Cloud-Security: Alles zum Thema Sicherheit in der Datenwolke

Cloud-Security widmet sich der Sicherung von Cloud-Computing-Systemen. Als Fachgebiet der Cyber-Sicherheit umfasst dies eine Vielzahl von Einzelmaßnahmen, um vor Risiken wie Datenverlust, unrechtmäßigem Zugriff und dem Ausfall der Cloud Services zu schützen. Zusätzlich wird auch die Einhaltung der gesetzlichen Datenschutzbestimmungen durch Cloud-Security gewährleistet.

Nach Angaben des Branchenverbands Bitkom nutzen aktuell bereits 73 Prozent aller deutschen Unternehmen Cloud Services. Viele davon haben in den letzten Jahren sogar einen Großteil ihrer IT-Infrastruktur in die Cloud verlagert, da dort mittlerweile nahezu jede Anwendung gehostet werden kann. Das macht Cloud-Lösungen für kleine, mittlere und große Unternehmen gleichermaßen interessant.

Doch mit dem gestiegenen Anteil gespeicherter Daten in der Cloud steigen auch die Anforderungen an die Cloud-Sicherheit. Wir erläutern Ihnen, auf was es bei Cloud-Security ankommt und auf was Sie achten sollten, wenn Sie sich für einen Cloud-Anbieter entscheiden.

 

Was ist Cloud-Security?

Unter der Bezeichnung Cloud-Security versammelt sich eine Vielzahl an einzelnen Maßnahmen. Nicht zu verwechseln ist diese mit dem Oberbegriff der „Cyber-Sicherheit”: Unter dieser versteht man allgemein Maßnahmen, um die IT-Infrastruktur und Daten gegenüber Angriffen zu schützen. Darunter fallen beispielsweise die Netzwerksicherheit oder der Schutz von Software und Geräten.

Die Instrumente der Cloud-Security hingegen dienen in erster Linie zur Absicherung der in der Cloud gespeicherten Daten und Anwendungen, aber auch der Cloud-Umgebungen an sich. Unter Cloud-Security fallen demzufolge alle Technologien, Protokolle und Best-Practices, durch die eine Cloud-Architektur geschützt werden kann.

Notwendig wird dies vor allem deshalb, da oft viele unterschiedliche Benutzer:innen die in der Cloud abgelegten Daten abrufen. Darüber hinaus befinden sich diese nicht im direkten Einflussbereich der Dateneigentümer:innen. Public- oder Hybrid-Cloud-Lösungen sind im Unterschied zu reinen Private-Cloud-Lösungen zudem über das öffentliche Internet erreichbar. Deshalb sind im Rahmen der Cloud-Security allein aus rechtlichen Gründen besondere Sicherheitsmaßnahmen erforderlich.

Folgende Aspekte stehen bei Cloud-Security im Mittelpunkt:

  • Server- und Netzwerksicherheit
  • Sicherheit von Daten und Anwendungen
  • Identitäts- und Zugriffsmanagement (IAM)
  • Sicherheit der Hardware (Rechenzentrum, Server, Netzwerkinfrastruktur)
  • Stabilität der bereitgestellten Services

Wie sicher ist die Cloud? Sicherheitsrisiken von Cloud Services

Um herauszufinden, welche Form der Cloud-Security für Ihr Unternehmen geeignet ist, sollten Sie die verschiedenen Arten von Cloud Services kennen. Dies umfasst sowohl die Frage der Zugänglichkeit von Daten aus dem öffentlichen oder privaten Raum, als auch die Eigentumsverhältnisse in Bezug auf die bereitgestellte Cloud-Umgebung und deren Komponenten.

Grundlegend ist ein Cloud Service dahingehend definiert, dass ein externer Anbieter Ihrem Unternehmen die physische Infrastruktur zur Verfügung stellt und verwaltet, um darauf Ihre Daten zu hosten. Dies umfasst neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicherung sowie Frameworks zur Virtualisierung von Computer-Eigenschaften. Sie als Kunde können so auf die dort verwalteten Daten und Eigenschaften von jedem Ort aus zugreifen.

Vorteil: Durch einen Cloud Service entfallen für Ihr Unternehmen teure Investitionen in Hardware und Netzwerkinfrastruktur sowie laufende Kosten für regelmäßige Upgrades bzw. Updates und Personalkosten für Wartung und Service.

Grundlegend werden drei Formen von Cloud Services unterschieden:

1. Beim Modell Software as a Service (SaaS) können Sie Anwendungen nutzen, die auf den Servern eines externen Anbieters laufen. Dieser verwaltet neben den Anwendungen auch die zugehörigen Daten, den auszuführenden Code und das Betriebssystem. Die Software steht meist geräteübergreifend für Desktop-Computer, Tablets und Smartphones bereit. Typische Beispiele für SaaS sind Microsoft 365Google WorkspaceSlack oder Cisco WebEx.

2. Das Platform as a Service (PaaS)-Modell wiederum bietet Ihnen die Möglichkeit zur Entwicklung eigener Anwendungen. Dazu werden auf den Servern des Anbieters sogenannte „Sandbox-Bereiche” ausgeführt, in denen Sie eigene Anwendungen, Daten, Netzwerke und Berechtigungen speichern und verwalten können. Bekannte Beispiele dafür sind die Google App Engine und Microsoft Azure.

3. Bei Infrastructure as a Service (IaaS) stellen Cloud-Anbieter Hardware- und Fernverbindungssysteme zur Verfügung, auf denen Sie nahezu ihre komplette EDV unterbringen können, inklusive der Betriebssysteme. Die Anbieter verwalten dabei lediglich den zentralen Cloud-Dienst, während Sie alle Anwendungen, Daten und Laufzeiten selbst administrieren. Für die Sicherheit von Software und Daten sind somit Sie und nicht die Anbieter zuständig. Beispiele für IaaS sind die Google Compute Engine (GCE) und Amazon Web Services (AWS).

Cloud-Infrastruktur und das Thema Sicherheit: Besonderheiten im Public-, Private- und Hybrid-Cloud-Umfeld

Es gibt verschiedene Cloud-Dienste, die sich jeweils für unterschiedliche Anwendungsszenarien eignen. Folgendes sollten Sie bei der Auswahl hinsichtlich des Themas Cloud-Security berücksichtigen:

  • Public Cloud: Diese Form der Cloud ist über das Internet zugänglich. Die Services stehen bedarfsgerecht nicht bloß einzelnen Organisationen, sondern allen registrierten Anwender:innen mit jeweils eigenen Workspaces zur Verfügung. In Public Clouds können Sie Rechenleistung, Infrastruktur, Speicher oder Anwendungen mieten. Die Fixkosten sind für Sie je nach Leistungsumfang gut kalkulierbar. Investitionen in eigene Infrastruktur oder Software sind nicht notwendig. Beim Thema Cyber-Sicherheit sind Sie hier jedoch grundsätzlich auf die vertrauliche Behandlung der übermittelten Daten durch den Dienstanbieter und dessen Sicherheitsmechanismen angewiesen.
  • Private Cloud: Als Gegenstück zur Public Cloud stellt dieser Cloud Service seine Infrastruktur ausschließlich für eine einzelne Organisation zur Verfügung. Sie ist ohne entsprechende Zugangsdaten nicht über das Internet erreichbar und bietet damit bessere Möglichkeiten für Individualisierung, Kontrolle und Sicherheit. Die Private Cloud kann auf eigenen oder externen Servern gehostet werden, für die je nach Modell unterschiedlich hohe Kosten anfallen. Eine Private Cloud ist für Sie eine gute Lösung, wenn Sie strenge Datenschutzvorgaben erfüllen müssen.
  • Hybrid Cloud: Diese Cloud-Lösung vereint die Vorteile von Public und Private Cloud. So können Sie sensible Daten, die besonderen rechtlichen Bestimmungen unterliegen, im abgegrenzten Bereich der privaten Cloud speichern. Der öffentlich zugängliche Teil der Hybrid Cloud integriert hingegen die unkritischen Geschäftsprozesse und -daten. Gewöhnlich administriert ein externer Dienstleister eine Hybrid-Cloud-Umgebung, sodass bei Ihnen kein Inhouse-Personal gebunden wird. Diese Lösung gilt häufig als idealer Kompromiss zwischen Anbieterunabhängigkeit, Flexibilität und Sicherheitsaspekten.
  • Multi Cloud: Die Kombinationslösung mehrerer Cloud-Dienste versammelt unter dem Begriff Multi Cloud nach eigenem Bedarf zusammengestellte Public Clouds und Private Clouds unter einem gemeinsamen Dach. Sie können so die Angebote verschiedener Cloud-Anbieter parallel nutzen und sind dabei nicht an einen einzelnen Provider gebunden. Innerhalb dieser Struktur können Sie Daten zwischen den verschiedenen Clouds verschieben und externen Partner:innen oder Kund:innen einfacher Zugriff gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln sie in einer zentralen Managementkonsole.

Wie funktioniert Cloud-Security?

Mechanismen der sogenannten Cloud-Security sollen Ihre Nutzung der Cloud in verschiedenen Bereichen absichern. Dabei stehen vier Punkte im Mittelpunkt:

  1. Datenwiederherstellung bei Datenverlust
  2. Schutz vor Datendiebstahl
  3. Verhinderung von Datenlecks
  4. Sicherung bei Systemkompromittierung

Besondere Tools sollen die Cloud sicher machen, indem sie den Zugang und die Sichtbarkeit der Daten regulieren. Die wirkungsvollste Methode ist dabei die Verschlüsselung (Encryption). Ohne einen gesonderten Key zur Entschlüsselung sind Daten für Dritte nicht lesbar. Während des Transfers sind VPNs (Virtuelle Private Netzwerke) für den Datenschutz zuständig – vor allem bei den Cloud-Modellen abseits der Public Cloud.

Ein weiteres wichtiges Werkzeug für die Sicherheit der Cloud-Nutzung sind Identitäts- und Zugriffsverwaltung. Dazu gehören die Authentifizierung sowie Autorisierungen, die das System Benutzerkonten einräumt. Eine sichere Passwortverwaltung und die Multi-Faktor-Authentifizierung fallen ebenfalls in diesen Bereich.

Ergänzend kommen Steuerungsstrategien zur Prävention, Erkennung und Beseitigung von Bedrohungen für die Cloud hinzu. Diese beinhalten sowohl die internen Abwehrmechanismen einer Cloud-Umgebung als auch die besondere Schulung des Nutzer:innenverhaltens. Daneben spielen die technischen Wiederherstellungsmaßnahmen im Falle eines Datenverlustes (Cloud Disaster Recovery) eine wichtige Rolle. Weitere Fail-Safe-Systeme garantieren einen unterbrechungsfreien Betrieb, überwachen Backups und sorgen für die Anleitung von Mitarbeiter:innen im Fall einer notwendigen Datenwiederherstellung.

Achtung: Bei der Planung einer Unternehmens-Cloud sollten Sie vor allem die Gesetzeslage prüfen. Der Schutz von Daten und Benutzerinformationen ist in vielen Staaten mittlerweile klar reguliert. Fallen die von Ihnen verarbeiteten Daten beispielsweise unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO), stellen Sie sicher, dass der von Ihnen gewählte Cloud-Anbieter für eine entsprechende Verwahrung und Verschlüsselung der Daten sorgt.

Die Rolle der Cloud Security Alliance (CSA)

Um die Sicherheit von Clouds zu überprüfen, wurde im Jahr 2008 die Cloud Security Alliance (CSA) gegründet. Dabei handelt es sich um einen gemeinnützigen Zusammenschluss von global agierenden Unternehmen, der die Absicherung von Cloud-Umgebungen anhand von Best-Practice-Beispielen kontrolliert. Die Einhaltung und Entwicklung verbindlicher Sicherheitsstandards bei Cloud Services sind ein wichtiges Ziel der CSA.

Durch die Schulung von Anwender:innen sowie die Beratung von Softwarefirmen sollen zusätzliches Know-How und Bewusstsein für die wichtigsten Aspekte der Cloud-Security vermittelt werden. Zu diesem Zweck wird von der CSA beispielsweise ein Toolkit angeboten, das in der Lage ist, die Sicherheit von Public und Private Clouds zu überprüfen.

Was ist Security as a Service?

Die Angebote der Cloud Security Alliance fallen im Prinzip bereits unter das Angebot „Security as a Service” (SECaaS). Durch dieses Angebot externer Dienstleister können Sie beispielsweise den Datenverkehr von und zu einer Cloud überwachen und analysieren. Des Weiteren können Sie so Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren. Interne Sicherheitsvorkehrungen können Sie auf diese Weise auch auf externe Cloud-Umgebungen anwenden.

Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen und Policies verwalten, was Ihnen zusätzlich Aufwand und somit Kosten spart.

Cloud-Security-Lösungen

Im Rahmen der Cloud-Security wird zwischen verschiedenen Sicherheitslösungen unterschieden, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:

  • Hybride Cloud-Sicherheitslösungen: Die Verlagerung der EDV in eine Hybrid Cloud bringt für Unternehmen den Vorteil, die Vorzüge von Private und Public Cloud miteinander zu kombinieren. Um die Sicherheit der Daten und gleichzeitig eine hohe Praktikabilität für die Anwender:innen zu gewährleisten, empfiehlt sich eine durchgängige Sicherheit auf allen Plattformen und Endgeräten, die mit der Cloud kommunizieren. Einige Maßnahmen erhöhen den Sicherheitsstandard einer Hybrid-Cloud-Lösung für Unternehmen deutlich. Dazu gehören zum Beispiel Mikrosegmentierung, die Vereinfachung von Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen sowie ein Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter.
  • Sicherheitslösungen für kleine und mittlere Unternehmen (KMU): Auch KMU nutzen immer häufiger Cloud Computing, benötigen aber meist keine komplexe Cloud-Architektur. Für den besten Schutz sensibler Daten empfiehlt sich die Nutzung einer Private Cloud. Dort sollten Sie ausschließlich verschlüsselte Unternehmensdaten speichern. Gesetzesvorgaben und Compliance-Richtlinien können Sie auf diese Art am besten und kostengünstigsten erfüllen. Die Cloud kann zudem ausschließlich für denjenigen Bereiche und Mitarbeiter:innen des Unternehmens zugänglich sein, die sie auch tatsächlich benötigen. In diesem Zusammenhang empfiehlt sich zudem die gewissenhafte Sicherung von Zugangsdaten zur Cloud auf Unternehmensrechnern und mobilen Endgeräten. Dadurch wird unbefugtem Zugriff auf die Cloud zusätzlich vorgebeugt.
  • Cloud-Sicherheitslösungen für große Unternehmen: Große, global agierende Unternehmen stehen vor besonderen Herausforderungen hinsichtlich der Sicherheit ihrer Cloud-Architektur. Sie benötigen häufig eine Public Cloud für eine einheitliche Zugänglichkeit durch Geschäftspartner und Kund:innen, unterliegen gleichzeitig aber möglicherweise unterschiedlich strengen Richtlinien hinsichtlich des Datenschutzes (beispielsweise in der EU und den USA). Was bereits für KMU gilt, muss hier für multiple und komplexe Hybrid-Cloud-Lösungen in einer ganzheitlichen Sicherheitsstrategie erfasst werden. Dabei werden Cloud-Security-Standards und Richtlinien festgelegt, die von speziell geschulten IT-Mitarbeiter:innen entwickelt und umgesetzt werden. Alternativ können externe Expert:innen in den Prozess miteinbezogen werden.

Warum ist Cloud-Security so wichtig?

Die Speicherung geschäftlicher und privater Daten hat sich in den letzten beiden Jahrzehnten grundlegend gewandelt: Während Unternehmensdaten in der Vergangenheit nahezu ausschließlich lokal gespeichert wurden, befinden sie sich heute längst zu einem großen Teil in der Cloud. Nachdem die Sicherheit dieser Daten früher ebenfalls lokal gewährleistet wurde, sind sie heute potenziell von überall aus zugänglich.

Dennoch wandern immer mehr Daten jedweder Art in die Cloud – die bequeme Zugänglichkeit von jedem Ort aus sowie der damit einhergehende flexible Datenaustausch überwiegen für viele Anwender:innen die Bedenken hinsichtlich deren Sicherheit. Doch durch die Ansammlung extrem vieler Daten an einem Ort oder bei einem Anbieter steigt die Gefahr von Angriffen und/oder massiver Datenverluste: Große Datenmengen sind für Cyberkriminelle attraktiver als kleine, fragmentierte Datenbestände. Aus diesem Grund suchen diese gezielt nach Schwachstellen in der Cloud-Architektur. Anbieter wie Anwender:innen stehen also gleichermaßen in der Pflicht, für die Sicherheit der Daten in der Cloud zu sorgen.

IT-Sicherheitsstrategien

Heutige IT besteht gewöhnlich aus einer Kombination lokaler Komponenten (stationäre Rechner, Laptops, Server usw.) sowie der IT einer Cloud-Umgebung (intern oder extern). Beide Architekturen sind meist miteinander verwoben und stehen in komplexen Verhältnissen zueinander – erst recht, wenn mehrere Cloud-Arten verknüpft werden.

Die IT-Security steht somit vor besonderen Herausforderungen, um die Sicherheit der Daten und den Schutz vor Angriffen zu gewährleisten. Folgende Sicherheitsvorkehrungen sollten dabei obligatorisch sein:

  • Firewalls: Schirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen zusätzlich für zusätzliche Barrieren innerhalb hybrider Architekturen.
  • Antivirensoftware: Scannt nach Viren und beseitigt sie.
  • Schutz vor Ransomware: Software zur Abwehr vor Schadprogrammen, die das System kapern und die Daten Ihrem Zugriff entziehen (Mal- und Ransomware).
  • 2-Faktor-Authentifizierung: Zusätzlicher Identitätsnachweis von Nutzer:innen durch zwei voneinander unabhängige Komponenten.

Welche Cloud ist DSGVO-konform? Gesetzliche Anforderungen an die Cloud-Sicherheit

Um die Sicherheit einer Cloud zu gewährleisten, stehen Unternehmen bzw. Anwender:innen selbst in der Verantwortung, müssen aber einen Teil ihrer Handlungsmöglichkeiten an den Anbieter des Cloud Services abgeben. Um Risiken im Rahmen der Corporate Governance zu minimieren und den dauerhaften Support für eine Cloud-Architektur zu garantieren, werden die Details der Datenverarbeitung in einem Data Processing Agreement (DPA) festgelegt, als Teil der Compliance zwischen Anbietern und Kund:innen. Dieses ist rechtlich bindend und beinhaltet Regularien wie die deutsche Datenschutz-Grundverordnung (DSGVO), den amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder den internationalen Payment Card Industry Data Security Standard (PCI DSS).

Die Auflagen für Auditierung werden im Cloud Service Agreement (CSA) geregelt. Darin wird festgelegt, ob der Cloud-Provider oder ein externer Anbieter eine Auditierung vornehmen muss. Unter das CSA fallen aber auch Verantwortlichkeiten für Zertifizierungen, implementierte Standards sowie Regeln zu dem Reporting und der Recovery.

Nicht zu vernachlässigen ist in diesem Zusammenhang das „Recht-auf-Vergessen-werden”: Dieses liefert klare Vorgaben, wenn Kund:innen einen Cloud-Anbieter verlassen möchten. Das kann beispielsweise dann der Fall sein, wenn Ihr Unternehmen den Provider wechseln oder die in der Cloud gehosteten Daten in die eigene IT-Architektur übertragen möchte. Solch einen „Exit-Prozess” sollten Sie bereits vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter vereinbaren. Darunter fallen unter anderem Garantien für die Löschung von Backups und Logs nach festgelegten Zeiträumen, aber auch das Recht auf die restlose und vollständige Löschung sämtlicher Daten.

 

Cloud-Security in der Praxis: Das sollten Sie beachten

Wenn Sie in Ihrem Unternehmen einen Teil der IT in die Cloud auslagern möchten, sollten Sie sich vorher möglichst konkrete Gedanken über die Bedürfnisse und Anforderungen machen, die für Sie wichtig sind. Folgende Punkte sollten Sie dabei beachten:

  1. Bedürfnisse: Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zu internen Zwecken oder sind Sie auf umfangreiche Public- oder Hybrid-Cloud-Lösungen zur Kundenkommunikation angewiesen? Welche Integration und Interaktion mit Ihrer bestehenden IT ist erforderlich? Unterliegt die Datenverarbeitung Ihres Unternehmens bestimmten Regularien und Gesetzen? Welches Budget steht Ihnen zur Verfügung und welches Zahlungsmodell streben Sie an?
  2. Verantwortung: Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und dem Cloud-Anbieter aufgeteilt? Diese werden im CSA und gegebenenfalls in Service Level Agreements festgelegt. Achten Sie in diesem Zusammenhang auf Lücken in den Vereinbarungen: Existieren Bereiche, die für Sie essentiell sind, die aber vom Provider nicht abgedeckt werden (können)?
  3. Sicherheit: Für die Cloud-Security sollte definiert sein, welche Sicherheitsstandards eingehalten werden und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese zur bereits bestehenden Infrastruktur zum Schutz Ihrer Unternehmensdaten?
  4. Externe Expertise: Neben der Aufteilung der Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und dem Anbieter empfiehlt sich das Hinzuziehen von externen oder internen Expert:innen. Dies kann Ihre Rechts- oder Finanzabteilung umfassen, aber auch spezialisierte Dienstleister zur Auditierung. Deren Rechte und Befugnisse sollten Sie ebenfalls vor Abschluss eines Vertrags definieren.

    Zusammenfassung: Cloud-Sicherheit im 21. Jahrhundert

    In einer Cloud können heute nahezu alle Prozesse beheimatet sein, die für die EDV eines Unternehmens von Belang sind. Cloud Services bieten von der rudimentären Infrastruktur (IaaS) über Platform as a Service (PaaS) bis hin zu kompletten Programmpaketen (Software as a Service) nahezu jede Möglichkeit, um Ihre Daten in der Cloud zu hosten und zu bearbeiten.

    Auch deren Zugänglichkeit können Sie individuell anpassen: Ob in der Public Cloud, der Private Cloud oder den Mischformen der Multi- und Hybrid Cloud – Daten und Anwendungen können für Unternehmen und deren Anwender:innen in nahezu jedweder Form bereitgestellt werden, was die Zugänglichkeit angeht.

    Zum Schutz dieser Daten muss eine zeitgemäße Cloud-Security viele Aspekte berücksichtigen: Der Fokus liegt dabei auf dem Schutz vor Datendiebstahl und Datenlecks. Aber auch die Datenwiederherstellung spielt eine wichtige Rolle. Eine sichere Passwortkontrolle mittels 2-Wege-Authentifizierung, der Einsatz von Firewalls und Schutzprogrammen gegen Ransomware, die Instandhaltung der Cloud-Architektur sowie die Schulung der Nutzer:innen stellen dabei die wichtigsten Aspekte dar.

    Daneben gilt es, je nach Standort und Art der gespeicherten Daten besondere datenschutzrechtliche Bestimmungen zu berücksichtigen, die zwischen Provider und Kunden im sogenannten Data Processing Agreement festgelegt werden.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/cloud-security-alles-zum-thema-sicherheit-in-der-datenwolke/