bei der Auswahl herangezogen werden. Für national agierende Unternehmen reicht ein Zertifikat mit regionalem Fokus auf Deutschland. Alle anderen müssen sich nach europäischen oder internationalen Gütesiegeln umschauen. 

Wenn Verantwortliche nach „Cloud Certification Schemes List“ suchen, finden sie einen Überblick der „European Union Agency for Network and Information Security“ über aktuelle, verlässliche Zertifizierungen im europäischen Raum. Die Zertifikate setzen allerdings jeweils auch unterschiedliche Schwerpunkte bei der Bewertung von Clouddiensten: So legen die einen Zertifikate vor allem Wert auf Daten- und Informationssicherheit, während andere eher Transparenz und Serviceorientierung fokussieren. 

Wichtig ist, dass bestimmte gängige Zertifizierungen wie ISO 27001 oder SSAE16/ISAE 3420 für die Cloudsicherheit nicht aussagekräftig sind. Hier ist nicht klar definiert, ob sich die Zertifizierung überhaupt auf den Bereich Sicherheit erstreckt. Unternehmen, die auf Dienstleister mit europäischen Zertifikaten und Rechenzentren innerhalb Deutschlands oder Europas setzen, gehen auf Nummer sicher – und müssen sich in der Regel keine Sorgen um die Einhaltung der Datenschutz-Grundverordnung machen.

Kategorisierung von Daten bleibt niemand erspart

Doch selbst nach einer akribischen Auswahl bleibt das Unternehmen in der Pflicht: Die Verantwortung für Sicherheit und Datenschutz kann der Provider seinen Kunden nicht abnehmen. Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Cloudservice eingesetzt wird, müssen daher die sicherheitsrelevanten Rahmenbedingungen vom Nutzer vorher herausgearbeitet werden. 

Die damit verbundene Arbeit muss jedes Unternehmen selbst leisten. Dazu gehören vor allem die Strukturanalyse der eigenen IT-Landschaft und -Anwendungen, um alle Schnittstellen zu berücksichtigen und Abgrenzungen überhaupt möglich zu machen. Weil höhere Sicherheitsstandards in der Cloud teuer sind, sollte im Vorfeld auch genau hingeschaut werden, um welche Daten, Anwendungen und Systeme es geht – und wie schutzwürdig sie sind. Dazu müssen sie in Schutzbedarfskategorien eingeordnet werden. Weil sich jedoch IT-Umgebungen kontinuierlich verändern, stellt sich die Einordungsfrage bei jeder Veränderung erneut.

Cloud hilft bei der Cybersicherheit

Noch immer haben viele Unternehmen mit Blick auf die Cloud Sicherheitsbedenken und sind in Sorge um ihre Daten. Zugleich hat sich die Argumentation der Cloudprovider aus den letzten Jahren weitgehend durchgesetzt: Gerade mittelständische Unternehmen können in ihrer IT niemals so hohe Securitystandards realisieren, wie sie dedizierte Dienstleister anbieten, bei denen Sicherheit zum Kerngeschäft gehört. Studien zeigen, dass Sicherheitsvorfälle in der internen IT solche in der Public-Cloud bei weitem überwiegen. 

Das größte Sicherheitsrisiko liegt in Untersuchungen kontinuierlich bei den Mitarbeitern selbst, gefolgt von ungesicherten Endpoints wie Smartphones. Zwar steigen die Angriffe auf Cloudinfrastrukturen stetig und massiv an, die Sicherheitsrisiken bleiben dabei aber ähnlich. Zu einfach zu knackende oder in mehreren Apps und Anwendungen verwendete Passwörter liegen dabei ganz vorn.

Cloud ist nicht billiger als eigene IT-Systeme

Auf der anderen Seite hilft Security aus der Cloud sogar eher dabei, Sicherheitslücken zu schließen. Entsprechende Angebote adressieren häufig Bereiche wie E-Mail-Sicherheit, Netzsicherheit und den Schutz vor Malware. Gerade weil vor allem alte Softwareversionen klassische Einfallstore für Hacker sind, fahren Unternehmen mit den durch die Anbieter aktualisierten Lösungen in der Cloud auch in diesem Punkt besser. Neben der Zugriffsverwaltung und Mehrfachauthentifizierung ist die Datenverschlüsselung ein weiterer wichtiger Securitybaustein. Im Rahmen einer internationalen Studie unter 3.200 IT- und IT-Sicherheits-Experten zeigte sich, dass deutsche Unternehmen Cloudsecurity am weitaus besten umsetzen: So verschlüsseln 61 Prozent sensible Daten, die in der Wolke liegen. 

Nach dem Hype und dem Nachlassen der übersteigerten Sorgen um die Sicherheit ist das Thema Cloudcomputing aus Sicht von Marktforschern im „Tal der Ernüchterung“ angekommen. Viele Unternehmen hätten festgestellt, dass die Cloudvariante oft keineswegs billiger zu haben ist, als die im eigenen Rechenzentrum betriebene Informationstechnologie. Nur mit guten Tools und rigorosem Cloudmanagement könnten die Kosten und der Anwendungsnutzen von Cloudcomputing realisiert werden. Dennoch rechnen die Marktforscher damit, dass bis 2025 rund 80 Prozent der Unternehmen weltweit ihre traditionellen Rechenzentren abgelöst haben werden.

Sicherheitsvorfälle in der Cloud

Eine repräsentative Umfrage des Digitalverbands Bitkom vom Juni 2018 unter mehr als 500 Unternehmen zeigt: 

Zwei Drittel der Befragten nutzen Rechenpower aus der Cloud – bei Unternehmen mit mehr als 2.000 Mitarbeitern sind es sogar 83 Prozent. 21 Prozent der Umfrageteilnehmer planen einen künftigen Einsatz. Die Hälfte der Unternehmen setzt auf Private-Cloud, knapp ein Drittel auf die Public-Cloud. 50 Prozent der letzteren empfindet eine verbesserte Sicherheit ihrer Daten, ein Viertel sagt jedoch, dass es in den letzten zwölf Monaten zu Sicherheitsvorfällen gekommen sei.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)