Cloud-Sicherheit – Wie sicher sind Anbieter und Services?

Die Cloud ist in aller Munde. Nicht nur private Nutzer, sondern auch immer mehr Unternehmen setzen auf die flexiblen Dienste. Das befeuert auch die Debatte über die Cloud-Sicherheit von Daten und Anwendungen in der Cloud.

Was bedeutet Cloud-Sicherheit?

Cloud-Sicherheit ist ein Teilbereich des übergeordneten Themas Computer-Sicherheit. Cloud-Sicherheit (engl. Cloud-Security) beschreibt Prozesse, Richtlinien und Verfahren zum Schutz von Daten, Anwendungen und Infrastrukturen im Bereitstellungsmodell Cloud-Computing. Dabei sind alle Service-Modelle, wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), eingeschlossen. In puncto IT-Sicherheit sind viele Aspekte zwischen Cloud- und On-Premise-IT-Architektur identisch, egal ob Private Cloud, Public Cloud oder Hybrid Cloud. In der Praxis existieren viele Methoden und Möglichkeiten, um einen ordentlichen Präventivschutz zu gewährleisten. Diese Vielschichtigkeit erlaubt jedoch keine einzelne konkrete Erklärung, wie Cloud-Sicherheit übergreifend funktioniert. Zudem spielen die individuellen Anforderungen, z. B. von Unternehmen, eine enorme Rolle bei der Auswahl der passenden Sicherheitsmaßnahmen. Je besser ein Sicherheitskonzept auf den genutzten Cloud-Service sowie den Nutzer zugeschnitten ist, desto höher ist der Schutz.

Geteilte Verantwortung

Sobald ein Vertrag zwischen einem Nutzer und einem Cloud-Anbieter eingegangen wird, Informationen und Systeme in die Cloud verlagert und die IT-Infrastruktur umgestellt wurde, haben beide Parteien Anteil an der Umsetzung von Sicherheitsmaßnahmen. Es ist eine Partnerschaft der gemeinsamen Verantwortung. Der Cloud-Provider stellt dabei die grundlegende Sicherheitsstrategie, um hauptsächlich die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Welche Verantwortung letzten Endes beim Nutzer liegt, ist unter anderem von dem genutzten Service-Modell (Saas, Paas, IaaS) abhängig. Viele große Anbieter wie Google, Microsoft Azure oder Amazon Web Services veröffentlichen eine gleitende Skala als Modell der gemeinsamen Verantwortung für Cloud-Sicherheit.

Die Risiken einer Cloud – Sicherheit geht vor

Jeder ist in der digitalen Welt ist angreifbar. Die Kriminalität hat sich im 21. Jahrhundert und im Zuge der Digitalisierung ebenfalls weiterentwickelt. Heute gehören Cyberangriffe mit zu den häufigsten Problemen, mit denen Unternehmen und Organisationen zu kämpfen haben. Ein aktuelles Beispiel zeigt, welche Auswirkungen derartige Attacken gerade auf die Anbieter von Cloud-Diensten haben. Die amerikanische Firma Kaseya ist ein internationaler IT-Dienstleister, dessen Cloud-basierte Software tausende Unternehmen nutzen. Hackern gelang es, das Unternehmen zu infiltrieren und weltweit für Chaos zu sorgen. Hierbei spielt die Cloud eine wichtige Rolle. Da sie von einer zentralen Quelle (bspw. einem Rechenzentrum) gesteuert wird, können Angreifer über diese Schnittstelle in allen verbundenen Systemen Schaden anrichten. Dementsprechend ist die Sicherheit der Cloud-Anwendungen und Cloud-Speicher von äußerster Wichtigkeit, um weitläufige negative Auswirkungen zu vermeiden.

Kernbestandteile der Cloud-Security

Um für einen effektiven Schutz von Cloud-Umgebungen zu sorgen, existieren eine Reihe von robusten Werkzeugen und Vorgehensweisen. Das sogenannte Identitäts- und Zugriffsmanagement (IAM) ist eines davon. Mithilfe dieses Tools ist eine Kontrolle der Zugriffe auf persönliche, sensible Daten und Anwendungen möglich und somit ein essenzieller Bestandteil jeder Sicherheitsstrategie. Ein weiterer Grundbaustein ist die physische Sicherheit des Rechenzentrums, also der Hardware-Grundlage jedes Cloud-Dienstes. Hier sind Zugangsbarrieren und -kontrollen, Brandschutz, Stromversorgung und vieles mehr inbegriffen. Eine ähnliche Grundvoraussetzung auf digitaler Ebene bilden Firewalls. Deren traditionelle Funktionen wie Paketfilterung, Proxying oder IP-Blockierung werden immer öfter durch zusätzliche Ansätze, sogar teilweise auf der Basis von künstlicher Intelligenz, erweitert.

Cloud Sicherheit für Daten und Anwendungen

Threat Intelligence, Intrusion Prevention Systems (IPS) und Intrusion Detection Systems (IDS) bilden die modernen Bestandteile einer Firewall der nächsten Generation. Diese Werkzeuge erlauben eine Identifizierung von derzeitigen und potenziellen Angreifern, helfen dabei, Angriffe abzuschwächen und warnen den Anwender rechtzeitig, damit eine angemessene Reaktion möglich ist. Im Zusammenhang mit Cloud-Nutzung und der häufigen Datenverwahrung und -übertragung über das Internet ist eine Verschlüsselung der Daten besonders wichtig. Der Endanwender besitzt dabei einen Sicherheitsschlüssel, ohne den keine Entschlüsselung und Beeinflussung sensibler Daten möglich ist.

Sicherheitsrisiken in der Cloud

Gerade in der Cloud gibt es eine Reihe spezifischer Sicherheitsrisiken, die denen lokaler IT-Systeme zwar ähneln, aber dennoch besondere Aufmerksamkeit benötigen. So ist der Verlust der Sichtbarkeit von Datenübertragungen bei komplexen Systemen ein solches Risiko. Wenn der Überblick darüber, wer wann Daten wie hoch- und herunterlädt, verloren geht, drohen Datenverlust und -verletzungen. Weiterhin sind bei einem Umstieg auf Cloud-Dienste die Compliance-Vorschriften des Unternehmens zu beachten. Es droht die Gefahr, dass allein durch die neue Systemumgebung gewisse Punkte nicht umsetzbar sind. Hier muss ebenfalls der Überblick gewahrt werden. Im Zuge der Migration eines Systems messen viele Nutzer einer übergreifenden Cloud-Sicherheitsstrategie oft zu wenig Aufmerksamkeit bei. Nur mit einer solchen Grundlage können größere Risiken und Probleme langfristig vermieden werden. Eines der größten Risiken stellen die externen Benutzerschnittstellen (API) dar. Jede nach außen gerichtete API ist ein möglicher Gateway für unbefugten Zugriff. Gerade hier lohnt es sich, größere Anstrengungen für einen sicheren Zugriff in Kauf zu nehmen. Beispiele aus der Vergangenheit, wie der Cambridge-Analytica-Skandal, betonen diese Wichtigkeit.

Scopevisio Cloud-Software – mit Sicherheit

Scopevisio legt viel Wert auf den Schutz der Cloud-Anwendungen und Daten der Nutzer. Sicherheit wird hier seit jeher großgeschrieben. Gerade beim Thema Cloud-Computing sind viele Interessenten skeptisch. Lassen Sie sich von unserem Sicherheitskonzept überzeugen! Datenspeicher in deutschen zertifizierten Hochsicherheits-Rechenzentren, Ende-zu-Ende-Verschlüsselung, automatische Backups und ein umfassendes Rechtemanagement sind ein essenzieller Bestandteil jeder Partnerschaft. Für weitere Informationen sprechen Sie jederzeit unsere Experten an und lassen Sie sich unverbindlich zum Thema Cloud-Security beraten. Scopevisio ist Ihr Partner für sichere und zuverlässige Cloud-Lösungen.

Autor:in Sabine Jung-Elsen
Hosted in Germany GoBD konform PwC zertifiziert

Digitalisieren Sie noch heute Ihr Unternehmen

Testen Sie die Unternehmenssoftware von Scopevisio kostenlos und unverbindlich. Alle Prozesse in einem System - vernetzt, automatisiert und effizient.