Cloudsicherheit - Schutz für ausgelagerte Daten

Damit liegen Sie voll im Trend. Nach Angaben des Statistischen Bundesamt nutzte 2020 bereits jedes dritte Unternehmen die Cloud, um flexibel auf Speicherplatz zugreifen zu können oder Cloud-Dienste zu verwenden. Die Vorteile liegen auf der Hand: Ressourcen lassen sich auf diese Weise passgenau skalieren und der Aufwand zur Unterhaltung einer lokalen IT-Infrastruktur entfällt. Der Nachteil ist allerdings, dass Sie die Kontrolle über Ihre Daten zumindest teilweise in fremde Hände legen. Zudem eröffnet eine Zugriffsmöglichkeit über das Internet neue Angriffsvektoren für Cyber-Kriminelle. Das Thema Cloudsicherheit sollte daher von Anfang an eine zentrale Rolle in Ihren Überlegungen spielen.

Cloudsicherheit ist wichtig, aber was ist eigentlich "die Cloud"?

Jeder Nutzer eines Smartphones kommt nahezu zwangsläufig mit der Cloud in Berührung. Zu den Accounts der Marktführer Apple und Google gehört beispielsweise auch jeweils ein freies Kontingent an Cloud-Speicherplatz. Geschickt werden Anwendungen aus der Cloud eingebunden, etwa zur Auslagerung von Bildern oder eines Kalenders. Teilweise ist dem Nutzer gar nicht mehr klar, ob seine Daten nun lokal oder in der Cloud liegen.

Für Firmen beschränken sich Clouddienste natürlich nicht auf die Bereitstellung von Speicherplatz. So ist es möglich, innerhalb weniger Minuten ganze Cloud-Server inklusive Betriebssystem bei Hosting-Anbietern einrichten zu lassen. Diese stehen physischen Servern grundsätzlich in nichts nach. Im Gegenteil lassen sich Ressourcen meist mit wenigen Klicks ergänzen oder erhöhen. Eine Mischung aus beiden Modellen ist das Auslagern von Software in die Cloud mittels Software-as-a-Service (kurz: SaaS). Hier greifen die Anwender mit einer Client-Anwendung oder einer App auf einen vom Anbieter bereitgestellten Server zu. Zum Teil ist der Zugriff auch über einen Webbrowser möglich, so dass der Anwender keinerlei Software installieren muss und auch leistungsschwächere Software für die Nutzung ausreicht. Dies bietet flexiblen Zugriff, erhöht aber die Abhängigkeit von externen Ressourcen.

Was ist Cloudsicherheit?

Die Cloudsicherheit beschäftigt sich mit der Absicherung der ausgelagerten Daten. Dabei ist grundsätzlich in drei Bereiche zu unterscheiden, die jeweils einer gesonderten Betrachtung unterzogen werden sollten:

- Sichere Authentifizierung: Elementar ist die Art der Zugriffsverwaltung. War es in der Anfangszeit der Clouddienste noch möglich, Passwörter durch das Beantworten simpler Kontrollfragen zurückzusetzen, hat sich hier glücklicherweise einiges getan. Neben sicheren Passwörtern ist insbesondere die Zwei-Faktor-Authentifizierung zu nennen. Dabei ist ein weiteres, unabhängiges Merkmal für das Einloggen nötig, etwa eine PIN, die auf ein Smartphone gesendet wird.

- Sichere Datenübertragung: Daten, die unverschlüsselt über das Internet versendet werden, sind bekanntermaßen ohne viel Aufwand von Dritten einsehbar. Daher ist Verschlüsselung in der heutigen Zeit ein Muss. Allerdings gibt es auch hier Unterschiede bei den Verfahren und den eingesetzten Protokollen. So werden regelmäßig Sicherheitslücken bekannt. Ein Beispiel ist die zwischenzeitlich behobene "Heartbleed"-Lücke in der verbreiteten quelloffenen Bibliothek OpenSSL. Entsprechend sollte auf sichere und aktuelle Verschlüsselungsmethoden geachtet werden.

- Sichere Datenspeicherung: Die sichere Speicherung beginnt mit dem Standort der verwendeten Server. So ist das jeweils geltende nationale Recht unter Umständen ausschlaggebend für Zugriffsmöglichkeiten durch örtliche Behörden. Dies kann im Widerspruch mit Datenschutzbestimmungen stehen, denen Sie als Unternehmer verpflichtet sind. Zudem sollten Sicherheitsstandards vom Anbieter eingehalten werden, die idealerweise durch Zertifizierungen wie der ISO-Norm 27001 nachweisbar sind. Eine verschlüsselte Ablage verhindert zudem unerwünschten physischen Zugriff durch Einbrecher oder Mitarbeiter des Anbieters.

Warum benötige ich Cloudsicherheit?

Einer der Hauptgründe ist sicherlich die bereits beschriebene Abhängigkeit von der Zugreifbarkeit und Funktionsfähigkeit der Cloud-Ressourcen. Aus der Distanz haben Sie und Ihr Administrator kaum eine Möglichkeit der Einflussnahme, wenn es zu Problemen kommt. Darüber hinaus ist die sichere Ablage von Firmen- und Kundendaten eine der wichtigsten Herausforderungen für Unternehmen. Probleme in diesem Bereich können zu irreparablen Reputationsschädigungen für die betroffene Firma führen.

Unabhängig davon verpflichtet die Datenschutzgrundverordnung (DSGVO) Unternehmen dazu, personenbezogene Daten auf eine sichere Weise zu verarbeiten. Dabei ist der aktuelle Stand der Technik als Maßstab anzusetzen. Eine Nachvollziehbarkeit ist explizit gefordert. Dieser können Sie grundsätzlich nur entsprechen, wenn Ihnen der Cloud-Anbieter entsprechende Garantien gibt, z.B. in Form von Zertifizierungen.

Wichtige Maßnahmen für die Cloudsicherheit

Eine Entscheidung, ob Daten oder Dienste eines Unternehmens in die Cloud ausgelagert werden können, sollte nach sorgfältiger Abwägung im Einzelfall getroffen werden. Grundsätzlich ist es für Verantwortliche auf Dauer sicher schwierig, sich sinnvollen und effektiven Neuerungen zu verschließen. Bei Beachtung einiger Sicherheitsvorkehrungen können die Vorteile durchaus überwiegen. Wir haben die sechs wichtigsten Grundregeln noch einmal für Sie zusammengefasst:

1. Anbieterauswahl: Eine gründliche Prüfung des Cloud-Providers im Vorfeld ist Pflicht. Die Standorte der Rechenzentren sollten sich zumindest in der Europäischen Union befinden. Benötigen Sie eine redundante Speicherung, so müssen die Server an räumlich getrennten Orten untergebracht sein. Wichtig sind Zertifizierungen und Dokumentationen über getroffene Sicherheitsmaßnahmen seitens des Anbieters.

2. Sichere Authentifizierungsverfahren: Sie sollten für Anmeldungen auf eine Möglichkeit der Zwei-Faktor-Authentifizierung achten. Eine kostengünstige Variante ist beispielsweise die Nutzung einer Authenticator-App, die kurzzeitig gültige PINs generiert, die zusätzlich zum Passwort eingegeben werden müssen. Automatisierte Anmeldungen über Client-Anwendungen können beispielsweise mit Zertifikaten oder Hardware-Token abgesichert werden.

3. Achten Sie auf ein sinnvolles Berechtigungskonzept: Nutzer sollten nur auf unbedingt notwendige Daten zugreifen können. Diese Form der Datensparsamkeit ist auch in der DSGVO gefordert.

4. Verschlüsselung: Sowohl die Übertragung als auch die Speicherung der Daten darf nur verschlüsselt erfolgen. Für die Verbindung kann beispielsweise das mit Zertifikaten abgesicherte Protokoll TLS verwendet werden. Für noch mehr Sicherheit sorgt eine Anbindung per Virtual Private Network (VPN).

5. Denken Sie an nötige Schnittstellen für Backups und eine mögliche Migration: Es sollte möglich sein, die wichtigen Daten auch in einem lokalen Backup ablegen zu können. Zudem muss für den Fall Vorsorge getroffen werden, dass es einmal zu einem Anbieterwechsel kommt. Dann sollte es unkompliziert möglich sein, Ihre Daten zu übertragen. Dafür muss auch eine sichere Löschung vorgesehen sein.

6. Support: Ein an Ihre Geschäftszeiten angepasster Support ist im professionellen Umfeld zwingend notwendig. Im ungünstigsten Fall legt ein Ausfall oder Sicherheitsvorfall den gesamten Betrieb eines Unternehmens lahm.

Übrigens gehört es auch zum Portfolio eines Anbieters für Penetration-Tests, Cloud-Anwendungen auf Herz und Nieren zu testen. So können Sie zudem nachweisen, sich aktiv um eine verantwortungsbewusste Cloudsicherheit gekümmert zu haben.