Inzwischen lagern laut Bitkom Monitor 76 % der deutschen Unternehmen ihre Daten in die Cloud aus. Darunter auch sensible, personenbezogene oder firmeninterne Daten. Gleichzeitig möchte niemand, dass Dritte unautorisiert auf diese zugreifen können. Cloud Security ist also für viele noch ein heikles Thema. Potenzielle Gefahren für Cyberangriffe oder Datenmissbrauch schwirren stets im Hinterkopf. Schlagzeilen über Ausfälle bedingt durch Eingabefehler in der Programmierung bei AWS im Jahr 2017 oder über Datenverluste aufgrund eines DNS-Updates bei Azure in 2019 rufen bei Unternehmen Bedenken zu den Sicherheitsaspekten der Cloud hervor. Wie kann etwas, dass ich nicht sehe und nicht greifen kann, eine sichere Umgebung für hochsensible Daten sein?

Wie schön wäre es, könnten Daten einfach in einen Safe gelegt werden: Schloss zu, Schlüssel umdrehen, Safe verstecken. Dieser standortbezogene „Safe“ wird gerne als Ideallösung gesehen, wenn Daten auf firmeninternen Rechenzentren gespeichert werden. Aber: Der Safe ist schnell zu klein, der Schlüssel wird gestohlen oder der Standort überaltert. Die Lösung ist der virtuelle, skalierbare Safe, also die Cloud. Sie ist nicht nur genauso sicher wie eine On-Prem-Lösung, sondern unter den richtigen Voraussetzungen sogar sicherer.

In der Top 10 der Cloud-Services-Kriterien stehen der gesicherte Zugriff, die Verschlüsselung der Daten, die Zuverlässigkeit des Anbieters und das Vertrauen in diesen an oberster Stelle.

Quelle: Studie Cloud Security 2019, IDG Research Services

Herausforderungen der Cloud Security, aber keine Probleme

Es gibt verschiedene Arten von Herausforderungen, die vor einer Migration auf Cloud Server bedacht werden müssen. Diese hängen zumeist unmittelbar mit den wesentlichen Eigenschaften der Cloud zusammen.

Erstens benötigt jede Cloud Anwendung und jeder Cloud Server eine stabile Internetverbindung oder zumindest ein internes Netzwerk. Zwar gibt es in diesem Bereich nicht häufig Ausfälle. Umso mehr schmerzt es aufgrund der vielen Cloud-Kunden auf beiden Seiten aber, wenn der Server mal nicht erreichbar ist.

Zweitens ist der Markt relativ ungleich verteilt. Obwohl es viele auch teils kleine Unternehmen gibt, die Cloud Hosting anbieten, gehen die meisten Anbieter doch gegenüber den Marktführern AWS, Azure oder Google Cloud in der Wahrnehmung unter. Diese profitieren von ihrer Reputation und dem damit verbundenen immensen Interesse an ihrem Angebot. Finanziell hervorragend aufgestellt sind sie in der Lage, besonders stark in Sicherheitszertifikate und -maßnahmen, sowie ausgebildetes Personal zu investieren. Ihre Prominenz birgt jedoch gleichzeitig die Gefahr, dass bei einem Ausfall im ersten Moment weitaus mehr Kunden betroffen sind und Probleme öffentlich höhere Wellen schlägt.

Drittens ist für die Sicherheit maßgeblich das Zusammenspiel von Provider und Kunde nötig. Sicherheit kann nur gewährleistet werden, wenn beide Seiten alle nötigen Vorkehrungen treffen.

Standortwahl und Compliance

Ist der firmeninterne Standort als „Daten-Safe“ nicht mehr geeignet und soll daher in eine virtuelle Umgebung umgezogen werden, ist der Standort des Rechenzentrums äußerst wichtig, beispielsweise um europäische Gesetze oder die eigene Unternehmens-Compliance einzuhalten.

Die im Jahr 2018 eingeführte EU-DSGVO ist ein bestimmender Faktor für die Wahl des Cloud-Anbieters. Staatliche Gesetze, aber auch länderübergreifende Abkommen, haben Einfluss auf den Umgang mit Daten. Die DSGVO beeinflusst laut der Studie Cloud Security 2019 maßgeblich sowohl die Wahl des Cloud Providers als auch die Standortwahl des zuständigen Rechenzentrums.

Zumeist muss der „Safe in den Wolken“ in nationaler oder europäischer Umgebung liegen. Inzwischen ist Azure mit zwei Public-Standorten in Deutschland vertreten. AWS und Google Cloud befinden sich beide in Frankfurt. Zudem bieten die internationalen Anbieter inzwischen auch DSGVO-konforme Funktionen und Dienste, speziell für ihre europäischen Kunden.

Da länderübergreifende Datenspeicherung allerdings oft noch ein kompliziertes Thema ist, kommen US-amerikanische Anbieter für das ein oder andere Unternehmen oder manche Behörden erst gar nicht in Frage. Besonders in diesen Fällen lohnt sich der Blick auf deutsche Provider oder auf das Angebot verschiedener Verschlüsselungstechniken.

Zudem muss klargestellt werden, ob der Anbieter Daten ins Ausland überträgt oder gar mit Subunternehmen teilt. Auch dieser Aspekt gehört sowohl zur Datenschutzverordnung als auch zur Compliance des Unternehmens.

Security Pflichten des Cloud Providers

Ein Safe besteht meist aus einem schweren und schier unzerstörbaren Metall. Trotzdem können Verschleißerscheinungen auftreten. Einzelteile müssen von Zeit zu Zeit ausgetauscht werden. Selbstverständlich übernimmt das der Hersteller bei regelmäßigen Kontrollen. Ähnlich ist die Situation auch, wenn es sich um einen Cloud Service handelt.

Der Provider kümmert sich um die physische Unversehrtheit und Wartung. Das bedeutet, er garantiert unter anderem die regelmäßige Kontrolle der Stromversorgung und das rechtzeitige Ersetzen von Einzelteilen. Dazu gehört auch der Schutz der Data Center vor Unwettern. Außerdem sorgt er für die Stabilität und Erreichbarkeit des Servers. Ist die Verbindung zu diesen nämlich unterbrochen, betrifft das eine ganze Reihe von Kunden und hat weitreichende Konsequenzen.  Eben weil das für den Provider ein großes Verlustgeschäft bedeuten kann, lassen sie ihre Cloud Security zertifizieren und optimieren stetig ihre Mechanismen. Mittlerweile sind Cloud Provider damit wesentlich sicherer und auch weitaus aktiver in der Verbesserung ihrer Sicherheitsmaßnahmen als herkömmliche Server es bis dato leisten könnten.

Shared responsibility model, Quelle: Microsoft

Nur verschlüsselte Daten sind gute Daten

Es liegt in der Verantwortung des Anwenders, sich um die Datensicherheit zu kümmern. Das fängt bei einem sinnvollen Management an Berechtigungen und der Kontrolle über Zugriffsrechte an. Wer hat Zugriff? Wer erhält welche Passwörter? Wie werden diese geschützt? Wie werden Wiederherstellungscodes aufbewahrt? Auch die sichere Erstellung und Anbindung von APIs ist ein Sicherheitsaspekt. Bitkom fand heraus, dass jeder dritte Person für verschiedene Online-Dienste dasselbe Passwort einsetzt. So selbstverständlich es sein sollte, das nicht zu tun, kommt dieser Anwenderfehler auch in Unternehmen immer noch häufig vor. Selbst für solche vermeintliche Kleinigkeiten sollte definitiv ein Bewusstsein vorhanden sein.

Weiterhin sollte man Maßnahmen zur korrekten Datenübertragung ergreifen. Nur durch geeignete Verschlüsselungstaktiken sind die Daten sicher. Um die Daten lesen und nutzen zu können, ist der korrekte Schlüssel notwendig. Unautorisierte Zugriffe von außen lohnen sich dann nicht mehr. Fremde Regierungen, wie zum Beispiel die Vereinigten Staaten, die durch den Cloud Act auch ausländische Daten auf Servern innerhalb ihrer Grenzen Zugriff hätten, sehen höchstens unleserliches Kauderwelsch. Und selbst Datendiebe wären enttäuscht von ihrer Beute.

Daher darf der Schlüssel nicht offen in der Cloud liegen. Unterschiedliche Software und Skripte machen möglich, dass verschlüsselte Daten weiterverarbeitet werden können. Die Verschlüsselungsvarianten sind inzwischen vielfältig und werden stetig weiterentwickelt. So existieren viele Open Source Tools oder Freeware, aber auch kostenpflichtige oder integrierte Angebote der Provider. Zudem sind Cloud Firewalls und HTTPS-Verbindungen unabdingbar.

In puncto Cloud Hosting sind Hybridlösungen ebenfalls eine gute Sicherheitsstrategie. Dabei verbinden Anwender die Vorteile der Private und Public Cloud: einerseits die regulatorischen Möglichkeiten der Private Cloud, andererseits die Flexibilität und Skalierbarkeit der Public Cloud. 27 % von 200 befragten Unternehmen bestätigen laut IDC hybride Clouds in ihrem produktiven Alltag.

Quelle: IDC Studie zu Cloud Computing 2020


Zu guter Letzt: Die Endpunkte, also die benutzten Endgeräte, dürfen nicht nicht vergessen werden. Was eigentlich auf der Hand liegt, bleibt oft außen vor. Auch Anwender-Hardware gilt es zu schützen, andernfalls gelangen bereits kompromittierte Daten in den Safe.

Fazit: Cloud Security als Teil der IT-Strategie unabdingbar

Will ein Unternehmen in die Cloud migrieren, muss das Thema Cloud Security ein fester Bestandteil der IT-Strategie sein. So kann sichergestellt werden, dass von Anfang an die richtigen Maßnahmen getroffen werden können. Bei der Auswahl eines geeigneten Cloud-Anbieters sollte daher auf spezifische DSGVO-Zertifikate und deutschlandspezifische Angebote geachtet werden. Einige Provider bieten auch (DSGVO-konforme) Verschlüsselungstechniken bei der Datenübertragung an. Beraten Sie sich mit Ihrer IT-Abteilung und falls vorhanden mit Ihrem Data Team, welche weiteren Sicherheitsmaßnahmen nötig sind, um Ihrer Unternehmens-Compliance zu folgen. Es kann auch hilfreich sein, externen Input von Cloud-Experten einzubeziehen, die sich tagtäglich mit diesen Themen auseinandersetzen, und routiniert bei der Strategieausarbeitung und Risikoabwägung assistieren können.

Sind die Faktoren der Infrastruktur, des Datenschutzes und der Compliance alle berücksichtigt worden, ist auch der Safe in den Wolken optimal geschützt und sicher.

Interessieren Sie sich für eine Cloud Lösung?

Die Wahl für den richtigen Cloud Service ist selten leicht. Als Partner beider führenden Cloud Solutions unterstützen wir Sie gerne jederzeit, die zu Ihren Anforderungen passenden Services zu identifizieren und für Microsoft Azure und Amazon Web Services zu prüfen.
azure_weiß
Als Microsoft Silver Partner unterstützen wir Ihre Organisation und Ihre Fachbereiche bei der Cloud Migration u.a. zu Microsoft Azure. Besuchen Sie unsere Partnerseite, um mehr über unseren Azure Support zu erfahren.
aws white
AWS überzeugt mit großem Serviceportfolio und hohem Innovationstempo. Als Partner helfen wir Ihnen, Ihre bestehenden Anwendungen schneller, einfacher und kostengünstiger in die Cloud zu verlagern.