Cloud-Sicherheit: Darauf kommt es an!

Die ganze Welt spricht Cloud. Auch in Deutschland nutzen 84 Prozent der Unternehmen Cloud-Lösungen, wie eine Studie belegt. Doch wie viele von den Cloud-Nutzern sind IT-Muttersprachler und verstehen, wie ein Cloud-System funktioniert und wie sie es schützen können?

Um eine Sprache sicher zu beherrschen, sind Grammatik-Grundlagen nötig. Genauso verhält es sich, wenn Sie in Ihrem Unternehmen Cloud „sprechen“. Es reicht nicht, alle Daten in der Cloud zu „sichern“ bzw. abzulegen und alle bekannten IT-Sicherheitsrisiken sind beseitigt.

Um „fließend“ Cloud zu sprechen und Cloud-Lösungen sicher – ohne Verlust oder ungewollte Einsicht in Ihre Daten – in Ihrem Unternehmen einzusetzen, brauchen Sie ein grundlegendes Verständnis von Cloud-Computing und Cloud-Sicherheit.

Zum Einmaleins der Cloud-Sprachgrundlagen gehört unter anderem, die Antworten auf folgende Fragen zu kennen:

• Was ist Cloud-Sicherheit?
• Wie funktioniert Cloud-Computing?
• Wieso ist Cloud-Sicherheit wichtig?
• Was brauchen Sie, damit Daten sicher in der Cloud gespeichert werden?

Was ist Cloud-Sicherheit?

Cloud-Sicherheit (Englisch: cloud security) ist ein Teilbereich der IT-Sicherheit. Im Allgemeinen geht es bei IT-Sicherheit darum, Ihr Computer-Netzwerk vor Viren zu schützen; darum, dass Ihre Daten nicht verlorengehen und Unbefugte keinen Zugang erhalten.

Cloud-Sicherheit bedeutet, speziell die Cloud-Umgebung durch vielerlei Maßnahmen zu schützen, die Daten zu sichern und deren Verfügbarkeit zu gewährleisten.

Damit Sie besser einschätzen können, wie wichtig Cloud-Security für Ihr Unternehmen ist, erklären wir zunächst, wie Cloud-Computing funktioniert und gehen dann näher auf die Ziele der Cloud-Sicherheit ein.

Wie funktioniert Cloud-Computing?

Früher war die ganze IT-Infrastruktur im eigenen Unternehmen zentralisiert. Das beinhaltete sowohl die Hardware als auch die Software sowie das gesamte Netzwerk. Heute nutzen die meisten Unternehmen Datenspeichersysteme und Rechenleistungen verschiedener Cloud-Anbieter.

Was hat sich dadurch geändert?

Sie und Ihre Mitarbeiter rufen Daten im Arbeitsalltag auf Ihrem Endgerät ab. Software und die dafür benötigte Hardware wie Server, physikalische Netzwerke und Datenspeicher verwaltet Ihr Cloud-Anbieter. Sie bedienen lediglich die Terminals – und speichern, bearbeiten und verwalten beispielsweise Dokumente, Videos und Informationen. Ob Sie dafür Ihr Smartphone oder Ihren Laptop nutzen, spielt keine Rolle. Sobald Sie mit dem Internet verbunden sind, haben Sie Zugriff auf die Daten und können diese weiterverarbeiten. Damit erleichtert die Cloud auch das mobile Arbeiten.

Was ist auch mit cloud-basierten Anwendungen gleich geblieben?

Risiken wie der Verlust, die Beschädigung oder der Raub Ihrer Daten bestehen zunächst auch weiterhin, wenn Sie eine cloud-basierte Anwendung nutzen. Ihre Daten liegen statt auf Ihren Servern auf denen eines IT-Dienstleisters, aber die Technologien dahinter sind dieselben und deshalb noch genauso schutzbedürftig.

Liegt die Verantwortung der Cloud-Sicherheit einzig und allein bei den Anbietern? Die Antwort darauf hängt davon ab, welche Cloud-Services Sie wählen. Dementsprechend verschieben sich Verantwortlichkeiten zwischen Ihnen und Ihrem Cloud-Anbieter.

Welche Cloud-Services gibt es?

Es wird grundsätzlich unterschieden zwischen Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Der Zusatz „as-a-Service“ meint dabei jeweils die Bereitstellung als Dienstleistung bzw. Service via Internet.

• Infrastructure-as-a-Service bietet Ihnen die Möglichkeit, die Infrastruktur Ihres Anbieters zu nutzen, um beliebige Betriebssysteme und Anwendungen in Ihrem Unternehmen einzusetzen. Das ist deshalb attraktiv, weil Sie, wie bei den anderen „as-a-Service“-Dienstleistungen auch, keine eigene Hardware anschaffen und warten müssen.
• Platform-as-a-Service stellt Ihnen die Infrastruktur sowie Programmier-Elemente zur Verfügung, damit Sie Ihre eigenen Anwendungen entwickeln und ausführen können. So nutzen Sie das Programmiergerüst Ihres Anbieters wie ein Baukastensystem. Über eine Internet-Schnittstelle greifen Sie auf die bereitgestellte Platform zu.
• Software-as-a-Service ist der umfangreichste Cloud-Dienst. Mit SaaS entscheiden Sie sich für einen Full-Hosting-Service. Anwendungen, Daten, Infrastruktur und Rechenleistung verwaltet Ihr Cloud-Anbieter. Sie bekommen alles über eine App oder über den Webbrowser bereitgestellt.

Der Leistungsumfang der Cloud-Anbieter nimmt von IaaS zu SaaS immer weiter zu. Je mehr Leistungen Sie von einem Provider beziehen, desto mehr Verantwortung trägt dieser in Sachen Cloud-Sicherheit. Dabei sind Sie als Kunde jedoch immer auch mitverantwortlich. Inwiefern? Das erfahren Sie, wenn wir jetzt gemeinsam vertiefen, wie Cloud-Sicherheit funktioniert und welche Komponenten dabei zu schützen sind.

Cloud-Sicherheit: Ziele

Im Einzelnen verfolgt Cloud-Security folgende Schutzziele:

1. Verfügbarkeit: Cloud-Nutzung bedeutet für Sie, dass Sie über jedes beliebige Gerät auf Ihre Daten zugreifen können. Um das zu ermöglichen, müssen alle technischen Komponenten der Cloud-Umgebung geschützt werden. Nur so ist der IT-Prozess glatt und Ihre Daten für Sie immer verfügbar.
2. Vertraulichkeit: Sie sind gesetzlich verpflichtet, personenbezogene Daten zu schützen. Informationen nur innerhalb eines beschränkten Personenkreis auszutauschen und zu verhindern, dass Daten an Dritte weitergegeben oder veröffentlicht werden, ist ein wichtiges Anliegen der Cloud-Sicherheit.
3. Integrität: Um sich darauf zu verlassen, dass Ihre Daten korrekt, vollständig und konsistent sind, müssen die Cloud-Sicherheitsmaßnahmen im ersten Schritt den Zugriff für Unbefugte blocken, während sie gleichzeitig protokollieren, wann welcher Mitarbeiter Ihre Daten verändert.

Um diese IT-Schutzziele zu erreichen, müssen Sie gemeinsam mit Ihrem Cloud-Anbieter folgende Komponenten lückenlos schützen:

1. Physikalische Netzwerke – Router, Stromversorgung, Verkabelung, Klimasteuerung usw.
2. Datenspeicherung – Festplatten usw.
3. Datenserver – Hardware und Software für das Kernnetzwerk
4. Virtualisierungssoftware – Software für virtuelle Maschinen, Host-Rechner und Gast-Rechner
5. Betriebssysteme (OS) – Software, die alle Computerfunktionen unterstützt
6. Middleware – Verwaltung der Programmschnittstelle auch bekannt als API (Application Programming Interface)
7. Laufzeitumgebungen – Ausführung und Aufrechterhaltung eines laufenden Programms
8. Daten – alle gespeicherten, geänderten und abgerufenen Informationen
9. Anwendungen – traditionelle Softwaredienste (E-Mail, Steuersoftware, Produktivitätssuites usw.)
10. Enduser-Hardware – PC, Smartphone, Geräte für das Internet der Dinge (Internet of Things, IoT)

Je nachdem, welchen Cloud-Service Sie nutzen, unterscheiden sich die Eigentumsverhältnisse dieser Komponenten – und es sind entsprechend Sie oder Ihr Cloud-Anbieter für den jeweiligen Schutz zuständig.

• Wählen Sie beispielsweise SaaS als Cloud-Modell, dann verantwortet der Anbieter die Punkte eins bis neun. Sie sind in Ihrem Unternehmen für Punkt zehn, die Enduser-Hardware, zuständig.
• Nutzen Sie Paas, so kümmert sich Ihr Provider um die Komponenten eins bis sieben und Sie sind für den Schutz von Daten, Anwendungen und Enduser-Hardware (Punkt acht bis zehn) verantwortlich.
• Verwenden Sie IaaS, schützt Ihr Anbieter Punkt eins bis vier, während Sie die Punkte fünf bis zehn übernehmen.

Unabhängig davon, für welchen Service Sie sich entscheiden, beginnt erfolgreiche Cloud-Sicherheit damit, dass Sie einen zuverlässigen Anbieter auswählen. Denn viele Anbieter arbeiten nur mit einem Basis-Schutz, weshalb Sie bei der Wahl genauer hinsehen sollten. Als Hilfestellung finden Sie in diesem Artikel einige Tipps des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Neben den Cloud-Services sollten Sie auch die jeweiligen Speicher- und Bereitstellungsmodelle berücksichtigen, denn sie unterscheiden sich in der jeweiligen Sicherheitsstufe. Jedes Speicher-Modell ist für bestimmte Anwendungsszenarien sinnvoll.

Diese Cloud-Speicher gibt es:

• Public Cloud: In der Public Cloud stellt Ihr Anbieter seine Services via Internet allen Kunden unterschiedlicher Unternehmen gleichzeitig zur Verfügung. Dieses Bereitstellungsmodell ist ein offenes Netz, auf das jeder Zugriff hat. Zwar agiert jeder Nutzer unabhängig, aber alle nutzen denselben Ressourcen-Pool. Der Vorteil hierbei sind niedrigere Kosten, während der Nachteil die geringere Sicherheit ist.
• Private Cloud: Bei der Private Cloud handelt es sich um ein geschlossenes Netz, welches nur für einen bestimmten Nutzerkreis aufgestellt wurde. Zum Beispiel für die Nutzung innerhalb eines Unternehmens, bei dem nur die Mitarbeiter Zugriff erhalten. Das kostet, im Vergleich zu einem in der Public Cloud angebotenen Service, mehr. Doch es bedeutet auch mehr Kontrolle und höhere Sicherheit. Da nur ausgewählte Nutzer Zugriff auf die Private Cloud haben, können wir auch von einer Unternehmens-Cloud sprechen.

Im Gegensatz zur Public Cloud werden Ressourcen nicht geteilt, sondern ausschließlich von autorisierten Personen im Unternehmen genutzt. Die Private Cloud lässt sich daher individueller auf Ihre Kundenbedürfnisse zuschneiden.

Genau genommen gibt es diese zwei Cloud-Speicher: Private Cloud und Public Cloud. In der Praxis werden die beiden Modelle aber oft auch miteinander kombiniert:

• Hybrid Cloud: Die Hybrid Cloud verbindet die Vorteile der Public Cloud mit denen der Private Cloud. Sie profitieren neben der hohen Flexibilität somit auch von den niedrigeren Kosten der Public Cloud und dem höheren Schutz von Daten in der Private Cloud. Die Hybrid-Cloud-Infrastruktur verwaltet diese beiden Cloud-Arten in einem gemeinsamen System.
• Multi Cloud: Der Begriff „Multi Cloud“ beschreibt, dass Sie mehrere Anbieter und Cloud-Bereitstellungsmodelle parallel nutzen. Die verschiedenen Cloud-Systeme werden in der Multi-Cloud-Umgebung miteinander vernetzt. Das heißt, eine Hybrid Cloud kann ebenfalls Teil einer Multi Cloud sein.

Die Cloud-Speicher zu unterscheiden und zu wissen, wie Sie sie kombinieren können, hilft Ihnen dabei, zu entscheiden, welcher Speicher in Ihrem Anwendungsfall sinnvoll ist. Wichtig dabei ist, die Cloud-Speicher miteinander zu vergleichen, da diese je nach Anbieter unterschiedlich intensiv geschützt werden.

Whitepaper

Vorteile und rechtliche Grundlagen zur Datenspeicherung in der Cloud

Kompakt zusammengefasst: die wirtschaftlichen Vorteile, die ein Wechsel in die Cloud mitbringt in Kombination mit Datenschutz- und Sicherheitsbedenken.

Laden Sie sich hier das Whitepaper herunter:

 

Cloud-Computing Sicherheitsrisiken: Bedrohungen und Herausforderungen für die Cloud-Security

Viele Cloud-Anbieter arbeiten mit einem Basis-Schutz, der die absoluten Mindestansprüche an die IT-Sicherheit erfüllt. Das ist zu schwach.

Cloud-Computing macht vieles möglich. Zum Beispiel, remote zu arbeiten, weil Sie von überall auf Ihre Daten zugreifen können. Gleichzeitig bedeutet das aber auch neue Herausforderungen in puncto Cloud-Sicherheit. Inwiefern? Während die IT früher bildlich gesprochen einen Wassergraben gezogen und eine Burg um die IT-Landschaft in Ihrem Unternehmen gebaut hat, sind heute viele einzelne Lager entstanden. Diese einzelnen Lager zu schützen, ist herausfordernd.

Welche Herausforderungen sind das im Einzelnen?

#1 Migration – Risiko für die Cloud-Security

Statt alle Daten direkt in die Cloud umzuziehen und die neue Anwendungen im Unternehmen sofort für alle Mitarbeiter freizuschalten, sollten Sie diese erst einmal testen. So vermeiden Sie, von Inkompatibilitätsproblemen überrascht zu werden.

Was ist die Lösung?

Nehmen Sie sich für den Wechsel Zeit und erstellen Sie eine Liste der Assets, Systeme und Services, die Sie im Unternehmen in die Cloud umziehen. Besprechen Sie dies vorab mit Ihrem Cloud-Anbieter und fragen Sie nach der Kompatibilität.

#2 Verlust der Übersicht – Risiko für die Cloud-Security

Verschiedene Unternehmensstandorte, eine Vielzahl an Endgeräten und unterschiedliche Cloud-Speicher (Private Cloud oder Public Cloud) können Cloud-Computing schnell unübersichtlich werden lassen. Hinzu kommt, dass Abteilungen innerhalb eines Unternehmens die Cloud-Anwendungen unterschiedlich nutzen.

Was ist die Lösung?

Benennen Sie einen Verantwortlichen, der sich um die Cloud-Strategie kümmert und Best Practices kommuniziert.

#3 Fehlende Konfiguration der Cloud-Dienste – Risiko für die Cloud-Security

Die Standard-Sicherheits-Einstellung Ihrer Cloud-Anwendungen muss von Ihnen und jedem Ihrer Mitarbeiter selbst konfiguriert werden. Denn nur so können Sie einige der Datenlecks beheben. Versäumen Sie es, die Standard-Einstellungen zu konfigurieren, erhalten mehr Menschen als beabsichtigt Einsicht in Ihre Daten.

Dies ist besonders zu beachten, wenn Sie Informationen mit jemandem teilen, der selbst den Cloud-Dienst nicht nutzt. Es gibt unterschiedliche Verfahren, um hier auf Nummer sicher zu gehen.

Was ist die Lösung?

Instruieren Sie jeden Mitarbeiter, diese Sicherheits-Einstellung vor der erstmaligen Cloud-Nutzung entsprechend zu konfigurieren.

#4 Mangelnder Passwortschutz – Risiko für die Cloud-Security

Einige lassen sich dazu verlocken, ihre Informationen wie Benutzernamen und Passwort im Browser zu speichern, sodass sie beim Öffnen der Cloud-Anwendungen direkt hinterlegt sind. Der Anmeldeprozess ist dadurch einfach, aber auch risikoreich. Schadprogramme und Dritte erhalten ebenfalls leichten Zugang zu Ihren Daten und Anwendungen. Auch unsichere Passwörter erleichtern es Hackern, Daten zu klauen.

Was ist die Lösung?

Wählen Sie starke Passwörter und bewahren Sie diese sicher auf. Authentifizieren Sie sich unbedingt mehrfach. Beispielsweise über einen einmalig gültigen Zugangs-Code oder Ihren Fingerabdruck. Fragen Sie Ihren Cloud-Anbieter dahin gehend nach verfügbaren Lösungen.

#5 Unsichere Internetverbindung – Risiko für die Cloud-Security

Wenn Sie und Ihre Mitarbeiter unsichere Netze – wie beispielsweise WLAN-Hotspots an Flughäfen – nutzen, können Dritte sich in Ihre Datenübertragung einklinken.

Was ist die Lösung?

Um zu vermeiden, dass Unbefugte Ihre Daten einsehen, nutzen Sie ausschließlich sichere Netze und verschlüsselte Datenübertragungen.

#6 Unsichere APIs – Risiko für die Cloud-Security

APIs sind Schnittstellen, über die verschiedene Programme bzw. Anwendungen miteinander kommunizieren können. Sind diese nicht ausreichend gesichert, haben Hacker leichten Zugriff.

Was ist die Lösung?

Je nachdem, welchen Cloud-Service Sie gewählt haben, müssen diese Schnittstellen von Ihrem Provider oder von Ihren Entwicklern mehrfach geschützt werden.

Das sind einige Fragen, die Sie dabei stellen sollten:

• Zugriffssteuerung: Durch welche Maßnahmen wird gewährleistet, dass nur Berechtigte Zugang erhalten und dies lediglich zu den ausgewählten Informationen?
• Verschlüsselung: Wie werden die Daten bei der Übertragung verschlüsselt?
• Authentifizierung: Welche Maßnahmen gewährleisten, dass die Identität mehrfach geprüft wird?

#7 Compliance-Anforderungen – Risiko für die Cloud-Security

Personenbezogene Daten sind gemäß der DSGVO besonders zu schützen. Das betrifft alle Daten, die Rückschlüsse auf eine Person ermöglichen. Jedes Unternehmen verarbeitet zumindest personenbezogene Daten von Kunden oder Mitarbeitern. Behörden sowie Energiedienst- und Telekommunikationsdienstleister fallen dabei vermehrt auf. Deshalb ist es zwingend notwendig, dass sich Ihr Cloud-Provider ebenfalls an die gesetzlichen Vorschriften der DSGVO hält, um alle Anforderungen zu erfüllen.

Was ist die Lösung?

Informieren Sie sich unbedingt darüber, wo die Rechenzentren Ihres Cloud-Anbieters stehen und welchen Gesetzen dieser unterliegt. Fragen Sie Ihren Anbieter nach den Maßnahmen zum Schutz von personenbezogenen Daten.

Für jede dieser sechs Herausforderungen gibt es entsprechende Sicherheitslösungen. Ob es Ihnen gelingt, ein ganzheitliches IT-Sicherheitskonzept umzusetzen, steht und fällt mit der Auswahl des richtigen Cloud-Anbieters. Wie können Sie diese Aufgabe bewältigen?

Höhere Cloud-Sicherheit: Tipps des BSI zur Wahl Ihres Cloud-Anbieters

Da Datenschutz und Datensicherheit nur im Team erfolgreich umgesetzt werden können und Sie einen Teil der Verantwortung einem Cloud-Anbieter übertragen, kommt es darauf an, diesen wohlüberlegt zu wählen. Dieser muss die „Cloud-Sicherheits-Grammatik“ wie ein IT-Muttersprachler beherrschen, sonst entstehen Risiken für Ihre Cloud-Security. Wie können Sie die „Sprachkenntnisse“ eines Anbieters prüfen? Gibt es rationale Fakten, um Cloud-Provider zu beurteilen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt diese Fakten bereit:

• Zertifikate: Eine Zertifizierung ist für Cloud-Provider freiwillig. Ein unabhängiges Institut stellt dabei fest, ob Sicherheitsstandards und gesetzliche Vorgaben erfüllt und eingehalten werden. Das BSI selbst hat ebenfalls einen Prüfkatalog entwickelt und vergibt an Cloud-Anbieter, die diese Sicherheitskriterien erfüllen, das C5-Zertifikat. Sie als Kunde haben durch diese Zertifikate einen Nachweis, der Vertrauen in die Cloud-Sicherheit des Anbieters schafft.
• Standort des Cloud-Anbieters: Informieren Sie sich unbedingt darüber, wo der Hauptsitz Ihres Cloud-Anbieters ist und wo die Rechenzentren stehen. Denn ein Cloud-Anbieter mit Sitz in Deutschland kann seine Rechenzentren trotzdem im Ausland betreiben, wodurch die gesetzlichen Vorschriften zum Thema Datenschutz und Datensicherheit des anderen Staates gelten.

Um die Frage zu beantworten, welche Cloud am sichersten ist, nutzen Sie die rationalen Kriterien, die das Bundesamt für Sicherheit in der Informationstechnik bereitstellt. So können Sie Ihren Cloud-Provider auf Herz und Nieren prüfen.

Höchste Cloud-Sicherheit mit DRACOON

Allein die Tatsache, dass Sie Cloud-Computing nutzen, bedeutet nicht, dass Sie Ihre Daten auch sicher in der Cloud speichern. Für eine sichere Cloud sind vielfältige Maßnahmen erforderlich. Angefangen bei Ihrer Wahl des Cloud-Providers bis zum Umgang jedes Endnutzers mit den Anwendungen. Cloud-Sicherheit gelingt nur im Team!

Wir von DRACOON gehen über den Basis-Schutz der meisten Cloud-Anbieter weit hinaus. Warum? Weil Ihre Daten Ihnen gehören – und zwar nur Ihnen! Damit uns das gelingt, arbeiten wir mit einer lückenlosen Ende-zu-Ende-Verschlüsselung. So können Inhalte, die von Ihnen und Ihren Mitarbeitern bearbeitet und versandt werden, nicht vom Anbieter – also von uns – eingesehen werden.

Wie funktioniert das?

Nur befugte Personen können die Dokumente öffnen. Wie? Durch eine Ende-zu-Ende-Verschlüsselung kombiniert mit einer clientseitigen Verschlüsselung. So verbleibt der Schlüssel immer beim Client, bei Ihnen. Da der Cloud-Anbieter diesen Client-Schlüssel nicht hat, können die Daten nicht geöffnet oder eingesehen werden.

Warum ist das so wichtig?

Nutzen Sie einen Anbieter, für den Ihre Dokumente unsichtbar sind, kann dieser Ihre Daten auch nicht auf Anfrage aushändigen. Was er nicht hat, kann er nicht herausgeben. So können Sie auf höchste Sicherheit Ihrer Daten vertrauen! Auf diese Weise nutzen Sie alle Vorteile von Cloud-Computing und haben trotzdem die volle Datenkontrolle.

Wir von DRACOON lassen uns und unsere Cloud-Lösung betriebsunabhängig prüfen und sind mehrfach zertifiziert – unter anderem vom BSI. So beweisen wir Ihnen, dass Sie sich bei uns auf höchste Sicherheit verlassen können.