Datenschutz, Integrität, Verfügbarkeit: die Grundwerte der Cloud-Sicherheit

Zu Beginn des Cloud-Computings hatten sowohl Unternehmen als auch Computernutzer Bedenken, ihre Daten der Cloud anzuvertrauen. Heute ist die Nutzung einer Cloud so selbstverständlich wie Strom aus der Steckdose. Doch wie jedes technische System, auf dem wertschöpfende Geschäftsprozesse laufen, ist auch die Cloud "verwundbar": Mit der wachsenden Verbreitung der Cloud rückt das Thema Security mehr und mehr in den Fokus.


Die Cloud hat unsere Kommunikation und die Arbeit in großem Umfang verändert und damit neue Anforderungen an die Sicherheit gestellt. Der Wechsel vom traditionellen Client-Server-Modell zu virtuell bereitgestellten Dienstleistungen verändert die Art und Weise, wie IT-Abteilungen Technologie und Anwendungen planen, entwerfen und in Betrieb halten. 

Das Cloud-Computing mit seinen zentralisierten Systemen, deren Dienste automatisiert, standardisiert und virtualisiert aufgesetzt sind, stellt sowohl die Service-Provider als auch deren Kunden vor neue Herausforderungen. Die dauerhafte Erreichbarkeit über das Internet sowie die Bereitstellung von Funktionen wie Authentifizierung, Zugriffskontrolle und Monitoring bieten Angriffspunkte.

Trotz aufsehenerregender Schlagzeiten über Trojaner, DDoS-Attacken oder gestohlene Kreditkartendaten: Statistiken und Umfragen belegen, dass Cloud-Dienste im Vergleich zu internen IT-Systemen zwischen 30 und 50 Prozent mehr Sicherheit in die Datenverarbeitung gebracht haben. Dabei punktet die Public Cloud mit ihren Vorteilen Flexibilität, Skalierbarkeit und Verlässlichkeit.

Das Beispiel Backup macht die systemischen Vorteile einer Cloud-Lösung deutlich: Der Speicher liegt außerhalb der Firmen-IT, bei einem integren, spezialisierten Anbieter, dessen Schutzschilde gegen Ransomware sicherlich aktueller sind als intern eingesetzte Standardlösungen. Die Cloud erlaubt zudem deutlich kürzere Backup-Zyklen bis hin zur Echtzeit-Sicherung, sodass stets aktuelle Daten für die Wiederherstellung bereitstehen.

Cloud Services bestehen aus zahlreichen Systemkomponenten, die alle perfekt aufeinander abgestimmt sein müssen, um den Anwendern die versprochenen Funktionen schnell bereitzustellen. Dabei stehen Cloud-Anbieter vor der Mammutaufgabe, ihren Kunden einen hohen technischen Entwicklungsstand bei einfacher Bedienbarkeit anzubieten, wobei sie ein professionelles Niveau an Informationssicherheit garantieren müssen.

Statistiken und Umfragen belegen, dass Cloud-Dienste im Vergleich zu internen IT-Systemen zwischen 30 und 50 Prozent mehr Sicherheit in die Datenverarbeitung gebracht haben.

Im Bereich der Betriebssicherheit werfen Cloud-Provider stets ein waches Auge auf fehlerhafte Konfiguration, Programmier-Schwachstellen, Cyber-Attacken oder technisch bedingte Betriebsausfälle. Ein hohes Cloud-Security-Niveau basiert auf dem optimalen Zusammenspiel von Verhaltensregeln, Prozessen und technischen Vorgaben. Diese müssen jedoch nicht nur technischen Sicherheitsaspekten folgen, sondern gleichermaßen branchenspezifischen Erwartungen und natürlich auch den gesetzlichen und regulatorischen Vorschriften. Nur das optimale Zusammenwirken aller an der Cloud Security beteiligten Systemkomponenten garantiert, dass die Cloud den Nutzern das erwartete Sicherheitsniveau bietet.

Die drei Felder der Cloud-Sicherheit

Das Thema Security beschäftigt sowohl die Cloud-Anbieter als auch ihre Kunden. Dabei zieht es sich durch alle Phasen einer Cloud-Strategie: vom Beginn der Planung über die Wahl der Cloud-Provider bis hin zur Beendigung der Nutzung eines Cloud-Dienstes. 

In jedem Fall ist zu klären, welche Informationen und Prozesse abzuschirmen sind und welche externen – und selbstverständlich auch internen – Bedrohungen lauern. Prinzipiell gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen, die auch als die „Grundwerte der Informationssicherheit“ bezeichnet werden. 

Diese Grundwerte müssen auf drei Spielfeldern im Auge behalten werden: beim Betrieb auf Seiten der Cloud-Dienste (1), auf Seiten der Benutzer (2) und vor dem Betrieb (also bei der Einführung) sowie bei der Kündigung einer Cloud-Dienstleistung (3).

1. Bedrohungen für den Cloud-Dienst

Die Infrastruktur und die Services eines Cloud-Anbieters müssen gegen äußere und innere Bedrohungen geschützt sein. Höchste Priorität hat der Schutz vor Datenverlusten bzw. der Abfluss von Informationen. Darüber hinaus muss die dauerhafte Verfügbarkeit der Internet- sowie aller Netzverbindungen gewährleistet sein, damit die Kunden jederzeit auf Daten und Anwendungen zugreifen können. Schließlich gilt es, alle Arten von Angriffen abzuwehren, zum Beispiel DoS-Attacken oder das Einschleusen von Ransomware, die auch schon populäre Web-Server wie Amazon, Yahoo und eBay lahmgelegt haben und für einen längeren Zeitraum Anfragen verhinderten.

Der Schutz vor den Gefahren von außen beginnt innen, zum Beispiel durch eine verlässliche, fehlerfreie Cloud-Administration, die mit der hohen Komplexität ihrer Dienste vertraut ist und damit Dienstausfälle und Datenverluste verhindert. Auch die IT eines Unternehmens, das Cloud-Dienste nutzt, sollte sich darüber im Klaren sein, dass kleine interne Fehler oder Pannen große Auswirkungen auf Cloud-basierte Prozesse haben können, sowohl bei der Daten- als auch der Betriebssicherheit.

2. Bedrohungen für die Cloud-Nutzer

Die Non-Profit-Organisation Cloud Security Alliance (CSA) gibt jährlich eine aktualisierte Liste der wichtigsten Bedrohungen heraus. Nach CSA-Recherchen stehen Identitätsdiebstahl und der Missbrauch von User-Accounts an erster Stelle, gefolgt von der mangelnden Sicherheit von Endgeräten, mit denen auf die Cloud-Dienste zugegriffen wird. 

Dies unterstreicht den Nutzen von kurzen, verständlichen Anleitungen für die Verbraucher, die dabei helfen, den Cloud-Dienst sicher zu nutzen. Dazu gehören Newsletter mit aktuellen Informationen darüber, wie man Phishing-Mails erkennt, welche PINs und Passwörter der Cloud-Dienst niemals abfragen würde oder wie man durch die Verschlüsselung des heimischen WLANs das Abfangen von Daten verhindern kann. 

Ein Thema, das sowohl auf Seiten der Provider als auch auf Nutzerseite für Ärger sorgen kann, ist die Missachtung der europäischen Datenschutzanforderungen (DSGVO). Ihr Ziel ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere der Schutz personenbezogener Daten sowie des freien Datenverkehrs innerhalb des Europäischen Binnenmarktes. Die großen US-Cloud-Provider haben inzwischen ihren Frieden mit der strengen Datenregulierung in Europa gemacht, was nicht nur der Politik, sondern auch Datenschützern und kritischen Verbrauchern zu verdanken ist.

Ein hohes Cloud-Security-Niveau basiert auf dem optimalen Zusammenspiel von Verhaltensregeln, Prozessen und technischen Vorgaben.

3. Bedrohungen bei der Einführung und Nutzung der Cloud

Neben den Bedrohungen beim Anbieten und beim Nutzen von Cloud-Diensten lauern auch auf dem Weg in die Cloud Gefahren für Unternehmen und Anwender. Das größte Manko ist das Fehlen einer durchdachten Cloud-Strategie, sodass die Ziele, die mittels Cloud-Computing erreicht werden sollen, weder klar definiert noch überprüfbar sind. Oder es werden kritische Momente beim Einführungsprozess aufgrund einer mangelhaften Planung übersehen, was später zum Scheitern des Projekts führt.

Wenn die Strategie stimmt, aber der zu buchende Cloud-Service ungenau definiert ist, kann es nach dem Live-Gang zu Differenzen über die Servicequalität des Providers kommen. Die Folge können zeitraubende Auseinandersetzungen zwischen den Parteien sowie teure Nachbesserungen sein.

Da ein Cloud-Anbieter selbst häufig Dienste von Partnern bezieht (z. B. Administration oder Backup von Daten), können zum Beispiel personenbezogene Daten an nicht erlaubte Stellen gelangen oder Sicherheitszertifikate geraten in Gefahr, weil ein Auditor die Dienste des Subunternehmens nicht verfolgen kann. 

Weil sich der Weg in die Cloud oft als steinig und zeitaufwändig erweist, wird von der IT oder der Rechtsabteilung eines Unternehmens gerne auch übersehen, dass stets auch ein Weg aus der Cloud heraus mitgedacht werden muss. Geschieht das nicht, besteht die Gefahr einer Abhängigkeit von einem Cloud-Anbieter, die sich in Kombination mit einem Vendor-Lock-in zu einem finanziellen Fass ohne Boden entwickeln kann.

Was ist eine sichere Cloud?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beantwortet diese Frage mit einem Beispiel aus dem Automobilbereich. Wird ein Mittelklassewagen von Experten als sicher eingestuft, fragen Kunden zu Recht: Warum sind in der Oberklasse mehr Assistenzsysteme eingebaut? Der Vorstand eines DAX-Unternehmens fragt vielleicht: Sind die Scheiben schusssicher? Eine Familie vermisst Dachgepäckträger und Fahrradhalterungen, um Freizeitgeräte sicher zu transportieren.

Beim Autokauf werden Kategorien (Kleinwagen, Mittelklasse, Geländewagen) und Marken ein bestimmtes Sicherheitsniveau unterstellt. Parallel dazu gibt es gesetzliche Vorschriften (Airbags, Saisonreifen usw.), die eine untere Grenze definieren. Und schließlich spielt die finanzielle Schmerzgrenze eine wichtige Rolle, denn Sicherheit will finanziert sein.

Fazit
So wie es nicht das eine sichere Auto für alle Situationen gibt, so gibt es auch nicht die eine sichere Cloud für alle Fälle. Wie beim Auto müssen auch bei der Cloud individuelle Fragen gestellt und beantwortet werden. Erst danach lässt sich ein Sicherheitskonzept auf die Beine stellen. Wird dieses umgesetzt, müssen sich nur noch Betreiber und Nutzer an die Sicherheitsvorgaben halten. Das eigentliche Ziel beim Thema Cloud Security ist daher nicht „die sichere Cloud“, sondern „sicheres Cloud Computing.

Die wichtigsten Sicherheitsaspekte beim Cloud Computing

Das vordergründige Ziel einer Cloud Security ist der Schutz von Daten und Systemen vor unerwünschtem Zugriff, sowohl aus dem eigenen Haus als auch von außen. Darüber hinaus sorgt das Sicherheitssystem für den störungsfreien Betrieb und verhindert Systemausfälle. Dabei ist es bei jedem möglichen Störfall (fast) egal, ob er mit kriminellen Absichten oder durch eine unbeabsichtigte Aktion eines Mitarbeiters ausgelöst wird. Alle Daten müssen jederzeit vor dem unbefugten Löschen, Ändern, Kopieren und Lesen geschützt sein. 

Generell unterscheiden sich die Sicherheitsanforderungen bei den Cloud-Services IaaS, PaaS und SaaS, was mit den Verantwortlichkeiten und Zugriffsmöglichkeiten zu tun hat:

    • Iaas (Infrastructure-as-a-Service) ist die Bereitstellung einer Cloud-Struktur zur Installation und Nutzung von Software wie Betriebssystemen und Applikationen: Der Nutzer hat keine Kontrolle über die zugrundeliegende Cloud-Infrastruktur, wohl aber über Betriebssysteme, Speicher, installierte Applikationen und eventuell über Netzwerkkomponenten wie eine Firewall.

    • PaaS (Platform-as-a-Service) erlaubt dem Nutzer, selbst Applikationen zu installieren. Er hat keine Kontrolle über die zugrundeliegende Cloud-Infrastruktur (Netzwerk, Server, Betriebssystem, Speicher), wohl aber über seine Applikationen, damit verbundene Einstellungen und die zu verarbeitenden Daten.

    • SaaS (Software-as-a-Service), also Applikationen, die als Cloud Services bereitgestellt werden: Der Nutzer hat keinerlei Zugriff auf die zugrundeliegende Infrastruktur und nur eingeschränkten Zugriff auf die nutzerspezifische Konfiguration der Applikationen.

Prinzipiell gilt es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen, die auch als die „Grundwerte der Informationssicherheit“ bezeichnet werden.

Je nachdem, welche Art von Cloud Service man betrachtet und welche Art von Daten verarbeitet werden, liegt die Verantwortung für bestimmte Komponenten entweder beim Nutzer oder beim Cloud Provider. So ergibt sich zum Beispiel für das Speichern personenbezogener Daten folgendes Bild:

    • IaaS: Der Nutzer installiert seine Applikationen selbst. Der Cloud Provider kann daher nicht wissen, ob es sich bei den im Cloud Service geladenen und verarbeiteten Daten um Personendaten handelt. Daher liegt die Verantwortung, diese Daten DSGVO-konform zu verarbeiten, allein beim Nutzer.

    • SaaS: Wenn es zum Leistungsumfang der bereitgestellten Software gehört, personenbezogene Daten zu verarbeiten, müssen vom Provider entsprechende Sicherheits-Funktionalitäten installiert sein wie zum Beispiel Verschlüsselung und Zugriffskontrollen.

HIGHLIGHTS

Unternehmen, die ein sicheres Cloud Computing anstreben, sollten die folgenden fünf Punkte beachten:

1. Sicherheitsstandards und Compliance

Als Eigentümer der Daten ist das Unternehmen für die Einhaltung von Sicherheits- und Compliance-Anforderungen verantwortlich, die klar definiert sein müssen, damit sie der Provider vor der Datenverarbeitung in der Cloud umsetzen kann.

2. Zugriffsschutz und Datentrennung

Sensible Daten, die in der Cloud gespeichert und verarbeitet werden sollen, müssen vor dem Zugriff durch administratives Personal des Providers geschützt werden, wobei auf personelle Rollentrennung, Verschlüsselung und Überprüfung des Personals zu achten ist.

3. Identity- und Access-Management

Das Verwalten von Accounts, Berechtigungen und Zugriffen in den Cloud Services ist essentiell, um unberechtigte Zugriffe zu verhindern und ein Auditing zu ermöglichen; der Provider sollte hierfür die Auditing-Informationen auf Service-Ebene bereitstellen.

4. Verfügbarkeit und Netzanbindung

Mit der Auslagerung von IT-Komponenten und Datenbeständen in die Cloud, werden die Geschäftsprozesse der Unternehmen abhängig von der Verfügbarkeit der Cloud, sodass die Vereinbarung verbindlicher Service Level Agreements mit dem Cloud-Provider unerlässlich ist.

5. Anbieterwechsel und Migration

Für den Fall, dass ein Provider den Cloud Service nicht mehr anbieten kann und dieser von einem anderen Partner übernommen werden soll, sind vertragliche Regelungen festzuschreiben, insbesondere, dass die in der Cloud verteilten Daten exportiert, sicher gelöscht und in die Cloud des neuen Anbieters importiert werden können.

DAS KÖNNTE SIE AUCH INTERESSIEREN:

Whitepaper Cloud Security
Wenn die Zahl der Clouds in Unternehmen steigt, ändern sich auch die Herausforderungen an das Security-Konzept. Wir stellen Lösungen vor.
symbol-prod-plussecurity
Cloud Security
Wir bieten Ihnen umfassende Services rund um das Thema Sicherheit und Cybersecurity.
Managed Cloud
Managed Cloud Service Provider entlasten Unternehmen von Routineaufgaben und ermöglichen eine optimale Cloud-Nutzung von Anfang an.
Cloud Migration
Cloud Computing ist einer der größten Treiber der digitalen Transformation. Wer agil und effizient sein will, fragt sich nicht mehr, ob es in die Cloud geht – sondern nur noch in welche.
Hallo, wie kann ich Ihnen helfen?