Sicherheit in der Cloud – Security Kompetenzen der Cloud Provider

Cloud-Sicherheit – Wie sicher sind Anbieter und Services?

Die Cloud ist in aller Munde. Nicht nur private Nutzer, sondern auch immer mehr Unternehmen setzen auf die flexiblen Dienste. Das befeuert auch die Debatte über die Cloud-Sicherheit von Daten und Anwendungen in der Cloud.

Was bedeutet Cloud-Sicherheit?

Cloud-Sicherheit ist ein Teilbereich des übergeordneten Themas Computer-Sicherheit. Cloud-Sicherheit (engl. Cloud-Security) beschreibt Prozesse, Richtlinien und Verfahren zum Schutz von Daten, Anwendungen und Infrastrukturen im Bereitstellungsmodell Cloud-Computing. Dabei sind alle Service-Modelle, wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), eingeschlossen. In puncto IT-Sicherheit sind viele Aspekte zwischen Cloud- und On-Premise-IT-Architektur identisch, egal ob Private Cloud, Public Cloud oder Hybrid Cloud. In der Praxis existieren viele Methoden und Möglichkeiten, um einen ordentlichen Präventivschutz zu gewährleisten. Diese Vielschichtigkeit erlaubt jedoch keine einzelne konkrete Erklärung, wie Cloud-Sicherheit übergreifend funktioniert. Zudem spielen die individuellen Anforderungen, z. B. von Unternehmen, eine enorme Rolle bei der Auswahl der passenden Sicherheitsmaßnahmen. Je besser ein Sicherheitskonzept auf den genutzten Cloud-Service sowie den Nutzer zugeschnitten ist, desto höher ist der Schutz.

Geteilte Verantwortung

Sobald ein Vertrag zwischen einem Nutzer und einem Cloud-Anbieter eingegangen wird, Informationen und Systeme in die Cloud verlagert und die IT-Infrastruktur umgestellt wurde, haben beide Parteien Anteil an der Umsetzung von Sicherheitsmaßnahmen. Es ist eine Partnerschaft der gemeinsamen Verantwortung. Der Cloud-Provider stellt dabei die grundlegende Sicherheitsstrategie, um hauptsächlich die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Welche Verantwortung letzten Endes beim Nutzer liegt, ist unter anderem von dem genutzten Service-Modell (Saas, Paas, IaaS) abhängig. Viele große Anbieter wie Google, Microsoft Azure oder Amazon Web Services veröffentlichen eine gleitende Skala als Modell der gemeinsamen Verantwortung für Cloud-Sicherheit.

Die Risiken einer Cloud – Sicherheit geht vor

Jeder ist in der digitalen Welt ist angreifbar. Die Kriminalität hat sich im 21. Jahrhundert und im Zuge der Digitalisierung ebenfalls weiterentwickelt. Heute gehören Cyberangriffe mit zu den häufigsten Problemen, mit denen Unternehmen und Organisationen zu kämpfen haben. Ein aktuelles Beispiel zeigt, welche Auswirkungen derartige Attacken gerade auf die Anbieter von Cloud-Diensten haben. Die amerikanische Firma Kaseya ist ein internationaler IT-Dienstleister, dessen Cloud-basierte Software tausende Unternehmen nutzen. Hackern gelang es, das Unternehmen zu infiltrieren und weltweit für Chaos zu sorgen. Hierbei spielt die Cloud eine wichtige Rolle. Da sie von einer zentralen Quelle (bspw. einem Rechenzentrum) gesteuert wird, können Angreifer über diese Schnittstelle in allen verbundenen Systemen Schaden anrichten. Dementsprechend ist die Sicherheit der Cloud-Anwendungen und Cloud-Speicher von äußerster Wichtigkeit, um weitläufige negative Auswirkungen zu vermeiden.

Kernbestandteile der Cloud-Security

Um für einen effektiven Schutz von Cloud-Umgebungen zu sorgen, existieren eine Reihe von robusten Werkzeugen und Vorgehensweisen. Das sogenannte Identitäts- und Zugriffsmanagement (IAM) ist eines davon. Mithilfe dieses Tools ist eine Kontrolle der Zugriffe auf persönliche, sensible Daten und Anwendungen möglich und somit ein essenzieller Bestandteil jeder Sicherheitsstrategie. Ein weiterer Grundbaustein ist die physische Sicherheit des Rechenzentrums, also der Hardware-Grundlage jedes Cloud-Dienstes. Hier sind Zugangsbarrieren und -kontrollen, Brandschutz, Stromversorgung und vieles mehr inbegriffen. Eine ähnliche Grundvoraussetzung auf digitaler Ebene bilden Firewalls. Deren traditionelle Funktionen wie Paketfilterung, Proxying oder IP-Blockierung werden immer öfter durch zusätzliche Ansätze, sogar teilweise auf der Basis von künstlicher Intelligenz, erweitert.

Threat Intelligence, Intrusion Prevention Systems (IPS) und Intrusion Detection Systems (IDS) bilden die modernen Bestandteile einer Firewall der nächsten Generation. Diese Werkzeuge erlauben eine Identifizierung von derzeitigen und potenziellen Angreifern, helfen dabei, Angriffe abzuschwächen und warnen den Anwender rechtzeitig, damit eine angemessene Reaktion möglich ist. Im Zusammenhang mit Cloud-Nutzung und der häufigen Datenverwahrung und -übertragung über das Internet ist eine Verschlüsselung der Daten besonders wichtig. Der Endanwender besitzt dabei einen Sicherheitsschlüssel, ohne den keine Entschlüsselung und Beeinflussung sensibler Daten möglich ist.

Sicherheitsrisiken in der Cloud

Gerade in der Cloud gibt es eine Reihe spezifischer Sicherheitsrisiken, die denen lokaler IT-Systeme zwar ähneln, aber dennoch besondere Aufmerksamkeit benötigen. So ist der Verlust der Sichtbarkeit von Datenübertragungen bei komplexen Systemen ein solches Risiko. Wenn der Überblick darüber, wer wann Daten wie hoch- und herunterlädt, verloren geht, drohen Datenverlust und -verletzungen. Weiterhin sind bei einem Umstieg auf Cloud-Dienste die Compliance-Vorschriften des Unternehmens zu beachten. Es droht die Gefahr, dass allein durch die neue Systemumgebung gewisse Punkte nicht umsetzbar sind. Hier muss ebenfalls der Überblick gewahrt werden. Im Zuge der Migration eines Systems messen viele Nutzer einer übergreifenden Cloud-Sicherheitsstrategie oft zu wenig Aufmerksamkeit bei. Nur mit einer solchen Grundlage können größere Risiken und Probleme langfristig vermieden werden. Eines der größten Risiken stellen die externen Benutzerschnittstellen (API) dar. Jede nach außen gerichtete API ist ein möglicher Gateway für unbefugten Zugriff. Gerade hier lohnt es sich, größere Anstrengungen für einen sicheren Zugriff in Kauf zu nehmen. Beispiele aus der Vergangenheit, wie der Cambridge-Analytica-Skandal, betonen diese Wichtigkeit.

Scopevisio Cloud-Software – mit Sicherheit

Scopevisio legt viel Wert auf den Schutz der Cloud-Anwendungen und Daten der Nutzer. Sicherheit wird hier seit jeher großgeschrieben. Gerade beim Thema Cloud-Computing sind viele Interessenten skeptisch. Lassen Sie sich von unserem Sicherheitskonzept überzeugen! Datenspeicher in deutschen zertifizierten Hochsicherheits-Rechenzentren, Ende-zu-Ende-Verschlüsselung, automatische Backups und ein umfassendes Rechtemanagement sind ein essenzieller Bestandteil jeder Partnerschaft. Für weitere Informationen sprechen Sie jederzeit unsere Experten an und lassen Sie sich unverbindlich zum Thema Cloud-Security beraten. Scopevisio ist Ihr Partner für sichere und zuverlässige Cloud-Lösungen.

Autor:in Stefan Maron

Cloud Security: Alles zum Thema Sicherheit in der Datenwolke

Cloud Security: Alles zum Thema Sicherheit in der Datenwolke

Cloud Security widmet sich der Sicherung von Cloud-Computing-Systemen. Als Fachgebiet der Cyber-Sicherheit umfasst dies eine Vielzahl von Einzelmaßnahmen, um vor Risiken wie Datenverlust, unrechtmäßigem Zugriff und dem Ausfall der Cloud Services zu schützen. Zusätzlich wird auch die Einhaltung der gesetzlichen Datenschutzbestimmungen durch Cloud Security gewährleistet.

Nach Angaben des Branchenverbands Bitkom nutzen aktuell bereits 73 Prozent aller deutschen Unternehmen Cloud Services. Viele davon haben in den letzten Jahren sogar einen Großteil ihrer IT-Infrastruktur in die Cloud verlagert, da dort mittlerweile nahezu jede Anwendung gehostet werden kann. Das macht Cloud-Lösungen für kleine, mittlere und große Unternehmen gleichermaßen interessant.

Doch mit dem gestiegenen Anteil gespeicherter Daten in der Cloud steigen auch die Anforderungen an die Cloud-Sicherheit. Wir erläutern Ihnen, auf was es bei Cloud Security ankommt und auf was Sie achten sollten, wenn Sie sich für einen Cloud-Anbieter entscheiden.

Was ist Cloud Security?

Unter der Bezeichnung Cloud Security versammelt sich eine Vielzahl an einzelnen Maßnahmen. Nicht zu verwechseln ist diese mit dem Oberbegriff der „Cyber-Sicherheit”: Unter dieser versteht man allgemein Maßnahmen, um die IT-Infrastruktur und Daten gegenüber Angriffen zu schützen. Darunter fallen beispielsweise die Netzwerksicherheit oder der Schutz von Software und Geräten.

Die Instrumente der Cloud Security hingegen dienen in erster Linie zur Absicherung der in der Cloud gespeicherten Daten und Anwendungen, aber auch der Cloud-Umgebungen an sich. Unter Cloud Security fallen demzufolge alle Technologien, Protokolle und Best-Practices, durch die eine Cloud-Architektur geschützt werden kann.

Notwendig wird dies vor allem deshalb, da oft viele unterschiedliche Benutzer:innen die in der Cloud abgelegten Daten abrufen. Darüber hinaus befinden sich diese nicht im direkten Einflussbereich der Dateneigentümer:innen. Public- oder Hybrid-Cloud-Lösungen sind im Unterschied zu reinen Private-Cloud-Lösungen zudem über das öffentliche Internet erreichbar. Deshalb sind im Rahmen der Cloud Security allein aus rechtlichen Gründen besondere Sicherheitsmaßnahmen erforderlich.

Folgende Aspekte stehen bei Cloud Security im Mittelpunkt:

Server- und Netzwerksicherheit

Sicherheit von Daten und Anwendungen

Identitäts- und Zugriffsmanagement (IAM)

Sicherheit der Hardware (Rechenzentrum, Server, Netzwerkinfrastruktur)

Stabilität der bereitgestellten Services

Quelle: YouTube / Dr. Michael Gorski – IT-Security

Wie sicher ist die Cloud? Sicherheitsrisiken von Cloud Services

Um herauszufinden, welche Form der Cloud Security für Ihr Unternehmen geeignet ist, sollten Sie die verschiedenen Arten von Cloud Services kennen. Dies umfasst sowohl die Frage der Zugänglichkeit von Daten aus dem öffentlichen oder privaten Raum, als auch die Eigentumsverhältnisse in Bezug auf die bereitgestellte Cloud-Umgebung und deren Komponenten.

Grundlegend ist ein Cloud Service dahingehend definiert, dass ein externer Anbieter Ihrem Unternehmen die physische Infrastruktur zur Verfügung stellt und verwaltet, um darauf Ihre Daten zu hosten. Dies umfasst neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicherung sowie Frameworks zur Virtualisierung von Computer-Eigenschaften. Sie als Kunde können so auf die dort verwalteten Daten und Eigenschaften von jedem Ort aus zugreifen.

Vorteil: Durch einen Cloud Service entfallen für Ihr Unternehmen teure Investitionen in Hardware und Netzwerkinfrastruktur sowie laufende Kosten für regelmäßige Upgrades bzw. Updates und Personalkosten für Wartung und Service.

Grundlegend werden drei Formen von Cloud Services unterschieden:

1. Beim Modell Software as a Service (SaaS) können Sie Anwendungen nutzen, die auf den Servern eines externen Anbieters laufen. Dieser verwaltet neben den Anwendungen auch die zugehörigen Daten, den auszuführenden Code und das Betriebssystem. Die Software steht meist geräteübergreifend für Desktop-Computer, Tablets und Smartphones bereit. Typische Beispiele für SaaS sind Microsoft 365, Google Workspace, Slack oder Cisco WebEx.

Flexibel und sicher: Microsoft 365 von Vodafone Mit Microsoft 365 erhalten Sie die gängigen Office-Tools wie Word, Excel, PowerPoint und Co. als Onlineversion zur Zusammenarbeit via Cloud. Vertraute Office-Anwendungen

Effiziente Kommunikation

Mehr Kosteneffizienz Jetzt informieren

2. Das Platform as a Service (PaaS)-Modell wiederum bietet Ihnen die Möglichkeit zur Entwicklung eigener Anwendungen. Dazu werden auf den Servern des Anbieters sogenannte „Sandbox-Bereiche” ausgeführt, in denen Sie eigene Anwendungen, Daten, Netzwerke und Berechtigungen speichern und verwalten können. Bekannte Beispiele dafür sind die Google App Engine und Microsoft Azure.

3. Bei Infrastructure as a Service (IaaS) stellen Cloud-Anbieter Hardware- und Fernverbindungssysteme zur Verfügung, auf denen Sie nahezu ihre komplette EDV unterbringen können, inklusive der Betriebssysteme. Die Anbieter verwalten dabei lediglich den zentralen Cloud-Dienst, während Sie alle Anwendungen, Daten und Laufzeiten selbst administrieren. Für die Sicherheit von Software und Daten sind somit Sie und nicht die Anbieter zuständig. Beispiele für IaaS sind die Google Compute Engine (GCE) und Amazon Web Services (AWS).

Infografik anzeigen

Ohne Infrastruktur und Plattform keine Software: Der Zusammenhang zwischen SaaS, PaaS und IaaS ist von hierarchischer Struktur.

Cloud-Infrastruktur und das Thema Sicherheit: Besonderheiten im Public-, Private- und Hybrid-Cloud-Umfeld

Es gibt verschiedene Cloud-Dienste, die sich jeweils für unterschiedliche Anwendungsszenarien eignen. Folgendes sollten Sie bei der Auswahl hinsichtlich des Themas Cloud Security berücksichtigen:

Public Cloud : Diese Form der Cloud ist über das Internet zugänglich. Die Services stehen bedarfsgerecht nicht bloß einzelnen Organisationen, sondern allen registrierten Anwender:innen mit jeweils eigenen Workspaces zur Verfügung. In Public Clouds können Sie Rechenleistung, Infrastruktur, Speicher oder Anwendungen mieten. Die Fixkosten sind für Sie je nach Leistungsumfang gut kalkulierbar. Investitionen in eigene Infrastruktur oder Software sind nicht notwendig. Beim Thema Cyber-Sicherheit sind Sie hier jedoch grundsätzlich auf die vertrauliche Behandlung der übermittelten Daten durch den Dienstanbieter und dessen Sicherheitsmechanismen angewiesen.

Private Cloud : Als Gegenstück zur Public Cloud stellt dieser Cloud Service seine Infrastruktur ausschließlich für eine einzelne Organisation zur Verfügung. Sie ist ohne entsprechende Zugangsdaten nicht über das Internet erreichbar und bietet damit bessere Möglichkeiten für Individualisierung, Kontrolle und Sicherheit. Die Private Cloud kann auf eigenen oder externen Servern gehostet werden, für die je nach Modell unterschiedlich hohe Kosten anfallen. Eine Private Cloud ist für Sie eine gute Lösung, wenn Sie strenge Datenschutzvorgaben erfüllen müssen.

Hybrid Cloud : Diese Cloud-Lösung vereint die Vorteile von Public und Private Cloud. So können Sie sensible Daten, die besonderen rechtlichen Bestimmungen unterliegen, im abgegrenzten Bereich der privaten Cloud speichern. Der öffentlich zugängliche Teil der Hybrid Cloud integriert hingegen die unkritischen Geschäftsprozesse und -daten. Gewöhnlich administriert ein externer Dienstleister eine Hybrid-Cloud-Umgebung, sodass bei Ihnen kein Inhouse-Personal gebunden wird. Diese Lösung gilt häufig als idealer Kompromiss zwischen Anbieterunabhängigkeit, Flexibilität und Sicherheitsaspekten.

Multi Cloud : Die Kombinationslösung mehrerer Cloud-Dienste versammelt unter dem Begriff Multi Cloud nach eigenem Bedarf zusammengestellte Public Clouds und Private Clouds unter einem gemeinsamen Dach. Sie können so die Angebote verschiedener Cloud-Anbieter parallel nutzen und sind dabei nicht an einen einzelnen Provider gebunden. Innerhalb dieser Struktur können Sie Daten zwischen den verschiedenen Clouds verschieben und externen Partner:innen oder Kund:innen einfacher Zugriff gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln sie in einer zentralen Managementkonsole.

AWS und Vodafone: Ideal für Open Source- und App-Entwicklung Setzen Sie gemeinsam mit uns auf den Marktführer im IaaS (Infrastructure-as-a-Service)-Bereich. Inklusive performanter Cloud-Anbindung an das Vodafone-Netz und Services rund um die Workload-Migration. Breitestes Portfolio: 200+ cloudbasierte Services

Unterstützung für Apache Kafka, MySQL, Linux und mehr

E-Commerce-Cloud-Computing-Lösung für den (Online-)Einzelhandel Jetzt mit AWS durchstarten

Wie funktioniert Cloud Security?

Mechanismen der sogenannten Cloud Security sollen Ihre Nutzung der Cloud in verschiedenen Bereichen absichern. Dabei stehen vier Punkte im Mittelpunkt:

Datenwiederherstellung bei Datenverlust Schutz vor Datendiebstahl Verhinderung von Datenlecks Sicherung bei Systemkompromittierung

Besondere Tools sollen die Cloud sicher machen, indem sie den Zugang und die Sichtbarkeit der Daten regulieren. Die wirkungsvollste Methode ist dabei die Verschlüsselung (Encryption). Ohne einen gesonderten Key zur Entschlüsselung sind Daten für Dritte nicht lesbar. Während des Transfers sind VPNs (Virtuelle Private Netzwerke) für den Datenschutz zuständig – vor allem bei den Cloud-Modellen abseits der Public Cloud.

Ein weiteres wichtiges Werkzeug für die Sicherheit der Cloud-Nutzung sind Identitäts- und Zugriffsverwaltung. Dazu gehören die Authentifizierung sowie Autorisierungen, die das System Benutzerkonten einräumt. Eine sichere Passwortverwaltung und die Multi-Faktor-Authentifizierung fallen ebenfalls in diesen Bereich.

Ergänzend kommen Steuerungsstrategien zur Prävention, Erkennung und Beseitigung von Bedrohungen für die Cloud hinzu. Diese beinhalten sowohl die internen Abwehrmechanismen einer Cloud-Umgebung als auch die besondere Schulung des Nutzer:innenverhaltens. Daneben spielen die technischen Wiederherstellungsmaßnahmen im Falle eines Datenverlustes (Cloud Disaster Recovery) eine wichtige Rolle. Weitere Fail-Safe-Systeme garantieren einen unterbrechungsfreien Betrieb, überwachen Backups und sorgen für die Anleitung von Mitarbeiter:innen im Fall einer notwendigen Datenwiederherstellung.

Achtung: Bei der Planung einer Unternehmens-Cloud sollten Sie vor allem die Gesetzeslage prüfen. Der Schutz von Daten und Benutzerinformationen ist in vielen Staaten mittlerweile klar reguliert. Fallen die von Ihnen verarbeiteten Daten beispielsweise unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO), stellen Sie sicher, dass der von Ihnen gewählte Cloud-Anbieter für eine entsprechende Verwahrung und Verschlüsselung der Daten sorgt.

Die Rolle der Cloud Security Alliance (CSA)

Um die Sicherheit von Clouds zu überprüfen, wurde im Jahr 2008 die Cloud Security Alliance (CSA) gegründet. Dabei handelt es sich um einen gemeinnützigen Zusammenschluss von global agierenden Unternehmen, der die Absicherung von Cloud-Umgebungen anhand von Best-Practice-Beispielen kontrolliert. Die Einhaltung und Entwicklung verbindlicher Sicherheitsstandards bei Cloud Services sind ein wichtiges Ziel der CSA.

Durch die Schulung von Anwender:innen sowie die Beratung von Softwarefirmen sollen zusätzliches Know-How und Bewusstsein für die wichtigsten Aspekte der Cloud Security vermittelt werden. Zu diesem Zweck wird von der CSA beispielsweise ein Toolkit angeboten, das in der Lage ist, die Sicherheit von Public und Private Clouds zu überprüfen.

Was ist Security as a Service?

Die Angebote der Cloud Security Alliance fallen im Prinzip bereits unter das Angebot „Security as a Service” (SECaaS). Durch dieses Angebot externer Dienstleister können Sie beispielsweise den Datenverkehr von und zu einer Cloud überwachen und analysieren. Des Weiteren können Sie so Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren. Interne Sicherheitsvorkehrungen können Sie auf diese Weise auch auf externe Cloud-Umgebungen anwenden.

Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen und Policies verwalten, was Ihnen zusätzlich Aufwand und somit Kosten spart.

Risikofreies Cloud-Computing: Vodafone Total Cloud Security Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute. Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland. Mehr zu Vodafone Total Cloud Security

Cloud-Security-Lösungen

Im Rahmen der Cloud Security wird zwischen verschiedenen Sicherheitslösungen unterschieden, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:

Hybride Cloud-Sicherheitslösungen : Die Verlagerung der EDV in eine Hybrid Cloud bringt für Unternehmen den Vorteil, die Vorzüge von Private und Public Cloud miteinander zu kombinieren. Um die Sicherheit der Daten und gleichzeitig eine hohe Praktikabilität für die Anwender:innen zu gewährleisten, empfiehlt sich eine durchgängige Sicherheit auf allen Plattformen und Endgeräten, die mit der Cloud kommunizieren. Einige Maßnahmen erhöhen den Sicherheitsstandard einer Hybrid-Cloud-Lösung für Unternehmen deutlich. Dazu gehören zum Beispiel Mikrosegmentierung, die Vereinfachung von Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen sowie ein Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter.

Sicherheitslösungen für kleine und mittlere Unternehmen (KMU ): Auch KMU nutzen immer häufiger Cloud Computing, benötigen aber meist keine komplexe Cloud-Architektur. Für den besten Schutz sensibler Daten empfiehlt sich die Nutzung einer Private Cloud. Dort sollten Sie ausschließlich verschlüsselte Unternehmensdaten speichern. Gesetzesvorgaben und Compliance-Richtlinien können Sie auf diese Art am besten und kostengünstigsten erfüllen. Die Cloud kann zudem ausschließlich für denjenigen Bereiche und Mitarbeiter:innen des Unternehmens zugänglich sein, die sie auch tatsächlich benötigen. In diesem Zusammenhang empfiehlt sich zudem die gewissenhafte Sicherung von Zugangsdaten zur Cloud auf Unternehmensrechnern und mobilen Endgeräten. Dadurch wird unbefugtem Zugriff auf die Cloud zusätzlich vorgebeugt.

Cloud-Sicherheitslösungen für große Unternehmen : Große, global agierende Unternehmen stehen vor besonderen Herausforderungen hinsichtlich der Sicherheit ihrer Cloud-Architektur. Sie benötigen häufig eine Public Cloud für eine einheitliche Zugänglichkeit durch Geschäftspartner und Kund:innen, unterliegen gleichzeitig aber möglicherweise unterschiedlich strengen Richtlinien hinsichtlich des Datenschutzes (beispielsweise in der EU und den USA). Was bereits für KMU gilt, muss hier für multiple und komplexe Hybrid-Cloud-Lösungen in einer ganzheitlichen Sicherheitsstrategie erfasst werden. Dabei werden Cloud-Security-Standards und Richtlinien festgelegt, die von speziell geschulten IT-Mitarbeiter:innen entwickelt und umgesetzt werden. Alternativ können externe Expert:innen in den Prozess miteinbezogen werden.

Vodafone Total Cloud Professional Services Wir beraten Sie in jeder Phase Ihres Cloud-Projekts und erarbeiten mit Ihnen, welche IT-Ressourcen Sie haben – und welche Sie brauchen. Zusammen entwerfen wir in unserer Roadmap das Design und den Aufbau Ihrer optimalen IT-Landschaft. Effiziente Beratung auf den Punkt

Alles aus einer Hand Jetzt informieren

Warum ist Cloud Security so wichtig?

Die Speicherung geschäftlicher und privater Daten hat sich in den letzten beiden Jahrzehnten grundlegend gewandelt: Während Unternehmensdaten in der Vergangenheit nahezu ausschließlich lokal gespeichert wurden, befinden sie sich heute längst zu einem großen Teil in der Cloud. Nachdem die Sicherheit dieser Daten früher ebenfalls lokal gewährleistet wurde, sind sie heute potenziell von überall aus zugänglich.

Dennoch wandern immer mehr Daten jedweder Art in die Cloud – die bequeme Zugänglichkeit von jedem Ort aus sowie der damit einhergehende flexible Datenaustausch überwiegen für viele Anwender:innen die Bedenken hinsichtlich deren Sicherheit. Doch durch die Ansammlung extrem vieler Daten an einem Ort oder bei einem Anbieter steigt die Gefahr von Angriffen und/oder massiver Datenverluste: Große Datenmengen sind für Cyberkriminelle attraktiver als kleine, fragmentierte Datenbestände. Aus diesem Grund suchen diese gezielt nach Schwachstellen in der Cloud-Architektur. Anbieter wie Anwender:innen stehen also gleichermaßen in der Pflicht, für die Sicherheit der Daten in der Cloud zu sorgen.

IT-Sicherheitsstrategien

Heutige IT besteht gewöhnlich aus einer Kombination lokaler Komponenten (stationäre Rechner, Laptops, Server usw.) sowie der IT einer Cloud-Umgebung (intern oder extern). Beide Architekturen sind meist miteinander verwoben und stehen in komplexen Verhältnissen zueinander – erst recht, wenn mehrere Cloud-Arten verknüpft werden.

Die IT-Security steht somit vor besonderen Herausforderungen, um die Sicherheit der Daten und den Schutz vor Angriffen zu gewährleisten. Folgende Sicherheitsvorkehrungen sollten dabei obligatorisch sein:

Firewalls : Schirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen zusätzlich für zusätzliche Barrieren innerhalb hybrider Architekturen.

Antivirensoftware : Scannt nach Viren und beseitigt sie.

Schutz vor Ransomware : Software zur Abwehr vor Schadprogrammen, die das System kapern und die Daten Ihrem Zugriff entziehen (Mal- und Ransomware).

2-Faktor-Authentifizierung : Zusätzlicher Identitätsnachweis von Nutzer:innen durch zwei voneinander unabhängige Komponenten.

Infografik anzeigen

Die Sicherheit einer Cloud-Architektur benötigt effektive Maßnahmen. Diese müssen sinnvoll ineinander greifen, um Ihre Daten zuverlässig zu schützen.

Welche Cloud ist DSGVO-konform? Gesetzliche Anforderungen an die Cloud-Sicherheit

Um die Sicherheit einer Cloud zu gewährleisten, stehen Unternehmen bzw. Anwender:innen selbst in der Verantwortung, müssen aber einen Teil ihrer Handlungsmöglichkeiten an den Anbieter des Cloud Services abgeben. Um Risiken im Rahmen der Corporate Governance zu minimieren und den dauerhaften Support für eine Cloud-Architektur zu garantieren, werden die Details der Datenverarbeitung in einem Data Processing Agreement (DPA) festgelegt, als Teil der Compliance zwischen Anbietern und Kund:innen. Dieses ist rechtlich bindend und beinhaltet Regularien wie die deutsche Datenschutz-Grundverordnung (DSGVO), den amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder den internationalen Payment Card Industry Data Security Standard (PCI DSS).

Die Auflagen für Auditierung werden im Cloud Service Agreement (CSA) geregelt. Darin wird festgelegt, ob der Cloud-Provider oder ein externer Anbieter eine Auditierung vornehmen muss. Unter das CSA fallen aber auch Verantwortlichkeiten für Zertifizierungen, implementierte Standards sowie Regeln zu dem Reporting und der Recovery.

Nicht zu vernachlässigen ist in diesem Zusammenhang das „Recht-auf-Vergessen-werden”: Dieses liefert klare Vorgaben, wenn Kund:innen einen Cloud-Anbieter verlassen möchten. Das kann beispielsweise dann der Fall sein, wenn Ihr Unternehmen den Provider wechseln oder die in der Cloud gehosteten Daten in die eigene IT-Architektur übertragen möchte. Solch einen „Exit-Prozess” sollten Sie bereits vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter vereinbaren. Darunter fallen unter anderem Garantien für die Löschung von Backups und Logs nach festgelegten Zeiträumen, aber auch das Recht auf die restlose und vollständige Löschung sämtlicher Daten.

Cloud Security in der Praxis: Das sollten Sie beachten

Wenn Sie in Ihrem Unternehmen einen Teil der IT in die Cloud auslagern möchten, sollten Sie sich vorher möglichst konkrete Gedanken über die Bedürfnisse und Anforderungen machen, die für Sie wichtig sind. Folgende Punkte sollten Sie dabei beachten:

Bedürfnisse : Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zu internen Zwecken oder sind Sie auf umfangreiche Public- oder Hybrid-Cloud-Lösungen zur Kundenkommunikation angewiesen? Welche Integration und Interaktion mit Ihrer bestehenden IT ist erforderlich? Unterliegt die Datenverarbeitung Ihres Unternehmens bestimmten Regularien und Gesetzen? Welches Budget steht Ihnen zur Verfügung und welches Zahlungsmodell streben Sie an? Verantwortung : Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und dem Cloud-Anbieter aufgeteilt? Diese werden im CSA und gegebenenfalls in Service Level Agreements festgelegt. Achten Sie in diesem Zusammenhang auf Lücken in den Vereinbarungen: Existieren Bereiche, die für Sie essentiell sind, die aber vom Provider nicht abgedeckt werden (können)? Sicherheit : Für die Cloud Security sollte definiert sein, welche Sicherheitsstandards eingehalten werden und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese zur bereits bestehenden Infrastruktur zum Schutz Ihrer Unternehmensdaten? Externe Expertise : Neben der Aufteilung der Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und dem Anbieter empfiehlt sich das Hinzuziehen von externen oder internen Expert:innen. Dies kann Ihre Rechts- oder Finanzabteilung umfassen, aber auch spezialisierte Dienstleister zur Auditierung. Deren Rechte und Befugnisse sollten Sie ebenfalls vor Abschluss eines Vertrags definieren.

Flexibel, skalierbar und sicher: Vodafone Cloud- und Hosting-Services Sie suchen Cloud-Lösungen, die sich individuell und flexibel entsprechend Ihrer Business-Anforderungen anpassen lassen? Bei der Sie bei Bedarf alle Services aus einer Hand erhalten und sich über Performance und Datensicherheit keine Gedanken machen müssen? Gerne helfen wir Ihnen bei der Auswahl der passenden Cloud & Hosting Services für Ihr Unternehmen und unterstützen Sie mit Informationen, worauf es anderen Unternehmen bei der Auswahl eines passendens Cloud-Anbieters ankommt. Mehr Informationen zu Cloud & Hosting Services

Zusammenfassung: Cloud-Sicherheit im 21. Jahrhundert

In einer Cloud können heute nahezu alle Prozesse beheimatet sein, die für die EDV eines Unternehmens von Belang sind. Cloud Services bieten von der rudimentären Infrastruktur (IaaS) über Platform as a Service (PaaS) bis hin zu kompletten Programmpaketen (Software as a Service) nahezu jede Möglichkeit, um Ihre Daten in der Cloud zu hosten und zu bearbeiten.

Auch deren Zugänglichkeit können Sie individuell anpassen: Ob in der Public Cloud, der Private Cloud oder den Mischformen der Multi- und Hybrid Cloud – Daten und Anwendungen können für Unternehmen und deren Anwender:innen in nahezu jedweder Form bereitgestellt werden, was die Zugänglichkeit angeht.

Zum Schutz dieser Daten muss eine zeitgemäße Cloud Security viele Aspekte berücksichtigen: Der Fokus liegt dabei auf dem Schutz vor Datendiebstahl und Datenlecks. Aber auch die Datenwiederherstellung spielt eine wichtige Rolle. Eine sichere Passwortkontrolle mittels 2-Wege-Authentifizierung, der Einsatz von Firewalls und Schutzprogrammen gegen Ransomware, die Instandhaltung der Cloud-Architektur sowie die Schulung der Nutzer:innen stellen dabei die wichtigsten Aspekte dar.

Daneben gilt es, je nach Standort und Art der gespeicherten Daten besondere datenschutzrechtliche Bestimmungen zu berücksichtigen, die zwischen Provider und Kunden im sogenannten Data Processing Agreement festgelegt werden.

Haben Sie Ihre Unternehmensdaten in eine Cloud ausgelagert? Welche Sicherheitsaspekte sind für Sie besonders wichtig? Lassen Sie es uns in den Kommentaren wissen.

Sicherheit in der Cloud – Security Kompetenzen der Cloud Provider

Datenverluste, Serviceausfall, unerwünschte Zugriffe sowie die Einhaltung der gesetzlichen Datenschutzvorgaben – dies alles gehört zur Cloud Security. Für eine ausreichende Sicherheit in der Cloud sind bestimmte Leistungen der Cloud-Anbieter und der Nutzer notwendig. Doch Public Cloud Provider bieten in der Regel nur einen eingeschränkten Service.

Ein Großteil der Unternehmen nutzt heutzutage Cloud Computing in der ein oder anderen Form. Die Cloud als Managed Service kann dafür sorgen, dass Sicherheitslücken erkannt und geschlossen werden. Cloud Computing birgt neben vielen Möglichkeiten jedoch auch gewisse Risiken. Diese sind vor allem mit der Auslagerung sensibler Daten verbunden.

Eine Cloud ist eine virtualisierte IT-Umgebung, die es Einzelpersonen und ganzen Unternehmen ermöglicht, mit Anwendungen und Daten zu arbeiten, die auf gemeinsam genutzten Rechnern in webbasierter Umgebung gespeichert und verwaltet werden und damit nicht physisch am Benutzerstandort untergebracht werden müssen.

Ein großer Vorteil des Cloud Computing bildet dabei die Möglichkeit, ein größeres Arbeitsvolumen zu bewältigen, ohne die Systemleistung zu beeinträchtigen. Cloud Computing bietet enorme Rechenkapazitäten. Diese wären ansonsten mit Investition in die IT-Infrastruktur verbunden, die vor allem für kleinere Unternehmen kaum erschwinglich wären.

Die Risiken des Cloud Computing:

Wenn eine Cloud von Unternehmen genutzt wird und geschäftskritische Informationen und Anwendungen in die Cloud ausgelagert werden sollen, sollte eine detaillierte Sicherheitsanalyse Bestandteil der Cloud-Strategie sein. Dabei spielt der Schutzbedarf der auszulagernden Informationen und Anwendungen eine wichtige Rolle. Auf der Grundlage der oben genannten Risiken sollten Anbieter geprüft und Sicherheitslücken geschlossen werden.

Cloud Provider richten ihr Angebot zwar auf unterschiedliche Arten von Informationen und Anwendungsmöglichkeiten aus, doch kennen sie natürlich nicht den individuellen Schutzbedarf der Kundendaten. Da ein sehr hohes Schutzniveau mit entsprechend hohen Kosten für die Kunden verbinden wäre, wird in der Regel ein eher durchschnittliches Schutzniveau angeboten, dass für viele Nutzer bereits ausreicht. Weiterführende Maßnahmen müssen eigenständig getroffen oder hinzugebucht werden.

Eine gute Cloud Security beinhaltet in diesem Sinne technische und prozessuale Maßnahmen ebenso wie individuelle vertragliche Regelungen. Dabei beinhalten die technischen Maßnahmen Sicherung und Verschlüsselung von Kommunikationswegen, Schutz und Verschlüsselung gespeicherter Daten, Sicherung der einzelnen Komponenten der Cloud, Authentifizierung von Nutzern und Administratoren sowie das Monitoring, um Störungen und Risiken rechtzeitig zu erkennen. Auch Wiederherstellungsprozesse und datenschutzrechtliche Vorgaben von Seiten der Kunden müssen vom Cloud-Anbieter berücksichtigt werden. Individuelle Anforderungen von Kundenseite aus können vertraglich über Service Level Agreements (SLA) getroffen werden.

Bestimmte Aspekte der Cloud-Security sind den meisten Cloud Computing Plattformen zu eigen. Wenn eine Plattform wirkungsvoll abgesichert sein soll, ist neben einer gut strukturierten Sicherheitsarchitektur auch eine gute Isolierung der einzelnen Kunden wichtig. Kunden sollten auf allen Ebenen des Cloud Computing strikt voneinander getrennt sein.

Folgende Aspekte des Cloud Computing sind für eine bestmögliche Sicherheit unerlässlich:

Übrigens: Was gerne einmal unbedacht bleibt, jedoch genauso wichtig ist, wie die Datensicherheit in der Nutzungszeit der Cloud, ist die Sicherheit der Daten nach Kündigung des Cloud-Services. Denn der Kunde ist in der Regel auf eine zuverlässige Löschung sämtlicher Daten nach der Service-Nutzung angewiesen.