Cloud Computing
Cloud Computing: Was ist das?
Was ist Cloud-Sicherheit?
Was ist Cloud-Sicherheit?
Cloud-Sicherheit, also eigentlich Cloud-Computing-Sicherheit, ist der Schutz aller Elemente innerhalb einer Cloud-Umgebung, einschließlich der Cloud-Infrastruktur, Cloud-Daten und Cloud-Anwendungen.
Informationsquellen zum Thema Cloud-Sicherheit
Arten von Cloud-Umgebungen
Es gibt drei Kategorien von Cloud-Umgebungen: Public Clouds, Private Clouds und Hybrid Clouds. Alle Cloud-Plattformen haben den gleichen Zweck – die gemeinsame Nutzung von Computing-Ressourcen in einem Netzwerk und die Bereitstellung cloudbasierter Services.
Eine Public Cloud kann Technologie-Services im öffentlichen Internet über einen Cloud-Drittanbieter bereitstellen und unterstützen. Public Cloud-Zugriff wird über ein Abonnementmodell wie Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) oder Software-as-a-Service (SaaS) bereitgestellt. Beispiele für bekannte Public Cloud-Anbieter sind Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure.
Private Clouds erfüllen den gleichen Zweck wie Public Clouds, dienen aber nur einem Kunden. Sie stellen eine Cloud-Infrastruktur für die exklusive Nutzung durch ein Unternehmen oder eine Behörde bereit. Da die Private Cloud nicht gemeinsam mit anderen Benutzern verwendet wird, bietet diese Art von Netzwerk tendenziell viel mehr Kontroll-, Datenschutz- und Sicherheitsfunktionen – solange der Benutzer eine umfassende Sicherheitsstrategie anwendet, die speziell für die Cloud entwickelt wurde.
Mit einem Hybrid Cloud-Modell können Unternehmen oft von den Kosteneinsparungen einer Public Cloud profitieren und gleichzeitig das höhere Sicherheitsniveau für ausgewählte Funktionen in einer Private Cloud nutzen. In einem hybriden Modell kann eine Firma zum Beispiel eine Public Cloud für umfangreiche risikoarme Aktivitäten (z. B. das Hosten webbasierter Anwendungen wie E-Mail oder Instant Messaging) nutzen und gleichzeitig eine Private Cloud für Funktionen reservieren, die mehr Sicherheit erfordern (z. B. die Verarbeitung von Zahlungen oder das Speichern persönlicher Daten).
Funktionsweise von Cloud-Sicherheit
Cloud-Sicherheit folgt häufig dem so genannten Modell der gemeinsamen Verantwortung. Ein Cloud-Service-Anbieter (CSP) – das Unternehmen oder die Entität, die Infrastruktur als Service bereitstellt – muss Sicherheitsbedrohungen für die Cloud-Infrastruktur überwachen und abwehren.
Auf der anderen Seite müssen die Endbenutzer – Einzelpersonen und Firmen – die Daten und andere in der Cloud gespeicherte Assets vor Diebstahl, Preisgabe oder anderen Kompromittierungen schützen.
Unternehmen, die einem cloudbasierten Modell folgen oder in die Cloud wechseln, müssen eine umfassende Sicherheitsstrategie entwickeln und bereitstellen, die speziell für den Schutz und die Verteidigung von cloudbasierten Assets konzipiert wurde.
Drei Hauptprinzipien von Cloud-Sicherheit
Der Vorteil des Cloud-Computings ist gleichzeitig auch sein größter Nachteil: Benutzer können über eine Internet-Verbindung von jedem Ort aus auf die Cloud-Umgebungen zugreifen – und leider auch Cyberkriminelle und Angreifer.
Für Unternehmen, die zu einem cloudbasierten Modell wechseln, hat Sicherheit höchste Priorität. Unternehmen müssen eine umfassende Sicherheitslösung entwickeln und implementieren, um sich vor einer immer größeren Palette von Bedrohungen und immer raffinierteren Angriffen innerhalb der Cloud-Umgebung zu schützen. In der dafür erforderlichen Cloud-Sicherheitsstrategie müssen folgende Prinzipien gelten:
1. Auf den Angreifer fokussieren
In allen Bereichen der Sicherheit, einschließlich der Cloud, ist das Wissen um die Angreifer und deren Vorgehensweise von zentraler Bedeutung: Wer sie sind, welches Ziel sie haben, was sie zum Erfüllen ihrer Ziele tun müssen und wie sich all dies auf die Angriffsfläche auswirkt. CrowdStrike hat beobachtet, dass oft die gleichen Angreifer in der Cloud und in anderen Teilen der IT-Landschaft aktiv sind.
Der Unterschied ist, dass die Cloud ihnen die Gelegenheit gibt, neue Taktiken, Techniken und Prozeduren (TTPs) einzusetzen.
CrowdStrike erforscht kontinuierlich diese cloudnativen Bedrohungen und hat herausgefunden, dass die TTPs bei AWS-Nutzern immer ausgereifter werden und sich bei der Google Cloud Platform (GCP) und Microsoft Azure in der Entstehung befinden. Zumeist werden in aktuellen Techniken traditionelle Angriffsmodi an die Cloud angepasst, allerdings werden raffinierte Angreifer in Zukunft wahrscheinlich speziell auf die Cloud zugeschnittene Techniken entwickeln.
Beispiele für topaktuelle Techniken:
Angriffstools und Post-Exploitation-Frameworks: Diese Tools stehen jetzt für Public Cloud-Anbieter mit Software wie Pacu und Barq zur Verfügung. Angreifer können über IAM Berechtigungen ausweiten oder Lambda-Funktionen für Persistenz und Verschleierung nutzen.
Diese Tools stehen jetzt für Public Cloud-Anbieter mit Software wie Pacu und Barq zur Verfügung. Angreifer können über IAM Berechtigungen ausweiten oder Lambda-Funktionen für Persistenz und Verschleierung nutzen. S3-Ransomware: Es wurden Forschungsergebnisse zu S3-Ransomware veröffentlicht, die theoretisch auf beliebige Cloud-Services ausgeweitet werden können, die Bring-Your-Own-Key (BYOK) und einfache Rotation anbieten, da auch diese Technologien potenziell anfällig sind.
Es wurden Forschungsergebnisse zu S3-Ransomware veröffentlicht, die theoretisch auf beliebige Cloud-Services ausgeweitet werden können, die Bring-Your-Own-Key (BYOK) und einfache Rotation anbieten, da auch diese Technologien potenziell anfällig sind. Traffic Sniffing (Überwachung des Datenverkehrs): Einige Public Cloud-Anbieter haben kürzlich Funktionen für die Spiegelung von Netzwerken eingeführt, die zusätzlich zur verbesserten Netzwerküberwachung auch neue Möglichkeiten für Paket-Sniffing und die Exfiltration großer Datenmengen bieten.
Über diese Bedrohungen auf dem Laufenden zu bleiben, kann zu einer Herausforderung werden. Es ist daher hilfreich, starke Partner für die Bedrohungs- und Situationsanalyse an seiner Seite zu haben. Auch Tests von Drittparteien, internes Red-Teaming und Bug-Bounty-Programme sind bei der Umsetzung eines angreiferfokussierten Ansatzes von Vorteil.
2. Gefährdung verringern
CrowdStrike ist bestrebt, das Gefährdungsrisiko von Unternehmen auf das betriebsnotwendige Minimum zu reduzieren. Dazu gehört die kontinuierliche Suche nach notwendigen Angriffsflächen und deren Beseitigung. Die Firmenkultur von CrowdStrike stellt Sicherheit an erste Stelle. Diese Kultur wird auf allen Ebenen umgesetzt – von der Geschäftsführung bis hin zum neu eingestellten Entwickler.
Beispiele für Taktiken, mit denen CrowdStrike Angriffsflächen reduziert:
Segmentierung, wo möglich, um potenzielle Auswirkungen eines Angriffs zu verringern. Dabei werden verschiedene Cloud-Konten, Virtual Private Clouds (VPCs), Subnetze und Rollen für verschiedene Workload-Typen verwendet. Sich überschneidende Workloads für Produktion, Entwicklung und Integration sollten vermieden werden.
Möglichst umfassender Einsatz cloudnativer Verschlüsselung bei der Übertragung und Speicherung von Daten in der Cloud und proaktiver Umgang mit Verschlüsselungsverfahren, Protokollen, Schlüsseln und Zertifikaten – mit Unterstützung durch interne Tools.
Sicherheit früher in Prozesse einbinden (auch bekannt als Shift-Left-Ansatz) – Implementierung von Tools, Automatisierungen und Standards, die Entwicklern die Einhaltung des gewünschten Sicherheitsverhaltens erleichtern. Diese Tools verringern Reibungsverluste für Entwickler und reduzieren die Wahrscheinlichkeit, dass unsichere oder standardmäßige Konfigurationen verwendet werden.
Einsatz von MFA (sofern verfügbar) und Hardware-Token für wichtige Umgebungen wie GovCloud-Bereitstellungen.
Proaktive Pflege guter IT-Hygiene-Standards durch automatische Erkennung des Ressourcenbedarfs von Cloud-Workloads.
3. Angriffsfläche überwachen
Seien Sie stets darum bemüht, sich einen besseren Überblick über die mögliche Angriffsfläche zu verschaffen. Sie machen es Angreifern damit schwerer, unbemerkt einzudringen; zudem treibt es die Angriffskosten in die Höhe. Die CrowdStrike Falcon-Plattform bietet einen umfassenden Überblick über die Cloud-Infrastruktur von CrowdStrike. Genau genommen lässt sich das Wesen der CrowdStrike-internen Strategie für Cloud-Transparenz mit den Worten „Falcon ist überall“ zusammenfassen.
Der Ansatz besteht aus dem Einsatz des Falcon-Agenten auf allen Cloud-Workloads und -Containern sowie der aktiven Suche nach Bedrohungen rund um die Uhr durch das Falcon OverWatch-Team. Zudem nutzt CrowdStrike bestimmte cloudnative Angriffsindikatoren (Indicators of Attack, IOAs), analysiert Machine Learning-Muster und absolviert formfreie Bedrohungssuchen, bei denen in Workloads und im Kontrollzentrum von CrowdStrike nach „Hands-on-keyboard“-Aktivitäten gesucht wird.
Dank dieses Transparenzniveaus kombiniert mit proaktiver Bedrohungssuche kann CrowdStrike subtiles, nahezu nicht wahrnehmbares Verhalten mit verblüffender Genauigkeit erkennen – wie zum Beispiel bei einem Vorfall, bei dem ein Angreifer das System auf die Existenz bestimmter S3-Buckets gescannt hatte. Diese Buckets waren nicht öffentlich zugänglich und ihre Bezeichnungen konnten auch nicht über Brute-Force erraten werden. Die CrowdStrike-Analysten ermittelten daraufhin, wie der Angreifer an eine Liste der S3-Buckets gekommen sein könnte.
Nach umfangreichen Recherchen gingen Informationsquellen von CrowdStrike davon aus, dass die Angreifer die S3-Bucket-Bezeichnungen wahrscheinlich aus Teilen von DNS-Anfragedaten ausgelesen haben, die sie aus mehreren öffentlichen Feeds gesammelt hatten. Diese Daten lassen sich leicht abgreifen, wenn über öffentliches WLAN auf Ressourcen zugegriffen wird. Daraus lässt sich schließen, dass Angreifer in einigen Fällen mehr Wissen und Einblick in die Cloud-Nutzung von Unternehmen haben, als man annehmen würde.
Was macht die Cloud-Sicherheit anders?
Die Cloud ist dynamisch
Der Cloud-Markt wächst äußerst schnell: Jedes Jahr kommen Dutzende neue cloudnative Services auf den Markt. Diese Services richten sich oft an vielbeschäftigte Entwickler, die möglichst reibungslos und schnell arbeiten wollen.
Die meisten Sicherheitsteams verstehen zwar ihre Rolle im Modell der gemeinsamen Verantwortung, doch haben sie mitunter Probleme, mit der dynamischen IT-Landschaft Schritt zu halten. Selbst Unternehmen, die über ein umfangreiches Sicherheitsprogramm und erwiesene Fachkenntnisse verfügen, haben eventuell einen unzureichenden Schutz.
Beispielweise wurde ein großes Finanzdienstleistungsunternehmen, das über ein ausgeklügeltes Cloud-Sicherheits-System verfügte, Opfer einer Sicherheitsverletzung in seiner Cloud-Infrastruktur, obwohl das Unternehmen zuvor an einem Cloud-Sicherheits-Toolkit auf Open-Source-Basis mitgearbeitet hatte. Um dynamische Multi-Cloud-Umgebungen zuverlässig zu schützen, müssen auch die Sicherheitstools dynamisch und mobil sein.
Multi-Cloud-Umgebungen und verschiedene Workloads
Angriffe können sich auf mehreren Ebenen ausbreiten und verschiedene Workload-Typen betreffen. Der Angriff auf das Finanzdienstleistungsunternehmen umfasste Taktiken, die traditionelle Webanwendungen, Endpunkte und cloudnative Ressourcen berührten. In Berichten über den Zwischenfall wird erwähnt, dass ein Anwendungsfehler ausgenutzt wurde, um einen temporären Station-to-Station-Schlüssel (STS) aus dem vom Host bereitgestellten EC2-Metadaten-Service (Amazon Elastic Compute Cloud) auszulesen. Mit diesem Schlüssel erlangten die Angreifer anschließend von außen Zugriff auf vertrauliche Cloud-Ressourcen, darunter S3-Buckets.
CrowdStrike untersuchte einen Zwischenfall, der von einer Insider-Bedrohung ausging und bei dem der Angreifer ein Exploit auf den Ressourcen des Amazon Web Service (AWS) ausführte. Durch die Ausnutzung einer AWS-Schwachstelle gelangte er an Daten, die in S3-Buckets gespeichert waren. CrowdStrike geht davon aus, dass Angriffe, die sich gegen mehrere Workload-Typen und die Cloud richten, zukünftig häufiger auftreten werden.
Um Angriffe erkennen zu können, die sich von einem Endgerät über verschiedene Cloud-Services bewegen, benötigen Sicherheitsteams einen Überblick, den isolierte, nur auf eine bestimmte Nische ausgerichtete Sicherheitsprodukte nicht bieten können. Nur eine Kombination von Endgerät- und cloudnativen Sicherheitstools kann Angriffe dieser Art erkennen. Unternehmen müssen oft mehr als eine Cloud unterstützen. Wenn sie Workloads in der Public Cloud betreiben, versuchen sie damit, die Zuverlässigkeit und Verfügbarkeit durch eine Multi-Cloud-Strategie zu verbessern. Obwohl dies definitiv ein Schritt in die richtige Richtung ist, stellen diese Unternehmen fest, dass nicht alle Cloud-Anbieter die gleichen Sicherheitsfunktionen bieten.
Unterschiedliche Sicherheitskontrollen können zu Fehlkonfigurationen führen
Jede Cloud hat unterschiedliche Sicherheitsstellschrauben. Auch wenn sich die Kontrollmöglichkeiten verschiedener Cloud-Service-Anbieter auf den ersten Blick ähneln, können sie sich in ihrer Funktion und Anwendung unterscheiden. Selbst einfache Elemente wie Sicherheitslogs, die für eine Bedrohungssuche notwendig sind, sowie deren Abruf unterscheiden sich von Cloud zu Cloud.
Diese Unterschiede sorgen für eine steile Lernkurve, da jeder Public Cloud-Anbieter unterschiedliche Sicherheitsmaßnahmen bietet. Auch die Standardkonfigurationseinstellungen sind bei jedem Anbieter anders. Selbst wenn es hier und da Überschneidungen gibt, werden die Implementierungen doch unterschiedlich bereitgestellt und weisen feine Unterschiede auf. Solange Unternehmen den Schutz all ihrer verschiedenen Cloud-Systeme nicht verbessern, werden Angreifer Fehlkonfigurationen weiterhin für ihre Zwecke ausnutzen.
CrowdStrike-Lösungen für Cloud-Sicherheit
Das Stoppen von Kompromittierungen mithilfe cloudbasierter Daten und Analysen erfordert eine stark integrierte Plattform. Jede der folgenden Funktionen spielt eine wichtige Rolle bei der Erkennung aktueller Bedrohungen und muss mit den Prämissen Geschwindigkeit, Skalierung und Zuverlässigkeit entwickelt und erstellt werden.
Moderne Cloud-Sicherheit geht über Ad-hoc-Ansätze hinaus, indem sie alles Notwendige in einer einzigen Plattform vereint:
IDG-Studie Cloud Security 2021: Sicherheit braucht die richtige Vertrauensbasis
Cloud Computing ist ein Fundament der digitalen Transformation, daran besteht kein Zweifel. Trotzdem ist die Bedeutung der Cloud-Sicherheit bei vielen Entscheidern noch nicht präsent genug. Das muss sich schleunigst ändern, denn unzureichende Sicherheit bei Cloud-Diensten kann schwerwiegende Folgen haben.
Wie die aktuelle Studie "Cloud Security 2021" von IDG Research Services in Kooperation mit den Partnern plusserver, Arvato Systems, Ergon Informatik, TÜV Süd und uniscon zeigt, hat jedes dritte Unternehmen in den letzten zwölf Monaten einen Schaden durch Cloud-Attacken erlitten. Besonders häufig kam es zu Betriebsunterbrechungen und Stillstand im Unternehmen. Unternehmen tun also gut daran, die von ihnen genutzten Cloud-Dienste auch als geschäftskritische Infrastrukturen zu verstehen und entsprechend abzusichern.
"Dass Cloud Security nicht vernachlässigt werden darf, war mir schon vor der Studie klar", kommentiert Dr. Martin Burkhart, Head of Product Management Airlock, Ergon Informatik AG. "Dass aber innerhalb nur eines einzigen Jahres sogar 39 Prozent der größeren Unternehmen wirtschaftlichen Schaden durch Cloud-Angriffe erlitten haben, überrascht mich trotzdem. Und wohlgemerkt, wir sprechen hier nicht von Kleinigkeiten!"
Dabei unterstreicht Dr. Martin Burkhart auch die Risiken für die Produktivität: "30,8 Prozent der betroffenen Unternehmen hat geschäftskritische Daten verloren, und mehr als ein Drittel hat sogar einen kompletten Stillstand des Unternehmens erlitten! Was das auf einen Zeithorizont von 5 oder 10 Jahren hinaus bedeutet, kann sich jeder selbst ausmalen."
Offensichtlich wird die Bedeutung der Cloud-Sicherheit für die Produktivität eines Unternehmens noch weiter zunehmen. Dies muss sich aber auch in den Maßnahmen der Cloud Security niederschlagen.
Zur Studie 'Cloud Security 2021' im Aboshop
Andreas Nolte, Arvato Systems
„Aus meiner Sicht wird sehr deutlich, dass das Thema Schatten-IT auch bei Cloud-Migrationen eine immer größere Relevanz bekommt. So stellt sich immer häufiger die Frage, ob dem IT Management überhaupt alle Cloud-Projekte im Unternehmen bekannt sind. In diesem Kontext muss Cyber-Security deutlich adressiert werden.“ Martin Burkhart, Ergon Informatik AG
„Dass Cloud-Security nicht vernachlässigt werden darf, war mir schon vor der Studie klar. Dass aber innerhalb nur eines einzigen Jahres sogar 39 Prozent der größeren Unternehmen wirtschaftlichen Schaden durch Cloud-Angriffe erlitten haben, überrascht mich trotzdem.“ Florian Weigmann, plusserver
„Das Mindset von Unternehmen, Security-Teams erst verspätet in Cloud-Projekte zu involvieren, muss sich dringend ändern, denn in den kommenden Jahren wird die Anzahl der Cloud- und Multi-Cloud-Projekte weiter zunehmen. Gleichzeitig sind die Provider gefragt, denn stärkere Beratung und Empfehlungen durch deren Cloud-Experten werden umso wichtiger, je komplexer solche Projekte werden.“ Alexander Häußler, TÜV SÜD
„Wer die Chancen der Cloud nutzen will, muss sich auch mit ihren möglichen Sicherheitsrisiken auseinandersetzen. Mit einer entsprechenden Zertifizierung demonstrieren Cloud-Anbieter, dass sie dem Thema IT-Sicherheit eine hohe Bedeutung beimessen. Die Normenreihe ISO/IEC 2700x spielt deshalb auch im Cloud-Umfeld eine zentrale Rolle.“ Jörg Horn, uniscon
„Die Nutzer sind wesentlich sensibler und anspruchsvoller geworden und gehen deutlich bewusster mit dem Thema Datenschutz um. Sie haben gelernt, dass ihre Daten viel wert sind und bei datenverarbeitenden Unternehmen wie auch bei Cyberkriminellen Begehrlichkeiten wecken. Daher ist es nur konsequent, dass ihre größte Sorge dem Diebstahl sowie Missbrauch ihrer Daten gilt.“
Cloud-Provider sind Security-Partner der Wahl
Es stellt sich die Frage, wie die Cloud-Sicherheit gegenwärtig organisiert ist und ob dies den wachsenden Cloud-Risiken und der Bedeutung der Cloud Security entspricht. So arbeiten 43 Prozent der Unternehmen bei Sicherheitsfragen insbesondere mit ihrem Cloud-Provider zusammen, wie die aktuelle Umfrage "Cloud Security 2021" von IDG Research Services ergab.
"Um das Thema Security so einheitlich und klar wie möglich zu definieren und von Anfang an mitzudenken, müssen interne Security-Expertise und Beratung durch den Cloud-Partner stärker ineinandergreifen - gerade wenn dem Unternehmen kein eigenes umfangreiches Security-Team zur Verfügung steht", betont Florian Weigmann, Chief Product Officer, PlusServer GmbH.
Ohne Frage ist diese enge Zusammenarbeit zwingend notwendig, gerade wenn man an das Modell der geteilten Verantwortung in der Cloud-Sicherheit (Shared-Responsibility-Modell) denkt. Es überrascht deshalb einerseits, wenn die Mehrheit der Cloud-Nutzer einen Datendiebstahl in der Cloud befürchtet, also den ergriffenen Maßnahmen für die Cloud-Sicherheit nicht zutraut, kriminelle Zugriffe auf Cloud-Daten erkennen und abwehren zu können. Trotzdem erhoffen sich laut der neuen Studie viele der Cloud-Anwender eine Verbesserung im Datenschutz, wenn sie auf Cloud-Dienste zurückgreifen.
Jörg Horn, Chief Product Officer bei uniscon - A member of TÜV SÜD, hat dafür eine Erklärung: "Die Nutzer sind wesentlich sensibler und anspruchsvoller geworden und gehen deutlich bewusster mit dem Thema Datenschutz um. Sie haben gelernt, dass ihre Daten viel wert sind und bei Daten verarbeitenden Unternehmen wie auch bei Cyberkriminellen Begehrlichkeiten wecken. Daher ist es nur konsequent, dass ihre größte Sorge dem Diebstahl sowie Missbrauch ihrer Daten gilt."
Jörg Horn kann aber auch erläutern, warum gleichzeitig der Datenschutz in der Cloud als Vorteil angesehen wird: "Die Tatsache, dass die Datensicherheit von den Befragten gleichzeitig als größte Stärke der Cloud angesehen wird, steht dazu überhaupt nicht im Widerspruch. Es zeigt vielmehr, dass die Bemühungen der Cloud-Anbieter wahrgenommen und honoriert werden und die Anforderungen der sicheren Datenverarbeitung durch Security-by-Design und Privacy-by-Design umgesetzt werden."
Es erweist sich also als gut und richtig, die Cloud-Provider als starke Partner in der Cloud-Sicherheit anzusehen. Es gibt allerdings noch weitere wichtige Player in der Cloud-Sicherheit, ja es muss sie geben, denn die Cloud-Nutzer haben ebenfalls ihre Aufgaben in der Cloud Security, die sie oder ihre Security-Dienstleister übernehmen müssen.
MSSP können Cloud-Sicherheit stärken
Obwohl Cloud-Sicherheit vielschichtig und komplex ist und in der Security der bekannte Fachkräftemangel herrscht, setzen nur 30 Prozent der befragten Unternehmen auf Managed Security Service Provider (MSSP), so die Umfrage "Cloud Security 2021".
Andreas Nolte, Head of Cyber Security bei Arvato Systems, erklärt, warum MSSP eine wichtigere Rolle in der Cloud-Sicherheit erhalten sollten: "Grundsätzlich zeigt sich beim Thema IT-Sicherheit, dass Managed Security Service Provider (MSSP) ein wichtiger Bestandteil der Security-Strategie von Unternehmen sein müssen. Wesentlicher Grund dafür ist, dass sie infolge ihrer Spezialisierung umfangreiche Expertise und intensiv geschulte Teams bieten können, was den meisten mittelständischen Unternehmen nicht in entsprechendem Umfang möglich ist. MSSP können so eine ganzheitliche Sicht auf die Bedrohungslage herstellen und die notwendigen Schutzmechanismen daraus ableiten. Diese Unterstützung durch versierte Partner bedeutet nicht zuletzt im komplexen Umfeld der Cloud Security ein deutliches Plus an Sicherheit."
Cloud-Zertifizierung als Vertrauensmerkmal
Doch woher weiß man als Cloud-Anwender, wie es um die Cloud-Sicherheit eines speziellen Dienstes und Anbieters steht? Hier kommen die Cloud-Zertifizierungen ins Spiel. Bei der Wahl eines Cloud-Dienstes spielen laut IDG-Umfrage explizite Datenschutzkriterien wie datenschutzkonforme Cloud-Dienste aus der EU (79 Prozent der Befragten), eine DSGVO-Zertifizierung (88 Prozent) oder eine allgemeine Datenschutz-Zertifizierung (86 Prozent) eine wichtige Rolle. 30 Prozent der Unternehmen erwarten eine Cloud-Zertifizierung nach ISO/IEC 27701, nur zwölf Prozent ein C5-Testat nach Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). 25 Prozent hingegen achten auf eine Zertifizierung nach ISO/IEC 27001.
Andrea Lechermann, Chief Data Protection Coordinator bei TÜV SÜD, begründet die Bedeutung dieser Kriterien so: "Der Schutz personenbezogener Daten, insbesondere von Kunden- und Mitarbeiterdaten, hat große Auswirkungen auf das Vertrauen, welches in ein Unternehmen gesetzt wird. Da Cloud-Anbieter oft verschiedenen Rechtssystemen unterliegen und die Regelungen teilweise kollidieren, sollten Unternehmen einen stärkeren Fokus auf Datenschutzkriterien bei der Auswahl von Cloud-Diensten legen."
Alexander Häußler, Product Compliance Manager ISO/IEC 27001 bei TÜV SÜD, ergänzt: "Wer die Chancen der Cloud nutzen will, muss sich auch mit ihren möglichen Sicherheitsrisiken auseinandersetzen. Mit einer entsprechenden Zertifizierung demonstrieren Cloud-Anbieter, dass sie dem Thema IT-Sicherheit eine hohe Bedeutung beimessen. Die Normenreihe ISO/IEC 2700x spielt deshalb auch im Cloud-Umfeld eine zentrale Rolle."
Gleichzeitig bleibt zu hoffen, dass Datenschutz-Zertifizierungen, die den Vorgaben der Datenschutzgrundverordnung (DSGVO) explizit gerecht werden, in absehbarer Zeit verfügbar sein werden. Es wird dann in Zukunft noch wichtiger sein, die Zertifikate der Cloud-Anbieter zu vergleichen, also auch zu prüfen, ob es sich wirklich um ein Zertifikat nach DSGVO handelt oder um ein allgemeines Datenschutz-Zertifikat, dessen Grundlagen in der DSGVO nicht definiert wird.
Cloud Computing als Fundament der Digitalisierung braucht selbst eine Basis des Vertrauens, die nur dann gelegt werden kann, wenn Sicherheit und Datenschutz in der Cloud umfassend gewährleistet und nachgewiesen werden können.
Zur Studie 'Cloud Security 2021' im Aboshop
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Gold-Partner: PlusServer GmbH
Silber-Partner: Arvato Systems GmbH; Ergon Infromatik AG (Airlock); TÜV SÜD AG; uniscon GmbH
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich, IT-Security-Spezialisten
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media sowie zur Erfüllung von Quotenvorgaben über externe Online-Access-Panels; persönliche E-Mail-Einladungen zur Umfrage
Gesamtstichprobe: 383 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 1. bis 15. März 2021
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services
Cloud Computing: Was ist das?
Von letzte Aktualisierung am: 30. Mai 2022
Das Wichtigste zum Cloud Computing in Kürze Cloud Computing ist eine Dienstleistung, die IT-Infrastruktur oder Software über ein Netz zur Verfügung stellt.
stellt. Vorteile für die Nutzer sind Kostenersparnisse , da eigene Infrastrukturen überflüssig werden, und eine höhere Flexibilität, da Ressourcen je nach Bedarf angemietet werden können.
, da eigene Infrastrukturen überflüssig werden, und eine höhere Flexibilität, da Ressourcen je nach Bedarf angemietet werden können. Nachteilig sind vor allem Probleme der Datensicherheit, die bei diesem Service auftreten können, sowie die daraus resultierenden Verletzungen des Datenschutzes.
Was ist Cloud Computing?
Cloud Computing: Wie sicher ist die Verlagerung der Daten in die Cloud?
Was bedeutet Cloud Computing eigentlich? Was ist das genau? Ganz allgemein werden hiermit Dienste zur Bereitstellung von IT-Infrastruktur über ein Netz bezeichnet. Auf diese Weise muss diese nicht mehr lokal vorliegen.
Doch wie funktioniert das Cloud Computing konkret? Im Einzelnen existieren verschiedene Variationen dieser Dienstleistung, die zunächst unterschieden werden müssen. So gibt es beim Cloud Computing beispielsweise unterschiedliche Bereitstellungsarten. Grob können hier folgende Lösungen unterschieden werden:
Private Cloud : Die IT-Infrastruktur besteht ausschließlich für einen Nutzer, also ein Unternehmen oder eine Organisation.
: Die IT-Infrastruktur besteht ausschließlich für einen Nutzer, also ein Unternehmen oder eine Organisation. Public Cloud : Hier erfolgt die Bereitstellung einer großen Infrastruktur für verschiedene Nutzer über das Internet.
: Hier erfolgt die Bereitstellung einer großen Infrastruktur für verschiedene Nutzer über das Internet. Community Cloud : Diese verbindet mehrere ähnliche Institutionen in einer IT-Infrastruktur.
: Diese verbindet mehrere ähnliche Institutionen in einer IT-Infrastruktur. Hybrid Cloud: Dies ist die Kombination verschiedenartiger Cloud-Strukturen, also zum Beispiel eine Private Cloud mit Public-Anteilen.
Arten von Cloud Computing
Auch der Umfang dessen, was ein Cloud-Computing-Service an Infrastruktur bereitstellt, kann stark variieren. Grundsätzlich werden drei Modelle unterschieden, die aufeinander aufbauen und im Folgenden vorgestellt werden sollen.
Infrastructure as a Service (IaaS)
Wie funktioniert Cloud Computing? Es gibt drei verschiedene Dienstmodelle.
Diese Dienstleistung beinhaltet die Vermietung der grundlegenden IT-Infrastruktur. Dies sind Hardware-Komponenten wie Datenspeicher, Rechner und Netze. So kann ein Unternehmen zum Beispiel Daten- oder Arbeitsspeicher je nach Bedarf buchen, sodass diese Form von Cloud Computing den umfangreichen Aufbau und die Pflege eigener Hardwarestrukturen überflüssig macht. Das Anmieten spart im Gegensatz zu einem eigenen Rechenzentrum hohe Investitionskosten ein.
Platform as a Service (PaaS)
Bei diesem Service wird neben den Leistungen der bloßen Hardware auch noch eine fertige Umgebung bereitgestellt. Dies schließt etwa Betriebssysteme und Datenbanken mit ein. Auf dieser Plattform können die Kunden dann direkt ihre eigenen Anwendungen entwickeln und erstellen, ohne sich um Infrastrukturfragen kümmern zu müssen.
Software as a Service (SaaS)
Hierbei handelt es sich um fertige Anwendungssoftware, die auf der Infrastruktur des Anbieters läuft und über die Cloud zur Nutzung angeboten werden. Nicht nur Unternehmen, sondern auch Privatpersonen greifen auf diese Art von Cloud-Computing-Service zurück. Beispiele hierfür sind etwa Officeanwendungen oder andere Software, die online im Abonnement genutzt werden, anstatt einmalig eine lokale Lizenz zu erwerben.
Cloud Computing: Rechtliche Grundlagen
Wenn Daten und Anwendungen ausgelagert werden, sollte stets die Gesetzeslage im Hinterkopf behalten werden. Beim Cloud Computing können rechtliche Aspekte ins Spiel kommen – vor allem Unternehmen sollten sich im Vorfeld umfassend mit diesem Thema beschäftigen.
Wenn personenbezogene Daten verarbeitet werden, also Informationen, die sich eindeutig einer Person zuordnen lassen und sie somit identifizieren oder identifizierbar machen, greift das Datenschutzrecht. In Deutschland ist dies vor allem in der EU-DSGVO und im Bundesdatenschutzgesetz verankert.
Auftragsdatenverarbeitung nach Art. 28 DSGVO
Demnach liegt beim Cloud Computing nach Datenschutzrecht eine sogenannte Auftragsdatenverarbeitung (Art. 28 DSGVO) vor, wenn personenbezogene Daten an ein anderes Unternehmen, in diesem Fall den Cloud-Anbieter, ausgelagert werden.
Datenschutz beim Cloud Computing: Nach der DSGVO liegt eine Auftragsdatenverarbeitung vor.
Was bedeutet das konkret? Der Auftraggeber bleibt verantwortlich für die Daten und die Einhaltung des Datenschutzes. Er muss also unter Berücksichtigung datenschutzrechtlicher Kriterien und unter Prüfung der getroffenen technischen und organisatorischen Maßnahmen den Auftragnehmer auswählen und einen Vertrag mit ihm schließen. Wenn der Schutz personenbezogener Daten nicht in ausreichendem Maße gewährleistet ist, muss der Cloud-Anbieter als unsicher und somit ungeeignet gelten.
Datenübermittlung ins Ausland
Probleme eröffnen sich hier vor allem im internationalen Bereich. Während die Verarbeitung von Daten per Cloud Computing im europäischen Ausland aufgrund des ähnlichen Datenschutzniveaus in der Regel kein Problem darstellt, kann es bei Drittländern Schwierigkeiten geben.
Gerade die USA gelten in Sachen Datenschutz als unsicheres Drittland. Auch wenn nach der Aufhebung der Safe-Harbor-Regelungen, welche für sichere Datenübermittlungen sorgen sollten, inzwischen der Nachfolger namens „Privacy Shield“ besteht, gibt es immer noch weitreichende Bedenken, ob personenbezogene Daten in den USA ausreichend geschützt sind.
zu europäischen Anbietern tendieren, bei denen eine sichere Im Zweifel sollten Unternehmen auf Nummer sicher gehen und, bei denen eine sichere Auftragsdatenverarbeitung aufgrund des europäischen Datenschutzrechtes in der Regel gewährleistet ist.
Sicherheit beim Cloud Computing
Wenn ein Cloud-Computing-Service genutzt werden soll, steht neben den rechtlichen Fragen auch das Thema der Sicherheit im Vordergrund. Wenn Daten das Unternehmen verlassen und außerhalb gespeichert und genutzt werden, sollten sie einem hohen Schutz unterliegen.
Da beim Cloud Computing die Datensicherheit nicht selbst gewährleistet und überprüft werden kann, wie das bei einem eigenen Rechenzentrum der Fall wäre, ist hier viel Vertrauen in den Anbieter notwendig. Daher sollten bereits bei der Wahl des Dienstleisters die hier relevanten Aspekte beachtet werden.
Welchen technischen Risiken unterliegt das Cloud Computing?
Risiken beim Cloud Computing: Unter Umständen kann auf Daten nicht zugegriffen werden.
Die Auslagerung der Daten mittels Cloud Computing birgt verschiedene Risiken, die teilweise höher sind als bei einer lokalen Verwaltung. Auf technischer Ebene können etwa folgende Probleme auftreten:
Datenverlust
Kein Zugriff auf die Daten wegen Netzwerkausfalls
auf die Daten wegen Netzwerkausfalls Mangelnde Trennung verschiedener Nutzer einer Cloud
verschiedener Nutzer einer Cloud Cyberangriffe auf die IT-Infrastruktur
Hier ist der Cloud-Computing-Anbieter in der Verantwortung, den Eintritt solcher Probleme abzuwenden. Gerade Datenverlust und fehlender Zugriff auf die Daten sind für den Nutzer der Cloud nicht nur ärgerlich, sondern entziehen einem Umzug aller Daten oder Anwendungen in die Cloud im Grunde die Sinnhaftigkeit.
Welche konkreten Gefahren drohen durch Cloud Computing?
Dem Nutzer, sei es eine Privatperson oder ein Unternehmen, können aus solchen Mängeln an Datensicherheit, die im Cloud Computing unter Umständen auftreten, ernsthafte Probleme erwachsen. Möglich sind etwa folgende Szenarien:
Daten werden von Unbefugten ausgespäht
Daten werden missbräuchlich verwendet ( Identitätsdiebstahl )
) Daten können nicht mehr kontrolliert werden
Endgeräte werden kompromittiert
Datenschutzrecht wird verletzt
Sollten durch die Nachlässigkeit des Anbieters oder sogar trotz ergriffener Sicherheitsmaßnahmen diese Fälle eintreten, scheint ein Problem des Sicherheitskonzeptes vorzuliegen. Der Nutzer sollte in jedem Fall die Maßnahmen des Anbieters nicht nur vor Vertragsbeginn, sondern auch während der Laufzeit regelmäßig überprüfen.
Mögliche Maßnahmen zur Gefahrenprävention
Neben der ständigen Instandhaltung und der Pflege des Schutzes gegen technische Ausfälle und äußere Angriffe sollen hier exemplarisch zwei Maßnahmen genannt werden, die bei der Nutzung von Cloud Computing als sinnvoll erachtet werden können, um die Datensicherheit zu erhöhen.
Um beim Cloud Computing die Risiken zu minimieren, sollten regelmäßig Datensicherungen durchgeführt werden.
Essentiell sind zum einen regelmäßige Datensicherungen. Diese sollten sowohl seitens des Cloud-Betreibers als auch vom Nutzer durchgeführt werden. Auf diese Weise ist im Falle eines Datenverlusts oder eines verhinderten Zugriffs auf die Daten stets eine Notlösung vorhanden.
Zum anderen ist eine Verschlüsselung der Daten sowohl bei der Übertragung als auch bei der Speicherung sinnvoll, um für eine sichere Auslagerung der Informationen zu sorgen.
keine komplette Sicherheit geschaffen werden kann. Zwar verhindert die verschlüsselte Übertragung und Speicherung der Daten deren direkte Auslesung, jedoch können Unbefugte dadurch bei einem Einbruch ins System nicht davon abgehalten werden, die Daten an einen anderen Ort kopieren und dort ohne Zeitdruck die Verschlüsselung zu dechiffrieren. Allerdings sollte bedacht werden, dass damitwerden kann. Zwar verhindert die verschlüsselte Übertragung und Speicherung der Daten deren direkte Auslesung, jedoch können Unbefugte dadurch bei einem Einbruch ins System nicht davon abgehalten werden, die Daten an einen anderen Ort kopieren und dort ohne Zeitdruck die
Folge von Cloud-Computing-Gefahren: Mangelnder Datenschutz
Wenn in Zusammenhang von Cloud Computing über die Sicherheit der Daten gesprochen wird, so muss differenziert werden zwischen Daten im Allgemeinen und personenbezogenen Daten.
Der Hintergrund: Die Datensicherheit bezieht sich allgemein auf alle Daten, die in der Cloud aufbewahrt werden. Diese sollen vor Löschung, Zugriffsverlust und Manipulierung geschützt werden. Hier sind personenbezogene Daten zwar mit inbegriffen, doch sie stehen noch unter einem stärkeren Schutz.
Wenn etwa Unternehmen mit personenbezogenen Daten Ihrer Kunden arbeiten, so haben sie daher eine besondere Verantwortung. Diese drückt sich unter anderem in gesetzlichen Pflichten wie bei der oben besprochenen Auftragsdatenverarbeitung aus.
Sobald eines der oben genannten Sicherheitsprobleme besteht, ist direkt auch der Datenschutz beim Cloud Computing betroffen. Werden nämlich Firmendaten ausgespäht, so ist dies ein wirtschaftlicher Schaden für das Unternehmen, doch wenn personenbezogene Daten von Dritten betroffen sind, so ist deren Privatsphäre verletzt, was wegen der gesetzlichen Regelungen auch zu Sanktionen gegen das Unternehmen führen kann. Hier sollte also – vor allem bei besonders sensiblen personenbezogenen Daten – sorgfältig durchdacht werden, ob Cloud Computing und Datenschutz sich vereinbaren lassen.
Was spricht für Cloud Computing? Was spricht dagegen?
Welche Vorteile kann Cloud Computing bieten?
Welche Gründe sprechen nun für die Nutzung von Cloud Computing? Wo liegen Bedenken oder Nachteile vor? Wer vor der Überlegung steht, Cloud-Dienste zu nutzen, sollte zunächst individuell für seine Situation die positiven und negativen Umstände gegeneinander abwägen. Diese Analyse zeigt dann, ob die Einführung solcher Verfahren im Einzelfall sinnvoll ist oder nicht.
Mögliche Vorteile von Cloud Computing
In erster Linie bietet ein Cloud-Computing-Service Vorteile, wenn es um den Aufbau umfangreicher Infrastruktur geht. Denn der Aufbau eines eigenen Rechenzentrums, seine Einrichtung und Wartung kosten viel Geld und stellen eine enorme Investition dar.
Gerade bei neuen und noch kleinen Unternehmen stehen solche hohen Anschaffungskosten oft in einem unmöglichen Verhältnis zum tatsächlichen finanziellen Spielraum. Wenn dann zudem nicht klar ist, wie viel Speicher, Arbeitsleistung oder welche Software in der Praxis benötigt werden und wie sich der Bedarf in der näheren Zukunft entwickelt, bietet es sich an, auf die bereits existierende Infrastruktur eines Cloud-Anbieters zurückzugreifen.
Dadurch reduzieren sich nicht nur die Kosten, die sonst für umfangreiche Anschaffungen und Einrichtungen anfallen würden, sondern es erspart zudem auch Folgeaufwendungen, die sich mit der notwendigen Pflege und Instandhaltung der Anlagen ergeben. All dies erledigt der Anbieter.
Neben den niedrigen Kosten kommen beim Cloud Computing auch andere Eigenschaften zum Tragen, die sich vorteilhaft auswirken können. Zu nennen ist hier vor allem die Flexibilität, von der die Nutzer profitieren. Es lassen sich nämlich nach Bedarf mehr oder weniger Ressourcen anmieten, je nachdem, wie viel benötigt wird. Da sich solche Entwicklungen zum Teil schlecht voraussehen lassen, können flexible Cloud-Dienste hier punkten.
Welche Nachteile kann Cloud Computing haben?
Das Cloud Computing kann auch Nachteile mit sich bringen. Dies betrifft in hohem Maße die Sicherheit. Da bei großen Cloud-Anbietern eine erhebliche Menge an Daten hinterlegt ist, stellt dies ein attraktives Ziel für mögliche Angriffe dar, um Informationen abzugreifen. Hier ist der Anbieter in der Pflicht, für die entsprechenden Schutzmaßnahmen zu sorgen – der Nutzer ist darauf angewiesen, dass der Dienstleister sich auch tatsächlich darum kümmert.
Eine Abhängigkeit besteht auch in anderer Hinsicht. Da die Daten oder Anwendungen nicht mehr lokal vorliegen, sondern über das Netz in der Cloud hängen, muss zwingenderweise eine Netzverbindung bestehen, damit auf die Daten zugegriffen werden kann. Fällt diese aus oder ist sie instabil, kann nicht adäquat gearbeitet werden.
Cloud Computing: Welche Nachteile müssen bedacht werden?
Doch nicht nur die Verbindung zum Anbieter ist wichtig, auch dieser selbst bedarf großer Stabilität. Die Abhängigkeit beim Cloud Computing zeigt sich nämlich auch darin, dass für ein reibungsloses Arbeiten der Nutzer auf die Unversehrtheit des Cloud-Dienstes angewiesen ist – sei es rein technisch in Form von funktionierender Hardware und Systemen oder wirtschaftlich derart, dass er nicht insolvent wird und für die Dauer der Dienstleistung fortbesteht.
Eine weitere Form des Kontrollverlusts liegt darin, dass die Daten in die Hände des Cloud-Anbieters gegeben werden. Was genau mit ihnen geschieht, wo sie gespeichert werden und wie sie womöglich verwendet werden, ist zum Teil nicht ganz klar. Auch wenn das Cloud Computing von Deutschland aus genutzt wird, können die Server im außereuropäischen Ausland stehen, sodass die hiesigen Datenschutzrichtlinien möglicherweise keine Anwendung finden.
Es ist nochmals zu betonen, dass eine Verschlüsselung der Daten zwar grundsätzlich sinnvoll ist, aber keinen hundertprozentigen Schutz gegen fremden Zugriff bieten kann.
(31 Bewertungen, Durchschnitt: 4,52 von 5)
4.52 5 31 Bewertungen, Durchschnitt:von 5)