Cloud-Sicherheit: Eine Einschätzung
Die Cloud-Sicherheit ist ein zukunftsträchtiges Thema: Firmen jedweder Größe setzen zunehmend auf Cloud Services. Das verwundert wenig, überzeugen doch Vorteile wie Kostensenkung oder eine flexible sowie skalierbare IT.
Im Jahre 2018 hat der Statistik-Service Statista über 500 deutsche Unternehmen zur Cloud-Nutzung befragt. 73 % davon gaben an, bereits Cloud-Dienste (private oder Public-Cloud) im Unternehmen einzusetzen. Etwa 19 % setzen auf kostenpflichtige Cloud-Services.
Es ist jedoch Aufgabe der IT- und Geschäftsentscheider, die Cloud-Security zu berücksichtigen. Idealerweise kennt der Betrieb die Risiken der jeweiligen Cloud-Lösung, versteht diese und kann entsprechende Lösungen implementieren.
Wie hoch ist die Nutzung der Firmen-Cloud?
Die oben erwähnte Umfrage, aber auch eine repräsentative Umfrage von Bitkom Research fördern sehr interessante Zahlen zur Nutzung der Firmen-Cloud zutage:
- Mit 73 % nutzten deutlich mehr deutsche Firmen in 2018 Cloud Computing als im Vorjahr (2017: 66 %). Weitere 19 % möchten die Cloud künftig einsetzen, lediglich 8 % der Befragten interessierten sich gar nicht für das Thema.
- Rund 50 % der Unternehmen speichern auch personenbezogene Daten in Cloud-Umgebungen.
- Rund ein Drittel der befragten Unternehmen nutzen die Cloud zum Speichern geschäftskritischer Inhalte.
- Mit rund 33 % überträgt rund ein Drittel deutscher Unternehmen das Implementieren und den Betrieb eigener Cloud-Ressourcen an externe Service-Provider.
- Eine Untersuchung von McAfee zeigt, dass 65 % der sensiblen Unternehmensdaten in Business-Anwendungen liegen. Z. B.: Office 365 beherbergt 31 %, Salesforce rund 16 %, Slack und Google Docs zu je 2 %.
- Bei großen Cloud-Anbietern wie AWS oder Microsoft Azure sind 13 % gespeichert. Rund 10 % der Daten leben jedoch noch immer in Shadow-IT-Anwendungen (“Schatten-IT”; Programme und Geräte, die von der IT-Abteilung offiziell nicht freigegeben sind).
- Im Zuge der Cloud-Nutzung im Unternehmen wurden bei 52 % der Unternehmen auch die Mitarbeiterschulungen in den Sektoren Zugangsmanagement und Sicherheit erhöht.
- Die Ausgaben für das Zugangsmanagement erhöhten sich um 45 %.
Rund 75 % der befragten Unternehmen verlassen sich schon jetzt auf das vorhandene Zugriffsmanagement.
Review: Cloud-Security-Vorfälle
Aus den steigenden Nutzerzahlen der vergangenen Jahre lässt sich leicht ableiten, dass Cloud Lösungen für Unternehmen immer beliebter werden. Dass es jedoch noch großen Nachholbedarf für die Datensicherheit in der Cloud gibt, zeigen die folgenden Zahlen:
- In der Microsoft-eigenen Cloud-Lösung OneDrive stiegen die Missbrauchsvorfälle enorm an. Im letzten Quartal 2018 gab es keine Vorfälle, im ersten Quartal 2019 wurden bereits 60 Vorkommnisse gezählt.
- Auch Dropbox wird vermehrt für Schadsoftware missbraucht: zwischen dem letzten Quartal 2018 und dem ersten Quartal 2019 wurden mehr als 80 Vorfälle registriert.
Erschreckend ist dabei die Sorglosigkeit der Cloud-Anwender: 59 % der IT-Experten verzichten auf eine mobile Bedrohungsabwehr. Dabei war im Jahre 2018 jeder zweite Cloud-Dienstleister Ziel einer DDoS-Attacke. Im Vergleich zum Vorjahr 2017 gibt es also eine Zunahme von 14 % zu verzeichnen!
Bekannte und vermeintlich vertrauensvolle Plattformen wie Dropbox, OneDrive oder auch Google Drive sind für Angreifer sehr nützlich. Eine Domain-Überprüfung durch Security-Programme lässt sich so erfolgreich umgehen.
Künstliche Intelligenz (KI) wird auch in der Sicherheit von Cloud-Umgebungen eine große Rolle spielen: Mithilfe von maschinellem Lernen (ML) und KI können sich Clouds selbstständig schützen, auf Datenschutz sowie Compliance achten. Noch ist das Zukunftsmusik. Aktuell gilt es, die Cloud-Sicherheit selbst in die Hand zu nehmen.
Expertenmeinungen zur Sicherheit der Cloud
Im Thales Access Management Index 2019, für den über 1.000 IT-Entscheider weltweit befragt wurden, wird deutlich, dass 49 % der Entscheider meinen, dass Cloud-Anwendungen ein Einfallstor für Cyberkriminelle sind. Sie seien einer der drei Hauptgründe für erfolgreiche Attacken; direkt nach ungeschützten Infrastrukturen etwa durch IoT-Geräte (54 %) sowie Webportalen (50 %).
Die zunehmende Adaption der Cloud-Technologie führt zu 97 % der IT-Führungskräfte zur Notwendigkeit eines dezidierten Cloud-Zugangsmanagements. Sinnvoll in diesem Zusammenhang: knappe 94 % haben in den vergangenen 12 Monaten ihre Sicherheitsrichtlinie für das Zugangsmanagement angepasst.Weitere Veränderungen in den vergangenen 12 Monaten waren etwa Mitarbeiter-Schulungen für Sicherheit und Zugangsmanagement (52 %), das Erhöhen der Ausgaben fürs Zugangsmanagement (45 %) sowie das Einordnen des Zugangsmanagements als Vorstandspriorität (44 %).
Obwohl sich also offenbar vieles getan hat, was die Sicherheit in der Cloud erhöhen sollte, sind 95 % der IT-Führungskräfte davon überzeugt, dass das ineffektive Zugangsmanagement für die Cloud nach wie vor problematisch sei. Von den befragten IT-Experten halten 9 % Bedrohungen auf dem Handy für ein erhebliches Sicherheitsrisiko.
Wie eingangs erwähnt, nutzten knapp 75 % der deutschen Unternehmen im Jahr 2018 Cloud-Computing-Dienste. Knapp 50 % von ihnen speichern personenbezogene Informationen, knapp ein Drittel geschäftskritische Daten in Public-Cloud-Umgebungen. Das ist problematisch, wenn man bedenkt, dass 47 % der Unternehmen in 2018 Attacken auf Cloud-Services registrierten und im selben Jahr fast jeder zweite Anbieter von Cloud-Services zum Ziel einer DDoS-Attacke wurde.
Sicherheit und Cloud
Es gibt gute Gründe dafür, dass die Nutzung der Cloud so rasant steigt. Nichtsdestotrotz existieren Risiken, die Unternehmen kennen sollten, bevor sie sich für einen Cloud-Anbieter entscheiden. Beides – die Vorteile und die Risiken der Cloud – beleuchten wir im Folgenden.
Bedenken im Cloud-Computing: Die Sicherheit
Aus den Studien geht hervor, dass es gerade vier Punkte sind, die als größte Bedrohung in der Cloud-Security eingeschätzt werden: 62 % empfinden Fehlkonfigurationen von Cloud-Plattformen als Bedrohung. Mit 55 % wird auch der unberechtigte Zugriff auf die Cloud-Ressourcen häufig genannt. 50 % haben Sorge um unsichere Schnittstellen sowie APIs und 47 % sorgen sich um das Entführen von Konten oder dem Datenverkehr.
Beim Thema Cloud-Zugriffsmanagement liegen die größten Bedenken der IT-Entscheider bei den Auswirkungen auf die Sicherheit (48 %), auf die Arbeitszeiten der IT-Mitarbeiter (44 %) sowie auf Betriebs- und IT-Kosten (43 %). Die größten Hindernisse beim Implementieren von Zugangsmanagement-Lösungen seien die Kosten (40 %), das menschliche Versagen (39 %) sowie Herausforderungen bei der Integration (36 %).
Traurig: Nur 33 % der IT-Verantwortlichen gibt an, für genügend Sicherheit sorgen zu können, wenn die Mitarbeiter in der Cloud Links zu Dateien generieren und weitergeben. Greifen Mitarbeiter von ihren privaten Geräten auf die Daten in der Cloud zu, haben lediglich 40 % der IT-Verantwortlichen die volle Kontrolle.
Viele glauben, die Verantwortung abgeben zu können: Immerhin 30 % der IT-Experten war überzeugt, die Sicherheit läge in der Verantwortung des Cloud-Service-Providers. Kein Wunder also, dass rund ein Drittel der deutschen Unternehmen die Implementierung nebst Betrieb der Cloud an externe Service-Provider auslagert. Es gilt, den passenden Provider zu finden, der Gesetzgebungen und Datenschutz hoch priorisiert.
Cloud-Sicherheit: Vorteile von Cloud-Lösungen für Unternehmen
Cloud-Services haben für Unternehmen sehr klare Vorteile:
- Hohe Skalierbarkeit: Diese Skalierbarkeit virtueller IT-Ressourcen ist zweifelsfrei der offensichtlichste Vorteil. Jederzeit stehen sie in beliebigem Umfang zur Verfügung, zum Teil automatisiert, zum Teil per Mausklick. Ungenutzte IT-Ressourcen müssen dank Cloud-Computing nicht mehr für Spitzenlastzeiten bereitgehalten werden. Auch unerwarteten Nutzungslasten kommt man problemlos hinterher. Nutzer profitieren von einer optimalen Ausstattung und breitbandigen Netzwerkanbindung des Rechenzentrums.
- Schnelle Bereitstellung: In der modernen Digitallandschaft haben sich zahlreiche Cloud-Netzwerke ausgeweitet. In einem Rechenzentrum kann das Bereitstellen von Ressourcen schon mal etliche Arbeitsstunden in Anspruch nehmen. Die Cloud hingegen ist binnen weniger Minuten verfügbar.
- Flexible, bedarfsgerechte Nutzung: In beliebigem Umfang lassen sich Speicherplatz, Arbeitsspeicher, CPU-Leistung oder Software-Lizenzen hinzufügen oder abschalten.
- Variabilisierung von Fixkosten: Dank Pay-per-use-Modellen lassen sich Fixkosten variabilisieren. Es ist ärgerlich, fixe Beträge zu zahlen, jedoch nicht die volle Leistung zu nutzen. Der Pay-per-use-Ansatz löst diesen Knoten und sorgt dafür, dass Unternehmen nur noch die Leistung zahlen, die sie wirklich in Anspruch genommen haben.
- Reduzierter Administrationsaufwand: Unternehmen, die sich einen Service-Provider zur Implementierung und den Betrieb der Cloud suchen, reduzieren ihren Administrationsaufwand erheblich. Damit sinken die Kosten: Weder Personal-, noch Schulungskosten entstehen.
- Wachsende Technologien bei wachsenden Märkten: Innovationszyklen sinken im Software-Bereich. Da können die wenigsten Unternehmen Schritt halten. Werden virtuelle Infrastrukturen bedarfsgerecht angemietet, wird der Innovationszwang auf den IT-Dienstleister umgelagert. Unternehmen erhalten die Chance, sich wieder auf die zentralen Aspekte ihrer Wertschöpfungskette zu fokussieren, während sekundäre in die Cloud verlagert werden. Nun obliegen das Updaten bestehender Software, die Anschaffung neuer Hardware sowie das qualitative und quantitative Weiterentwickeln vorhandener Ressourcen dem Cloud-Service-Provider.
Unser letzter Vorteil wird Sie nun, nachdem wir ausführlich über die Unsicherheit von Clouds gesprochen haben, womöglich verwundern: Clouds können die Datensicherheit und den Datenschutz erhöhen. Natürlich nicht, wenn Sie geschäftskritische Details in Dropbox ablegen. Die Erhöhung von Datensicherheit und -schutz gelingt Ihnen jedoch, wenn Sie einen entsprechenden IT-Dienstleister beauftragen. Durch einen Service-Vertrag sichern Sie sich ab: Technik sowie die Organisation sind permanent auf dem neuesten Stand zu halten, außerdem müssen gesetzliche Vorgaben jederzeit erfüllt werden.
Lagern IT-Führungskräfte Daten in die Cloud aus, wird häufig ein ganz entscheidender Punkt übersehen: Die hauseigenen Unternehmensdaten liegen keineswegs in der Wolke. Sie lagern auf Servern von externen Dienstleistern. Damit Sie hierbei nicht die Informationssicherheit aus den Augen verlieren, lohnt es sich, schon im Vorfeld einige Überlegungen anzustellen. Ein erster Indikator für ein bestimmtes Maß an Sicherheit ist das Einhalten von technisch-organisatorischen Maßnahmen, aber auch Zertifizierungen wie nach ISO 27001 oder nach BSI Grundschutz.
Empfehlungen für besseren Cloud-Datenschutz und -Datensicherheit
Wir halten zusammenfassend fest: Die Nutzung der Cloud steigt rasant, weil sie enorm viele Vorteile – allem voran die Kostenersparnis – bringt. Dennoch: Daten in der Cloud wollen geschützt werden. Die folgenden Tipps sollen Ihnen helfen, die Daten, die Sie in der Cloud speichern möchten, effektiv zu schützen:
- Cloud-Provider: Wählen Sie Ihren Service-Anbieter sorgfältig aus. Achten Sie auf Zertifikate, Verfügbarkeitszeiten, Zusatzkosten und Zusatz-Services. So könnte es beispielsweise hilfreich sein, mit einem Datenschutzbeauftragten vom Service-Provider sprechen zu können, sollten Sie diesbezüglich einmal ein Anliegen haben.
- Schulungen und Richtlinien: Begreifen Sie Ihre Mitarbeiter als Teil Ihres Sicherheitskonzepts. Letztlich steht und fällt die Sicherheit einer Cloud auch immer mit ihren Anwendern. Setzen Sie auf Security Awareness und lassen Sie Ihre Mitarbeiter sensibilisieren. In Ihren Klassifizierungs-Richtlinien definieren Sie Freigaben und Zuständigkeiten. So verhindern Sie das Ablegen von vertraulichen sowie Datenschutz-relevanten Informationen auf unsicheren Plattformen.
- Automatisierung: Der Ansatz “Continuous Configuration Automation” stellt sicher, dass die IT-Infrastruktur nach dem Bedarf des Nutzers und den regulatorischen Vorgaben des Betriebs konzipiert und konfiguriert wurde. So lassen sich Aufgaben, beispielsweise das Konfigurationsmanagement, automatisieren.
- Schutzniveau definieren: Jeder Prozess in jedem Unternehmen lässt sich in verschiedene Arbeitsschritte einteilen. Für diese Arbeitsschritte gilt es, ein Schutzniveau zu definieren. Wann ist beispielsweise eine Verschlüsselung notwendig? Wo werden die Schlüssel aufbewahrt?
- Zugriffsregeln: Wenn Sie gerade dabei sind, für einzelne Arbeitsschritte das Schutzniveau zu bestimmen, können Sie auch gleich Zugriffsregeln festlegen. Auf welche Daten und Applikationen darf die Buchhaltung zugreifen, auf welche die HR-Abteilung?
- Logfiles erstellen: Logfiles sind dem Monitoring zuzuordnen. Sie dokumentieren, wer wann auf welche Daten oder Anwendungen zugegriffen hat. So können sicherheitsrelevante Vorkommnisse dokumentiert werden.
- Daten müssen verfügbar, vertraulich und integer sein: Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität von Daten – das gilt natürlich auch für die Cloud! Auch wenn Daten in einer Cloud gespeichert sind, muss ein Unternehmen jederzeit volle Kontrolle über sie haben.
Schreibe einen Kommentar