In den letzten Jahren ist im Cloud-Markt einiges in Bewegung geraten. Vor allem Sicherheitsbedenken waren der Grund dafür, dass Cloud-Lösungen in Deutschland anfangs nur zögerlich angenommen wurden. Diese aber scheinen mehr und mehr den Cloud-Vorteilen zu weichen. Zudem werden die virtuellen Wolken zunehmend sicherer. Auch wenn Unternehmen die Cloud noch immer nicht stürmen, nutzen mittlerweile fast alle den einen oder anderen Cloud-Service. Viele IT-Abteilungen in Unternehmen stellen sich häufig immer noch die Frage, ob der externe Datenspeicher in einer Cloud tatsächlich sicherer ist als in der eigenen IT-Infrastruktur. Wir stellen Ihnen hier relevante Aspekte in punkto Cloud-Security vor.
Inhaltsverzeichnis:
Definition: Was ist Cloud-Security?
Viele Aufgaben für die Cloud-Security
Fünf Aspekte der Cloud-Security
Maßnahmen für eine höhere Sicherheit in der Cloud
Fazit
Definition: Was ist Cloud-Security?
Dank Cloud-Computing lagern Unternehmen zum einen Anwendungen, Daten und IT-Infrastrukturen aus und sparen damit Ressourcen sowie Kosten. Zum anderen profitieren sie von Anwendungsplattformen und vielfältigen Cloud-Services. Meist sind diese öffentlich zugänglich oder werden von mehreren Usern genutzt, sodass durch eine Cloud-Nutzung auch die Sicherheitsrisiken steigen.
Cloud Security wird im allgemeinen wie folgt definiert: Cloud-Sicherheit oder Cloud-Security bezieht sich auf eine breite Palette von Richtlinien, Technologien, Anwendungen und Steuerelementen, die zum Schutz virtualisierter IP-Adressen, Daten, Anwendungen, Diensten und der zugehörigen Infrastruktur von Cloud-Computing verwendet werden. Es ist eine Unterdomäne der Computersicherheit, der Netzwerksicherheit und allgemein der Informationssicherheit.
Cloud-Sicherheit steht im Fokus
Mittlerweile scheint sich der Nutzen von Cloud Computing gegen alle Sicherheitsbedenken durchgesetzt zu haben. Allerdings haben die
Cloud-Provider auch eine Menge dafür getan, den Security-Level ihrer virtuellen Anwendungen in der Wolke anzuheben. Sie haben es sogar geschafft, dass ihre Services gerade wegen der höheren Sicherheit genutzt werden. De facto nehmen andererseits Vorfälle hinsichtlich der Sicherheit bei Cloud-Angeboten zu, was aber aus der Tatsache resultiert, dass inzwischen immer mehr Unternehmen die Cloud nutzen.
Clouds in Deutschland fast flächendeckend im Einsatz
Auch wenn es in Deutschland mit der Cloud bis vor kurzem gefühlt nur schrittweise voranging – seit einiger Zeit scheint der Damm gebrochen: Laut der Studie „Cloud Security 2019“ von IDG Research Services verwenden, planen oder prüfen eine Nutzung von Cloud-Services fast 92 Prozent der deutschen Unternehmen. Dabei ist die Private Cloud mit 61 Prozent besonders beliebt. Public Clouds folgen mit 45 Prozent an zweiter Stelle, Hybrid Clouds sind zu 32 Prozent im Einsatz, Community Clouds und Multi-Clouds liegen bei 20 Prozent. Die Wahl des Bezugsmodells hängt vom Sicherheitsempfinden ab: So erhält die Private Cloud eine 2,4. Multi-Clouds eine 2,7 und Community Clouds eine 2,8. Bei der Entscheidungsfindung spielt der Preis eine kleinere Rolle als die Sicherheit.
Clouds sind stark von Cyber-Angriffe bedroht
Auch wenn die Unternehmen Cloud-Services im Großen und Ganzen trauen, hat fast die Hälfte (47 Prozent) Cyber-Angriffe erlebt. Zwölf Prozent sind sich nicht sicher, ob eine Online-Attacke auf ihre Cloud-Dienste stattgefunden hat. Kein Wunder, dass Cloud-Security in Bezug auf die
Cloud-Nutzung eine große Bedeutung zukommt. Es gibt auf dem Gebiet noch eine Menge zu tun! Dabei setzen die Unternehmen auf traditionelle Sicherheitsstrategien wie Verschlüsselung, Firewall und lokale Backups.
Größtes Risiko bei Public und Hybrid Cloud
Insbesondere die Public Cloud und die Hybrid Cloud nehmen in Zusammenhang mit Cloud-Security einen wichtigen Stellenwert ein, da sie öffentlich zugänglich sind. Vor allem die Anforderungen an den Datenschutz lassen sich nicht so konsequent und kontrollierbar umsetzen wie in eigenen Infrastrukturen. Wie zum Beispiel können Sie garantieren, dass der Cloud-Provider die Personendaten wirklich hundertprozentig löscht? Sie als Dateneigentümer können die entsprechenden Informationen nicht lokalisieren. Sie können sich noch nicht einmal nach der Kündigung eines Cloud-Services sicher sein, dass alle Daten komplett gelöscht wurden. Bei virtuellem Webspace ohne eigenem physikalischen Server kommt eine mangelnde Trennung von Kundenanwendungen hinzu. Die Gefahr des unerlaubten Zugriffs durch Dritte erhöht sich.
Viele Aufgaben für die Cloud-Security
Neben Vertraulichkeit und Authentizität durch Verschlüsselung, rücken Nachvollziehbarkeit von Änderungen an Daten (Revisionsfähigkeit) und die Kontrolle von unerwünschtem Datenabfluss ins Visier. Cloud Provider müssen ein nachhaltiges und hohes Sicherheitsniveau ihrer Infrastruktur garantieren, wie zum Beispiel die ISO 27017, ISO 27018 und den Anforderungskatalog Cloud Computing (C5) des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Im gleichen Zuge werden die Sicherheitskomponenten selbst als Cloud-Services angeboten. So sind beispielsweise Elemente, die vormals im lokalen Rechenzentrum zur Internetabsicherung eingesetzt wurden, jetzt als Cloud-Dienste üblich. Dazu zählen Secure Web Gateways (SWGs) und Systeme für die Erkennung und Abwehr von Angriffen, inklusive Security Information and Event Management (SIEM). Dabei unterstützt KI die Anwendungen, um Anomalien und Angriffsmuster schneller zu identifizieren.
Datenschutz wichtiges Auswahlkriterium für die Cloud-Nutzung
Insbesondere in Zusammenhang mit dem Datenschutz und der DSGVO zielt der Fokus der Cloud-Sicherheit auf die Informationen selbst ab. Laut der genannten Studie „Cloud Security 2019“ schreiben die Befragten dem Datenschutz eine hohe Bedeutung zu. So haben 35 Prozent der Unternehmen Sicherheitsbedenken. 29 Prozent nennen Datenschutzfragen als Gründe gegen die Cloud-Nutzung. Gleichzeitig hoffen sie durch die Nutzung von Cloud-Services auf ein höheres Sicherheits- und Datenschutzniveau (34 Prozent und 32 Prozent).
Im Zuge der DSGVO ist umfassender Datenschutz ein Muss und wird bei Nichterfüllung mit empfindlich hohen Strafen geahndet. Cloud-Dienste werden dabei als Auftragsverarbeiter eingestuft. Dazu heißt es in der DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Zusammengefasst: Erst, wenn ein Unternehmen vom ausreichenden Datenschutz überzeugt ist, darf es einen Cloud-Anbieter beauftragen. Eine mögliche Garantie und ein Nachweis kann zum Beispiel eine Datenschutz-Zertifizierung auf Grundlage der EU-Verordnung sein. Für die Provider ist dies zugleich eine Chance, bislang zu wenig beachtete Cloud-Risiken zu optimieren.
Cloud-Security: Ein Aspekt der IT-Sicherheit
Viele Aspekte der Sicherheit für Cloud-Umgebungen ähneln denen der lokalen IT-Architektur. Auch die Gefahren, die lauern, betreffen sowohl traditionelle IT- als auch Cloud-Systeme. Dazu gehören unbefugte Datenoffenlegungen und -lecks, schwache Zugangskontrollen, Anfälligkeit für Attacken sowie Verfügbarkeitsunterbrechungen. Eine nachhaltige Cloud-Security
- sorgt für den Schutz Ihrer Daten und Systeme,
- kontrolliert den aktuellen Sicherheitsstatus,
- löst Alarm bei ungewöhnlichen Vorkommnissen aus
- und reagiert auf unerwartete Ereignisse.
Je komplexer der Cloud-Dienst, desto anspruchsvoller die Cloud-Security
Die Risiken, die beim Einsatz von Cloud-Computing bestehen, finden sich in erster Linie in den genutzten Systemkomponenten selbst. Oftmals ergeben sie sich aus einem Zusammenspiel von mehreren Tools. Das kann unterschiedliche Gründe haben: fehlerhafte Konfigurationen, Mängel in der Programmierung, Cyber-Angriffe oder technisch bedingte Betriebsausfälle. Kein Wunder, dass Spezialisten der Cloud-Sicherheit so viel Bedeutung beimessen – um so mehr beim Einsatz von Cloud-Diensten in wertschöpfenden Geschäftsprozessen.
Prozesse und Verhaltensregeln definieren
Dabei basiert ein hohes Cloud-Security-Niveau auf dem optimalen Zusammenwirken von Verhaltensregeln, Prozessen und technischen Vorgaben. Diese müssen nicht nur technische Sicherheitsaspekte berücksichtigen, sondern auch sicherstellen, dass gesetzliche und branchenspezifische, regulatorische Vorschriften umgesetzt werden. Daher stellt nur das optimale Zusammenwirken aller an der Cloud-Security beteiligten Systemkomponenten sicher, dass der Cloud-Service das den Kunden zugesagte Sicherheitsniveau erreicht.
Fünf Aspekte der Cloud-Security
Im Rahmen von Cloud-Security gilt es, die Sicherheitsrisiken stetig zu minimieren. Cloud-Security betrifft folgende Bereiche:
- die physische Sicherheit: Ohne Rechenzentren geht gar nichts. Sie müssen sicher und robust aufgebaut sein. Die Zugangsprozesse müssen detailliert definiert sein. Zugangskarten, Schleusen und Videoüberwachung gewähren ein Höchstmaß an Sicherheit.
- die Server- und Netzwerk-Sicherheit: In den Servern und dem Netzwerk spielt sich der ganze Blues ab. Sie sind das Hauptangriffsziel. Erste Priorität: Die Daten unterschiedlicher Cloud-Kunden trennen und die Server sicher konfigurieren.
- die Sicherheit der Plattform und der Anwendungen: Da Cloud-Anwendungen von Haus aus kompliziert sind, sollte deren Sicherheit in der Entwicklung von Anfang an ein hohes Augenmerk zugemessen werden. Unbedingt notwendig: ein regelmäßiger Check möglicher Schwachstellen.
- die Datensicherheit: In diesem Zusammenhang spielen Vertraulichkeit, Integrität und Verfügbarkeit die größte Bedeutung. Themen sind: Verschlüsselung, Rollen- und Funktionstrennung und eine DSGVO-konforme Datenschutzrichtlinie.
- Identitäts- und Zugriffsverwaltung: Der Zugang zu relevanten Systemkomponenten muss durchdekliniert sein. Das so genannte „Identity and Access Management“ sorgt dafür, dass nur autorisierte Personen auf kritische Anwendungen wie Hypervisoren, Datenbanken oder Firewalls Zugriff erhalten.
Auch wenn sich Cloud-Provider strenge Sicherheitsvorschriften auferlegen und strikte Compliance-Regeln befolgen, haben Dateneigentümer letztlich nur beschränkten Einfluss auf die Ablage ihrer Daten. Oftmals gibt es keine gänzliche Transparenz darüber, in welchen Ländern und auf welchen Servern Daten gespeichert werden. Noch komplizierter wird es, wenn der Cloud-Anbieter mit weiteren Subunternehmen zusammenarbeitet.
Für Cloud-Security sind beide Seiten verantwortlich
Oftmals arbeiten vielfältige einzelne Systemkomponenten bei Cloud-Services zusammen. Sie müssen optimal aufeinander abgestimmt sein, um reibungslos miteinander zu funktionieren. Aus diesem Grund müssen Cloud-Anbieter neben Hightech eine gute Bedienbarkeit bieten, ohne ein hohes Maß an Sicherheit aus den Augen zu verlieren. Allerdings: Sie sind nicht ganz alleine für eine ausreichende Security verantwortlich. Gleichermaßen müssen sich auch die Cloud-Nutzer um den sicheren Gebrauch der Cloud-Anwendungen kümmern.
Sie müssen dafür sorgen, die Cloud in die bestehende IT-Infrastruktur einzubinden, auf regelmäßige Updates zu achten und kontrolliert Zugangsrechte zuzuweisen, zum Beispiel mithilfe eines Dongles. Dieser ermöglicht eine sichere Hardware-basierte Authentifizierung für
Web-Anwendungen oder Web-Portale. Nur registrierte Anwender mit einem gültigen Sicherheits-Dongle können dann zugreifen. Dabei sind die Anwendungsmöglichkeiten vielfältig, zum Beispiel im Supportbereich für zahlende Kunden, zur Fernaktivierung und für Remote-Updates von Software oder Zugriffsverwaltung auf bestimmte Bereiche in Firmennetzwerken (zum Beispiel Administrationspanels). Zudem werden Informationen sicher auf dem Dongle aktualisiert. Beim Dongle wird die Verantwortung für die Cloud-Security geteilt: mit dem Dongle auf der Client-Seite (beim Anwender) und dem Webserver beim Softwareanbieter (Service Provider).
Maßnahmen für eine höhere Sicherheit in der Cloud
Um Cloud-Anwendungen abzusichern, stehen viele Maßnahmen zur Verfügung, die vor Datenverlust, Ausfall oder unbefugtem Zugriff schützen. Das optimale Cloud-Security-Paket umfasst Regeln, Prozesse und technische Lösungen, um dafür zu sorgen, gesetzliche Vorgaben zu achten, die Cloud-Infrastruktur und deren Applikationen zu schützen sowie Daten sicher zu verarbeiten und zu speichern. Dazu werden mit dem Cloud-Anbieter vertragliche Vereinbarungen zur Cloud-Security getroffen. Auch Worst-Case-Szenarien werden zusammen entwickelt. Hinzu kommt, dass der Provider belegen muss, dass und wie er die datenschutzrechtlichen Vorgaben erfüllt und über entsprechende Notfall- und Recovery-Prozesse verfügt. In der Regel werden den Kunden in Service Level Agreements (SLAs) definierte Verfügbarkeiten garantiert. Darin sind auch Reaktions- wie Wiederherstellungszeiten, Alarmierungsketten und Eskalationsstufen im Störungsfall exakt festgehalten.
Cloud-Security-Kategorien
In diesem Rahmen gibt es mehrere Maßnahmen-Kategorien:
- Abschreckende Maßnahmen: Wie der Name sagt, sollen sie Angreifer davon abhalten, in die Systeme nachhaltig einzudringen. Dazu gehört zum Beispiel das Androhen hoher Strafen bei einem Fortschreiten der Attacke.
- Vorbeugende Maßnahmen: Sie sorgen dafür, Schwachstellen so schnell wie möglich zu schließen und das System konsequent zu schützen. Auch starke Authentifizierungsstrategien, um unbefugten Zugriff auf Daten und Services zu verhindern, gehören zu möglichen Maßnahmen.
- Detektierende Maßnahmen: Sie lösen bei sicherheitsrelevanten Ereignissen Alarm aus und aktivieren gleichzeitig entsprechende Abwehrmechanismen.
- Korrigierende Maßnahmen: Ein Beispiel im Cloud-Umfeld sind Intrusion Detection Systeme (IPS). Sie korrigieren und halten Folgen möglichst gering. Backups sind ein Beispiel für korrigierende Maßnahmen.
Die CSA unterstützt bei Cloud-Security
Bei der Einführung von Sicherheitsmaßnahmen werden Cloud-Anbieter von der Cloud Security Alliance (CSA) unterstützt. Dies ist eine
Non-Profit-Organisation mit dem Ziel, Cloud Computing sicherer zu gestalten. Hierfür stellt die CSA Best-Practice-Lösungen sowie Informations- und Lehrmaterial zur Verfügung. Sie wurde 2008 gegründet und erstellte im Wiki-Stil einen Security Guide für das Cloud Computing. Mittlerweile kümmern sich mehr als 25 Arbeitsgruppen um unterschiedliche Themen rund um die Cloud-Security. Zum Aufgabenfeld der CSA zählen die
Cloud-Standards, Zertifizierungen, Ausbildung und Schulung, Hilfestellungen und Tools sowie Innovationen im Cloud-Umfeld.
Fazit zur Cloud Security
Es bewegt sich eine Menge hinsichtlich der Sicherheit von Clouds. Dieser Trend wird sich in den kommenden Jahren, auch durch eine zunehmende Nutzung von Cloud-Services, noch verstärken. Dabei sind die Cloud-Provider nicht alleine für eine ausreichende Cloud-Security verantwortlich. Auch die Cloud-Nutzer müssen auf der Client-Seite für die größtmögliche Sicherheit sorgen – ganz nach dem Motto „Doppelt hält besser!“.
Häufig gestellte Fragen zum Thema Cloud Security:
Was ist Cloud-Sicherheit?
Immer mehr der derzeit 130 Terrabyte an Daten, die auf rund 1 Milliarde Geräten weltweit gespeichert sind oder untereinander transferiert werden, liegen mittlerweile in der Cloud. Die zahlreichen Vorteile Cloud-basierter Systeme wollen viele Unternehmen nicht mehr missen, darunter etwa den Datenzugriff von überall aus, die problemlose Kooperationsmöglichkeit aller in Prozesse und Arbeitsabläufe involvierter Mitarbeiter, den theoretisch unbegrenzten Speicherplatz und nicht zuletzt die bequeme Auslagerung von Wartungen und Update-Prozessen. Aber auch und gerade bei dieser Form der Archivierung spielt die Daten-Security natürlich eine bedeutende Rolle. Unter Cloud-Sicherheit versteht man beim Cloud-Computing daher den umfassenden Schutz von Daten, Dokumenten, Anwendungen sowie Infrastrukturen durch den Anbieter.
Was ist Datensicherheit im Cloud-Computing?
Über die Datensicherheit wird beim Cloud-Computing sichergestellt, dass alle Daten und Services in einer Cloud geschützt sind vor Angriffen auf deren Integrität, Vertraulichkeit und Verfügbarkeit. Erreicht wird diese Sicherheit durch einen Passwortschutz sowie eine Verschlüsselung, die in der Phase der Datenkommunikation zwischen lokalem Rechner und dem Cloud-Dienst gewährleistet, dass Unbefugte keinen Zugriff auf die Daten erhalten können.
Sind Public Clouds sicher?
Anbieter von Public Cloud-Umgebungen bieten in aller Regel ein sehr hohes Niveau an Sicherheit – oft deutlich mehr, als primär kleinere und mittelständische Unternehmen überhaupt erreichen könnten. Voraussetzung dafür ist allerdings, dass auch die User ein gewisses Maß an IT-Sicherheit beitragen: Konten müssen ausreichend geschützt, die Cloud-Ressourcen richtig konfiguriert werden. Wenn dann auch noch für eine Durchsetzung von Compliance-Regeln sowie rechtlichen Vorgaben gesorgt wird, führt die Nutzung Cloud-basierter Security-Lösungen insgesamt oft zu einem deutlichen Sicherheitsgewinn gegenüber lokalen Systemen.
Warum ist Cloud Security wichtig?
Es ist äußerst wichtig, den Faktor Sicherheit von Anfang an in die Planungen Cloud-basierter Systeme mit einzubeziehen. In Zeiten der Multicloud werden Daten aufgeteilt zwischen lokaler Speicherung und Daten, die in Private Clouds, Public Clouds und Hybrid Clouds liegen. Um auch bei einer Verbindung unterschiedlicher Clouds miteinander eine optimierte Cloud Security zu erreichen, bedarf es eines umfassenden Sicherheitskonzepts innerhalb eines ganzheitlichen Ansatzes. Dabei müssen unter anderem Standards für die Security definiert, Guidelines festgelegt und nicht zuletzt das Notfallmanagement in der Cloud des Providers mit einbezogen werden. Nur so ist die unverzichtbare Sicherheit der oft hochsensiblen Daten in der Cloud zu jeder Zeit kompromisslos gewährleistet.