Zum Hauptinhalt springen
Blog

Sicherheit in der Cloud: Darauf kommt es an

Compliance, Service Provider

Cloud Computing ist kein Hype mehr, Cloud Computing ist Realität. Es überzeugen Vorteile wie Kostensenkung oder eine flexible und skalierbare IT. Cloud Services sind praktisch und ermöglichen auch kleinen Firmen den Zugang zu ansonsten kostspieligem Equipment und Software-Lösungen. Aber sind sie auch sicher? Wir benennen die wichtigsten Fakten zur Cloud Security und zeigen worauf es bei einer sicheren Nutzung von Cloud Services ankommt.

Mehr als drei Viertel der deutschen Unternehmen speichern ihre Unternehmensdaten in einer Cloud.1 Und obwohl immer mehr Unternehmen auf den Einsatz von Cloud Services setzen, bleiben Sicherheitsbedenken – vor allem hinsichtlich der Sicherung kritischer Daten – weiterhin eines der größten Hindernisse beim Umstieg in die Cloud. Immerhin vertrauen Unternehmen ihre sensiblen Daten einem externen Provider an und verlieren die Hoheit über die Daten. Die EU-Datenschutzgrundverordnung (DSGVO) sowie Compliance Anforderungen spielen dabei eine wichtige Rolle. Unternehmen, die in die Cloud gehen wollen, müssen ihre Daten dem Cloud-Provider anver-trauen und dafür sorgen, dass er alle technischen, rechtlichen und vertraglichen Anforderungen einhält. Cloud-Anbieter müssen Compliance mit der geltenden DSGVO umsetzen, um von Unternehmen als überhaupt in Betracht gezogen zu werden.

Was ist ein Cloud Speicher?

Cloud Speicher ist ein Dienst, mit dem Daten gespeichert werden können, indem die Daten über das Internet oder ein anderes Netzwerk an ein standortexternes System übertragen werden, das von einem Dritten verwaltet wird. Es gibt Hunderte verschiedener Cloud-Speichersysteme:

In der Praxis sind drei grundsätzliche Einsatzvarianten für Cloud Computing zu unterscheiden. Die Varianten heben sich mehr organisatorisch als technisch voneinander ab.

  • Public Cloud
    Hier stellt ein frei zugänglicher Provider die Cloud zur Verfügung und mehrere Kunden teilen sich die Infrastruktur, ohne Notiz voneinander zu nehmen.
  • Private Cloud
    Die Private Cloud ist exklusiv für ein Unternehmen zugänglich und wird vom Unternehmen selbst oder vom IT-Dienstleister betrieben.
  • Hybride Cloud
    Die Hybride Cloud ist eine Mischung aus Public und Private Cloud. Hier laufen bestimmte Services beim öffentlichen Anbieter, andere werden im Unternehmen betrieben und verarbeitet.

Sie wollen mehr zu geeigneten organisatorischen, operativen, technischen und infrastrukturellen Maßnahmen bei der Wahl eines Cloud Service Providers erfahren?
Hier geht’s zum Blogbeitrag „Diese 11 Kriterien sollten Sie bei der Auswahl des richtigen Cloud Service Providers beachten“.

Cloud Sicherheit und Compliance

Laut dem Cloud-Monitor 20192 von Bitkom sehen 90 Prozent der Unternehmen, die eine Cloud nutzen, planen oder diskutieren, Compliance mit der geltenden DSGVO als unverzichtbar an. 79 Prozent betrachten transparente Sicherheitsarchitekturen und -kontrollen ebenfalls als obligatorisch. Wie können Anwender nun sicher gehen, dass Cloud-Computing-Dienste mit den überlassenen Daten unter IT-Sicherheitsaspekten korrekt umgehen? Es gilt: Cloud Sicherheit zur Risikominimierung in der Cloud.

Cloud Sicherheit

Die Cloud Sicherheit umfasst eine Vielzahl von Einzelmaßnahmen zur Absicherung von Cloud-Services und Cloud-Umgebungen. Durch Cloud Sicherheit wird das Risiko von Ausfällen, Datenverlusten und Zugriff durch Unbefugte minimiert. Es ist ein zunehmend wichtiger, wenn nicht sogar der wichtigste, Bestandteil im Cloud Computing. Damit Compliance, der Schutz der Infrastruktur und die Datenverarbeitung und -Speicherung sichergestellt ist, müssen Regeln, Prozesse und technische Vorgaben festgelegt werden.

Zu den fünf wichtigsten Aspekten der Cloud Sicherheit gehören:

  • Server- und Netzwerksicherheit
    Es muss sichergestellt sein, dass es eine sichere Barriere zwischen Außenwelt und Daten, aber auch zwischen den unterschiedlichen Cloud-Kunden besteht.
  • Identitäts- und Zugriffsverwaltung
    Jeder einzelne Datenzugriff muss geschützt sein und die einzelnen Zugriffsberechtigungen klar definiert sein.
  • Informationssicherheit
    Sensible Daten müssen jederzeit vertraulich, integer und verfügbar sein. Die Datenschutzrichtlinien müssen compliance-konform sein.
  • Anwendungs- und Plattformsicherheit
    Die Anwendungen müssen sicher sein und es muss eine regelmäßige Schwachstellenüberprüfung stattfinden.
  • Physische Sicherheit
    Es muss sichergestellt werden, dass sich die Hardware in einer Sicheren Umgebung, mit geordneten Zugangsberechtigungen, befindet.

Diese Richtlinien sind als Grundlage der Cloud Sicherheit unverzichtbar. Aber gerade für Branchen mit hohen regulatorischen Anforderungen, wie das Gesundheitswesen oder der Finanz- und Versicherungsbereich, stellt Compliance eine große Herausforderung dar.

Sicherheit und Compliance durch Standards und Zertifikate

Erfüllt ein Cloud-Anbieter bestimmte Standards, wissen Kunden, dass ihre Daten ordnungsgemäß verarbeitet und gespeichert werden. Grundlegend lassen sich Standards in drei Arten unterteilen:

  • Branchenübergreifende internationale Standards
    Diese Standards ergeben sich aus Forderungen der Kunden nach einem konsistenten Ansatz in Bezug auf Betrieb, Sicherheit, Datenschutz, Risikomanagement und Steuerung (Standards, wie beispielsweise: SOC 1, SOC 2, SOC 3, ISO/ IEC 19086, ISO/IEC 27001, ISO/IEC 27018, CDSA, CSA CCM).
  • Standards, die vertikale und regionale Bereiche umfassen
    Gesundheitswesen, verarbeitendes Gewerbe, Bildung, Finanzdienstleistungen und Behörden ha-ben eigene Standards eingeführt. In vielen Fällen kann ein Unternehmen seinen Kunden in diesen Branchen keine Online-Dienste anbieten, es sei denn, es erfüllt die für diese Branche geltenden Vorschriften (Regionale Standards, wie beispielsweise FISC, PDPA, MLPS / Vertikale Standards, wie beispielsweise PCI-DSS (Finanzbranche), FedRAMP (U.S. Federal Government), HIPAA (Healthcare Branche).
  • Standards basierend auf nationalen Bedürfnissen oder Datenschutzgesetze
    Vorschriften und Normen, die auf nationalen Bedürfnissen oder Datenschutzgesetzen basieren (Standards, wie beispielsweise EU DSGVO, Privacy Shield).

Neben diesen genannten Standards bieten Zertifizierungen darüber hinaus eine einheitliche Methode zur Bewertung der Fähigkeit eines Cloud-Anbieters, diese Standards zu erfüllen. Auch wenn die Daten beim Cloud-Provider liegen, ist der Kunde bei einer Auftragsverarbeitung datenschutzrechtlich ver-pflichtet, sich von der Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten zu überzeugen. Über verschiedene Sicherheitskennzei-chen, die durch unabhängige Institutionen vergeben werden, kann der Anwender zudem prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Rege-lungen des Staates übereinstimmt.

Für die Cloud Service Provider besteht zwar keine Pflicht zu einer solchen Zertifizierung, dennoch weisen viele freiwillig eine Reihe von Zertifikaten und anderen Sicherheitskennzeichen vor (zum Bei-spiel Kompetenznetzwerk "Trusted Cloud" oder TÜV-Prüfzeichen). Der Cloud-Anbieter sollte nach-weisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt wer-den sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder - wie im Ideal-fall - das gesamte Angebot.

Kriterienkatalog Cloud Computing C5

Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanfor-derungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Mit dem C5 hat das BSI zudem einen eigenen Standard für Cloud-Sicherheit entwickelt, der die Prüfung von Cloud-Anbietern durch Wirtschaftsprüfer vorsieht. Hierbei vergibt der Wirtschaftsprüfer nach einer erfolgreichen Prüfung ein Testat an den Cloud-Provider und erstellt einen detaillierten Prüfbericht. Dieser Prüfbericht kann von Kunden dann i. d. R. angefordert und ausgewertet werden. Dieses System richtet sich primär an professionelle Anwender, da die Auswertung eines solchen Berichtes erhebliche Fachkenntnisse voraussetzt.

Standort des Cloud-Anbieters

Der „Standort des Cloud-Anbieters“ ist ebenfalls für viele Unternehmen ein wichtiges Kriterium. In-formationen über den Standort des Cloud-Anbieters und der Server geben dem Anwender Auskunft darüber, welchem Datenschutzrecht seine Daten nach der Speicherung unterworfen sind. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden. Unternehmensstandort und Datenhaltung im Rechtsgebiet der EU schaffen Vertrauen in den Cloud-Anbieter – übrigens auch über die europäi-schen Grenzen hinweg. Besonders kritisch wird die Nutzung von Cloud Computing, wenn personen-bezogene Daten Dritter bei einem Anbieter gespeichert werden. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen.

Vorteile von Cloud Services für Unternehmen

Die Daten sind überall flexibel und mit jedem Gerät abrufbar. Dies bietet einen einfachen und flexib-len Zugriff auf die Daten während der Dienstreise oder aus dem Homeoffice. Bei der Cloud-Speicherung über eine Public Cloud, ist außerdem keine eigene Infrastruktur nötig. Darüber hinaus haben Cloud-Services für Unternehmen weitere klare Vorteile:

Hohe Skalierbarkeit und bedarfsgerechte Nutzung

Die flexible Skalierbarkeit virtueller IT-Ressourcen ist einer der offensichtlichsten Vorteile. In beliebi-gem Umfang lassen sich Speicherplatz, Arbeitsspeicher, CPU-Leistung oder Software-Lizenzen hinzu-fügen oder abschalten. Die Ressourcen stehen jederzeit in beliebig wählbaren Umfang zur Verfügung.

Schnelle Bereitstellung

In dem eigenen Rechenzentrum kann das Bereitstellen von Ressourcen schon mal etliche Arbeits-stunden in Anspruch nehmen. Services aus der Cloud sind binnen weniger Minuten verfügbar.

Variable Fixkosten

Dank Pay-per-use-Modellen zahlen Unternehmen nur die Leistung, die sie tatsächlich in Anspruch nehmen. Es werden keine Ressourcen verschwendet und fixe Kosten werden zu variablen Kosten.

Reduzierter Administrationsaufwand

Unternehmen, die sich einen Service-Provider zur Implementierung und den Betrieb der Cloud su-chen, reduzieren ihren Administrationsaufwand erheblich. Damit sinken die Kosten.

Wachsende Technologien bei wachsenden Märkten

Absatzmärkte befinden sich im stetigen Wandel – Produktzyklen werden im Software-Bereich immer kürzer. Die wenigsten Unternehmen können da noch Schritt halten. Werden Services aus der Cloud genutzt, wird der Innovationszwang auf den IT-Dienstleister umgelagert. Das Updaten bestehender Software, die Anschaffung neuer Hardware sowie das qualitative und quantitative Weiterentwickeln vorhandener Ressourcen obliegenden nun dem Cloud-Service-Provider.

Und last but not least:

Clouds können die Datensicherheit und den Datenschutz erhöhen

Etablierte Cloud-Provider befassen sich täglich mit der Einhaltung gesetzlicher Vorschriften. Da sie mit einer großen Zahl Kunden und Daten in nahezu jeder Branche und jedem Land zu tun haben, ist ihre Erfahrung in Bezug auf Normen und behördliche Auflagen meist umfassender als die jedes einzelnen Unternehmen. Das hat den Vorteil, dass an den Cloud-Anbieter viele regulatorische und datenschutz-rechtliche Verpflichtungen und Anforderungen zur Einhaltung anerkannter Standards weitergegeben oder mit diesem geteilt werden können. Die Erhöhung von Datensicherheit und -schutz gelingt je-doch nur, wenn Sie einen qualifizierten IT-Dienstleister beauftragen. Durch einen Service-Vertrag sichern Sie sich entsprechend ab. Damit Sie nicht die Informationssicherheit Ihrer Daten aus den Au-gen verlieren, lohnt es sich, schon im Vorfeld einige Überlegungen anzustellen. Ein erster Indikator für ein bestimmtes Maß an Sicherheit ist das Einhalten von technisch-organisatorischen Maßnah-men, aber auch Zertifizierungen wie nach ISO 27001 oder nach BSI Grundschutz.

Auch wenn viele Unternehmen Cloud-Computing in Verbindung mit Datensicherheit noch kritisch sehen, geben immerhin 54 Prozent der Unternehmer an, dass die Datensicherheit im Betrieb durch Public Cloud Computing gestiegen sei.3

Die meistgenutzten Cloud-Infrastrukturen

Laut der Cloud Security Studie 2019 von IDG4 laufen 52 Prozent der Infrastrukturen über Microsoft Azure, 37 Prozent über Google Cloud Plattform und 32 Prozent über AWS (Amazon Web Services). Wenn nach der Zufriedenheit mit der Infrastruktur gefragt wird, liegt ebenfalls Microsoft Azure auf Platz eins des Rankings.

Auch wir nutzen die Cloud Infrastruktur von Microsoft Azure. Microsoft entspricht allen gängigen Zertifizierungen und dem Anforderungskatalog Cloud Computing (C5) des BSI für mehr als 100 sei-ner weltweiten Rechenzentren. Der C5-Katalog besteht aus insgesamt 114 Anforderungen in 17 Be-reichen, darunter die Organisation von Informationssicherheit und physischer Sicherheit, und zusätz-lichen Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern.

1 Quelle: Bitkom Research GmbH – Cloud-Monitor 2019
2 Quelle: Bitkom Research GmbH – Cloud-Monitor 2019
3 Quelle: Bitkom Research GmbH – Cloud-Monitor 2019
4 Quelle: IDG Research Services – Study Cloud Security 2019

Rainer Stenger
Director Sales International

Rainer Stenger ist seit 1997 bei ASC Technologies AG. Als Director Sales International verantwortet er seit 2019 die weltweite Partnerentwicklung und die internationalen Tochtergesellschaften von ASC. Er verfügt über umfangreiche Erfahrung in der Kommunikationsaufzeichnung und Workforce Optimization (WFO) und kann in den drei Hauptmärkten von ASC (Contact Center, Public Safety und Finanzdienstleistung) auf viele Erfolge zurückblicken.