EN
Telefon: +49 911 1335-1335

Cloud Security

Sicher in der Wolke

Illu_WiM_0622_Original © Anton Atzenhofer

Wenn Betriebe ihre Daten in der Cloud ablegen wollen, müssen sie auf deren Sicherheit achten – und Vorkehrungen treffen.

Cloud-Computing hat die Arbeitsweise von Unternehmen und die Entwicklung neuer Produkte und Dienste revolutioniert. In Zeiten von Corona und der Ausweitung von Homeoffice-Angeboten haben Cloud-Anwendungen ihren Siegeszug fortgesetzt. Und auch für die kommenden Jahre stehen die Zeichen auf Wachstum. Das Marktforschungsunternehmen Gartner prognostiziert, dass bis 2025 mehr als 85 Prozent der Unternehmen im Rahmen ihrer Digitalstrategie auf die Cloud setzen.

Die Vorteile liegen auf der Hand: IT-Leistungen wie Software, Rechenkapazität, Datenbanken oder Speicherplatz können je nach Bedarf über Datennetze genutzt werden. Die Cloud ist flexibel, schnell, ortsunabhängig und rund um die Uhr verfügbar. Kosten für Hard- und Software, Wartung- und Personal können reduziert und neue Geschäftsmodelle entwickelt werden. Cloud-Computing zählt heute nach Aussagen vieler IT-Fachleute zu den strategisch wichtigsten Technologien im Zeitalter der Digitalisierung und ist der Schlüssel zu Wettbewerbsfähigkeit und neuen Geschäftsmodellen.

Wie sieht es mit der Sicherheit aus?

Die Kehrseite der Medaille: Je mehr Unternehmen ihre Daten vollständig in die Cloud verlagern und digitale Strategien einführen, umso anfälliger werden sie für Cyber-Bedrohungen aller Art. Risiken wie Datenverlust und -manipulation, unbefugter Zugriff durch Dritte oder Missbrauch von Benutzerkonten müssen in jedem Fall ausgeschlossen werden. Die Folge: Das Thema Cloud Security rückt zunehmend in den Fokus. Auch wenn Anbieter von Cloud-Diensten zu strengsten Sicherheits- und Compliance-Maßnahmen verpflichtet sind: Anwender können sich nicht allein auf diese Maßnahmen verlassen.

Ein hohes Sicherheitsniveau wird nicht allein durch technische Lösungen erreicht. Cloud Security erfordert in hohem Maße sorgfältige Planung, Know-how und qualifizierte Mitarbeiter. Entscheidend ist das optimale Zusammenwirken von Verhaltensregeln, Prozessen und technischen Lösungen. Ziel ist eine durchgehende Vertrauenskette vom einzelnen Mitarbeiter über die komplexe Cloud-Architektur bis zur Gesamtorganisation. Dazu sollte man beim Thema Sicherheit einige grundlegende Regeln beachten.

Die richtige Cloud-Strategie

Der Weg in die Cloud ist kein Spaziergang und erfordert von Anfang an insbesondere eine sorgfältige Sicherheitsplanung. Die Krux dabei: Cloud-Sicherheit und Compliance können nicht nachträglich „eingebaut“ werden, sondern müssen direkt während der gesamten Cloud-Planung und -Umsetzung berücksichtigt werden.

Sollen in der Cloud geschäftskritische Informationen und Anwendungen ausgelagert werden, muss eine detaillierte Sicherheitsanalyse Bestandteil der Cloud-Strategie sein. Dabei spielt der Schutzbedarf der Informationen und Anwendungen eine entscheidende Rolle.

Personal qualifizieren

Cloud Security erfordert viel Fachwissen und auch fachüberschreitendes Know-how. Bei all diesen Herausforderungen ergibt sich insbesondere für kleinere Unternehmen die Frage: Wie kann man mit dem bestehenden Personal die Cloud sicher realisieren? Der Markt für Fachleute im Bereich Cloud- und Cybersecurity ist leergefegt und die Gehaltsforderungen sind hoch. Einer aktuellen Studie des ISC2 (International Information System Security Certification Consortium) zufolge fehlen in Deutschland derzeit allein rund 68 000 Security Professionals.

Trainings- und Qualifizierungsmaßnahmen sind daher eine willkommene Alternative und Ergänzung zur Suche nach neuen Cloud-(Security)-Experten und eine wichtige Option, Lücken hinsichtlich des erforderlichen Know-hows zu schließen. Zu Qualifizierungs-Optionen zählen u. a.:

  • „Enabling“-Lehrgänge für Cloud-Teams, um eine eigene Cloud sicher und ganzheitlich planen und umsetzen zu können.
  • Trainings zu relevanten Cloud-Security-Fachthemen
  • Zertifikatsausbildungsgänge (z.B. zum Cybersecurity-Experten)
  • herstellerspezifische Cloud-Security-Kurse
  • übergreifende Workshops und Trainings für das Management
  • Cloud Information Security (Datensicherheit bei der Nutzung von Cloud-Diensten und Datenschutz bei Cloud-Services) 

Welcher Cloud-Typ?

Cloud-Computing ist nicht gleichzusetzen damit, sämtliche Daten aus der Hand zu geben. Wer die uneingeschränkte Hoheit auch über seine Ressourcen behalten möchte, kann beispielsweise eine „Private Cloud“ im eigenen Rechenzentrum aufbauen oder bei einem externen Dienstleister exklusiv auf gemieteter Infrastruktur betreiben. Auf den Speicher und die Anwendungen hat nur das Unternehmen selbst Zugriff. Für Unternehmen, die die Einhaltung strenger gesetzlicher Vorgaben hinsichtlich Datenschutz und Datenzugriff gewährleisten müssen, ist eine solche Private-Cloud-Lösung oft die beste Wahl.

In der „Public Cloud“ dagegen teilen sich viele Kunden eine gemeinsame virtualisierte Infrastruktur eines Anbieters und nutzen dessen Services. Viele Unternehmen laden allerdings aus Sicherheitsgründen ausschließlich unkritische Business-Informationen hoch. Die Nutzung der „Public Cloud“ erfordert eine gute Planung und ein entsprechendes Sicherheitskonzept. Die „Hybrid Cloud“ ist eine Mischform aus „Private Cloud“, „Public Cloud“ und traditioneller IT-Umgebung. Auf Grund der hohen Komplexität ist besonders auf ein geeignetes Sicherheitskonzept zu achten.

Provider-Wahl 

Eine der wichtigsten Sicherheitsregeln: Wer eine Cloud nutzt, muss wissen, wo die Daten gespeichert sind. Immerhin geht es um personenbezogene Daten und geschäftskritische Informationen. Ist der Server im Ausland, beispielsweise in den USA, können die Daten der Rechtsprechung des jeweiligen Landes unterliegen. Hier sind auf jeden Fall die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu berücksichtigen.

Authentifizierungskonzept und Zugriffsberechtigungen

Eine zentrale Sicherheitsmaßnahme ist das Authentifizieren der Beschäftigten. Nur Berechtigte sollten auf Daten und Ressourcen in einer Cloud-Umgebung zugreifen dürfen. Mit einem entsprechenden Konzept wird sichergestellt, dass nur autorisierte Nutzer und Geräte Zugriff auf die benötigten Anwendungen haben. Darüber hinaus sollten Rollen und Zugriffsrechte definiert werden: Welche Mitarbeiter dürfen in welchem Umfang worauf (Programme, Dateien etc.) zugreifen? Was gerne vergessen wird: Ein eindeutiges Rechtemanagement beinhaltet auch, Beschäftigten, die die Firma verlassen, diese Rechte wieder zu entziehen.

Daten klassifizieren

Betriebe sollten sich genau überlegen, welche Daten sie in die Cloud hochladen möchten und welches Risiko durch die Speicherung besteht. Beispielsweise könnten mindestens drei Datenklassen definiert werden – öffentlich, intern, vertraulich.

Verschlüsselter Datentransfer 

Ortsunabhängig arbeiten, stets Zugriff auf Daten und Applikationen haben – das ist eine der angenehmsten Seiten der Cloud. Der Transfer der Daten erfolgt meist über das Internet. Verschlüsselung ist für die Cloud-Sicherheit daher oberstes Gebot. Eine Möglichkeit ist beispielsweise End-2-End-Verschlüsselung oder bei besonders hohen Sicherheitsanforderungen die Verwendung von Verschlüsselungs-Hardware.

Bei aller Komplexität, die gute Botschaft lautet: Ein hohes Maß an Sicherheit in der Cloud ist machbar und Unternehmen können sich aktiv und wirkungsvoll gegen mögliche Risiken aus der Cloud schützen. Ein wichtiger Schlüssel zur Cloud Security ist Know-how und qualifiziertes Personal.

Autor/in: 

Birgit Jacobs ist Mitglied der Geschäftsleitung des IT-Trainingsanbieters qSkills GmbH & Co. KG in Nürnberg (www.qskills.de).

 

WiM – Wirtschaft in Mittelfranken, Ausgabe 06|2022, Seite 30

 
Device Index

Alle Ansprechpartner/innen auf einen Blick