Wann Daten in der Cloud sicher sind
Inzwischen lagern laut Bitkom Monitor 76 % der deutschen Unternehmen ihre Daten in die Cloud aus. Darunter auch sensible, personenbezogene oder firmeninterne Daten. Gleichzeitig möchte niemand, dass Dritte unautorisiert auf diese zugreifen können. Cloud Security ist also für viele noch ein heikles Thema. Potenzielle Gefahren für Cyberangriffe oder Datenmissbrauch schwirren stets im Hinterkopf. Wie kann etwas, dass ich nicht sehe und nicht greifen kann, eine sichere Umgebung für hochsensible Daten sein?
Wie schön wäre es, könnten Daten einfach in einen Safe gelegt werden: Schloss zu, Schlüssel umdrehen, Safe verstecken. Dieser standortbezogene „Safe“ wird gerne als Ideallösung gesehen, wenn Daten auf firmeninternen Rechenzentren gespeichert werden. Aber: Der Safe ist schnell zu klein, der Schlüssel wird verlegt oder der Standort überaltert. Die Lösung ist der virtuelle, skalierbare Safe: die Cloud. Sie ist nicht nur genauso sicher wie eine On-Prem-Lösung, sondern unter den richtigen Voraussetzungen sogar sicherer.
Herausforderungen der Cloud Security, aber keine Probleme
Es gibt verschiedene Arten von Herausforderungen, die vor einer Migration auf Cloud Server bedacht werden müssen. Diese hängen zumeist unmittelbar mit den wesentlichen Eigenschaften der Cloud zusammen.
Erstens benötigt jede Cloud-Anwendung und jeder Cloud Server eine stabile Internetverbindung oder zumindest ein internes Netzwerk. Zwar gibt es in diesem Bereich nicht häufig Ausfälle. Umso mehr schmerzt es aufgrund der vielen Cloud-Kunden auf beiden Seiten aber, wenn der Server mal nicht erreichbar ist.
Zweitens ist der Markt relativ ungleich verteilt. Obwohl es viele auch teils kleine Unternehmen gibt, die Cloud Hosting anbieten, gehen die meisten Anbieter doch gegenüber den Marktführern AWS, Azure oder Google Cloud in der Wahrnehmung unter. Diese profitieren von ihrer Reputation und dem damit verbundenen immensen Interesse an ihrem Angebot. Finanziell hervorragend aufgestellt sind sie in der Lage, besonders stark in Sicherheitszertifikate und Sicherheitsmaßnahmen, sowie ausgebildetes Personal zu investieren. Ihre Prominenz birgt jedoch gleichzeitig die Gefahr, dass bei einem Ausfall im ersten Moment weitaus mehr Kunden betroffen sind und Probleme öffentlich höhere Wellen schlägt.
Drittens ist für die Sicherheit maßgeblich das Zusammenspiel von Provider und Kunde nötig. Sicherheit kann nur gewährleistet werden, wenn beide Seiten alle nötigen Vorkehrungen treffen.
Standortwahl und Compliance
Ist der firmeninterne Standort als „Daten-Safe“ nicht mehr geeignet und soll daher in eine virtuelle Umgebung umgezogen werden, ist der Standort des Rechenzentrums äußerst wichtig, beispielsweise um europäische Gesetze oder die Compliance des eigene Unternehmens einzuhalten.
Die im Jahr 2018 eingeführte EU-DSGVO ist ein bestimmender Faktor für die Wahl des Cloud-Anbieters. Staatliche Gesetze, aber auch länderübergreifende Abkommen, haben Einfluss auf den Umgang mit Daten. Die DSGVO beeinflusst laut der Studie „Cloud Security 2019“ maßgeblich sowohl die Wahl des Cloud Providers als auch die Standortwahl des zuständigen Rechenzentrums.
Zumeist muss der „Safe in den Wolken“ in nationaler oder europäischer Umgebung liegen. Inzwischen ist Azure mit zwei Public-Standorten in Deutschland vertreten. AWS und Google Cloud befinden sich beide in Frankfurt. Zudem bieten die internationalen Anbieter inzwischen auch DSGVO-konforme Funktionen und Dienste, speziell für ihre europäischen Kunden.
Da länderübergreifende Datenspeicherung allerdings oft noch ein kompliziertes Thema ist, kommen US-amerikanische Anbieter für das ein oder andere Unternehmen oder manche Behörden erst gar nicht in Frage. Besonders in diesen Fällen lohnt sich der Blick auf deutsche Provider oder auf das Angebot verschiedener Verschlüsselungstechniken.
Zudem muss klargestellt werden, ob der Anbieter Daten ins Ausland überträgt oder gar mit Subunternehmen teilt. Auch dieser Aspekt gehört sowohl zur Datenschutzverordnung als auch zur Compliance des Unternehmens.
Security-Pflichten des Cloud Providers
Ein Safe besteht meist aus einem schweren und schier unzerstörbaren Metall. Trotzdem können Verschleißerscheinungen auftreten. Einzelteile müssen von Zeit zu Zeit ausgetauscht werden. Selbstverständlich übernimmt das der Hersteller bei regelmäßigen Kontrollen. Ähnlich ist die Situation auch, wenn es sich um einen Cloud Service handelt.
Der Provider kümmert sich um die physische Unversehrtheit und Wartung. Das bedeutet, er garantiert unter anderem die regelmäßige Kontrolle der Stromversorgung und das rechtzeitige Ersetzen von Einzelteilen. Dazu gehört auch der Schutz der Data Center vor Unwettern. Außerdem sorgt er für die Stabilität und Erreichbarkeit des Servers. Ist die Verbindung zu diesen nämlich unterbrochen, betrifft das eine ganze Reihe von Kunden und hat weitreichende Konsequenzen. Eben weil das für den Provider ein großes Verlustgeschäft bedeuten kann, lassen sie ihre Cloud Security zertifizieren und optimieren stetig ihre Mechanismen. Mittlerweile sind Cloud Provider damit wesentlich sicherer und auch weitaus aktiver in der Verbesserung ihrer Sicherheitsmaßnahmen als herkömmliche Server es bis dato leisten könnten.
Nur verschlüsselte Daten sind gute Daten
Es liegt in der Verantwortung des Anwenders oder der Anwenderin, sich um die Datensicherheit zu kümmern. Das fängt bei einem sinnvollen Management an Berechtigungen und der Kontrolle über Zugriffsrechte an. Wer hat Zugriff? Wer erhält welche Passwörter? Wie werden diese geschützt? Wie werden Wiederherstellungscodes aufbewahrt? Auch die sichere Erstellung und Anbindung von APIs ist ein Sicherheitsaspekt. Bitkom fand heraus, dass jeder dritte Person für verschiedene Online-Dienste dasselbe Passwort einsetzt. So selbstverständlich es sein sollte, das nicht zu tun, kommt dieser Anwenderfehler auch in Unternehmen immer noch häufig vor. Selbst für solche vermeintliche Kleinigkeiten sollte definitiv ein Bewusstsein vorhanden sein.
Weiterhin sollte man Maßnahmen zur korrekten Datenübertragung ergreifen. Nur durch geeignete Verschlüsselungstaktiken sind die Daten sicher. Um die Daten lesen und nutzen zu können, ist der korrekte Schlüssel notwendig. Unautorisierte Zugriffe von außen lohnen sich dann nicht mehr. Fremde Regierungen, wie zum Beispiel die Vereinigten Staaten, die durch den Cloud Act auch ausländische Daten auf Servern innerhalb ihrer Grenzen Zugriff hätten, sehen höchstens unleserliches Kauderwelsch. Und selbst Datendiebe wären enttäuscht von ihrer Beute.
Daher darf der Schlüssel nicht offen in der Cloud liegen. Unterschiedliche Software und Skripte machen möglich, dass verschlüsselte Daten weiterverarbeitet werden können. Die Verschlüsselungsvarianten sind inzwischen vielfältig und werden stetig weiterentwickelt. So existieren viele Open Source Tools oder Freeware, aber auch kostenpflichtige oder integrierte Angebote der Provider. Zudem sind Cloud Firewalls und HTTPS-Verbindungen unabdingbar.
Zu guter Letzt: Die Endpunkte, also die benutzten Endgeräte, dürfen nicht nicht vergessen werden. Was eigentlich auf der Hand liegt, bleibt oft außen vor. Auch Anwender-Hardware gilt es zu schützen, andernfalls gelangen bereits kompromittierte Daten in den Safe.
Fazit: Cloud Security als Teil der IT-Strategie unabdingbar
Will ein Unternehmen in die Cloud migrieren, muss das Thema Cloud Security ein fester Bestandteil der IT-Strategie sein. So kann sichergestellt werden, dass von Anfang an die richtigen Maßnahmen getroffen werden können. Bei der Auswahl eines geeigneten Cloud-Anbieters sollte daher auf spezifische DSGVO-Zertifikate und deutschlandspezifische Angebote geachtet werden. Einige Provider bieten auch (DSGVO-konforme) Verschlüsselungstechniken bei der Datenübertragung an.
Business und IT und gegebenenfalls das Data Team sollten sich über die nötigen Sicherheitsmaßnahmen im Rahmen der unternehmerischen Compliance-Vorgaben beraten. Es kann auch hilfreich sein, externen Input von Cloud-Experten einzubeziehen, die sich tagtäglich mit diesen Themen auseinandersetzen, und routiniert bei der Strategieausarbeitung und Risikoabwägung assistieren können. Sind die Faktoren der Infrastruktur, des Datenschutzes und der Compliance alle berücksichtigt worden, ist auch der Safe in der Cloud optimal geschützt und sicher.
