In den Anfängen des Cloud Computing zögerten noch viele Unternehmen ihre Daten in die Cloud zu verlagern. Vorbehalte bezüglich der Cloud Security waren stark verbreitet. Heute ist Cloud Computing so selbstverständlich wie der Strom aus der Steckdose, der überall zur Verfügung steht, ohne zu hinterfragen, wo und wie er erzeugt wird und welchen Weg der Strom vom Kraftwerk bis zur Steckdose zurücklegen muss.
Was versteht man unter Cloud Security?
Mit dem Begriff Cloud Security bezeichnet man verschiedene Verfahren und technische Lösungen, mit denen externe und interne Bedrohungen im Cloud Computing Umfeld verhindert werden sollen. Die Cloud Sicherheit ist ein Thema, welches sowohl die Cloud Anbieter als auch die Cloud-Kunden im gleichen Maß betrifft. Cloud Computing hat die Art und Weise, wie Geschäftsprozesse abgewickelt werden, revolutioniert. Cloud Anbieter bieten in der Regel ein sehr hohes Maß an Sicherheitsvorkehrungen, um die Daten in der Cloud zu schützen. Es ist aber auch wichtig, sich der verschiedenen Risiken bewusst zu sein und die richtigen Maßnahmen zu ergreifen, um die Sicherheit der Cloud lückenlos gewährleisten zu können.
Wie jedes technologische System, auf dem wertschöpfende Geschäftsprozesse ablaufen, ist auch die Cloud „verwundbar“ und mit zunehmender Nutzung steigt auch die Aufmerksamkeit für Sicherheitsfragen. Eines der wesentlichen Risiken ist der unbefugte Daten-Zugriff durch Dritte.
Cloud Security Grundlagen
Es gibt eine Reihe von Security Maßnahmen, die jedes Unternehmen und jeder Anwender ergreifen kann, um seine Daten in der Cloud zu schützen:
- Verwendung von sicheren Passwörtern in Kombination mit einer mehrstufigen Authentifizierung (2FA).
- Verschlüsselung aller Daten sowohl am File-System als auch bei der Übertragung.
- Umsetzung einer Backup-Strategie.
Neben einem unerwarteten Datenverlust (z.B. durch den Konkurs eines Anbieters, schwerwiegende technische Probleme oder unangekündigte Account-Sperren) bestehen die Gefahren beim Cloud Computing vor allem im unerlaubten Zugriff von Dritten. Darunter fallen folgende Beispiele:
Zugriff von Datendieben
Datendiebe versuchen aus gestohlenen Daten Kapital zu schlagen oder ihre Karriere voranzutreiben. Datendiebe haben es auf jede Art von Informationen abgesehen. Von Bankkontonummern bis hin zu vollständigen User-Profilen und persönlichen Informationen, stehlen sie alle Daten, die sie in ihre Finger bekommen können. Auch Wirtschaftsspionage ist ein weit verbreiteter Antrieb für Datendiebe.
Zugriff von Hackern und Crackern
Sie versuchen in die Sicherheitssysteme von öffentlichen Einrichtungen oder Unternehmen einzudringen, um in erster Linie ihre besonderen Fähigkeiten unter Beweis zu stellen. Manche Hacker informieren nach einem erfolgreichen Hack die Administratoren über die von ihnen genutzte Lücke. In letzter Zeit verfolgt ein großer Teil der Hacker aber vorwiegend kriminelle Ziele. Darunter fällt das Einschleusen von Code, um Ransomware-Angriffe auszuführen und in weiterer Folge die Inhaber der Daten zu erpressen. Böswillige Hacker werden in der Fachwelt vorwiegend als Cracker bezeichnet.
Zugriff von staatlichen Behörden
Der NSA-Skandal hat gezeigt, wie leicht US-Geheimdienste auf persönliche Daten zugreifen können. Unter ungewöhnlichen Umständen können auch andere Behörden auf richterliche Anordnung rechtmäßig Zugang zu Cloud-Daten erhalten. Folglich sind auch staatliche Akteure ein potenzieller Risikofaktor für die Datensicherheit, da sie einen legalen Zugang erwirken können. Die europäischen Rechtsvorschriften zur Datenschutz-Grundverordnung (GDPR) bieten jedoch einen sehr hohen Schutz für die Privatsphäre, weshalb behördliche Zugriffe sehr selten sind.
Zugriff von Mitarbeiter:innen
Sowohl aktive als auch ausgeschiedene Mitarbeiter:innen eines Unternehmens können ein Sicherheitsrisiko darstellen. Cloud-Anbieter können zum Schutz vor externe Bedrohungen viele Sicherheitsmaßnahmen ergreifen, aber gegen interne Bedrohungen können sie nichts unternehmen. Interne Bedrohungen entstehen, wenn Personen innerhalb der Organisation die Daten missbrauchen oder versehentlich löschen. Daher sollten jedes Unternehmen ein sorgfältiges Identitäts- und Berechtigungsmanagement betreiben. Auch ungeachtet davon, ob sich die IT in der Cloud oder On-Premise befindet.
Einzelpersonen sollten nur auf jene Daten zugreifen und bearbeiten können, die für ihre Position im Unternehmen relevant sind (Least-Privilege-Prinzip). Rollenspezifische Berechtigungen müssen aus diesem Grund regelmäßig überprüft und hinterfragt werden. Verlässt ein Mitarbeiter oder eine Mitarbeiterin das Unternehmen, müssen alle Berechtigungen spätestens zum Austrittsdatum zurückgenommen werden. Die interne Sicherheit beginnt mit einer zuverlässigen, fehlerfreien Cloud-Verwaltung, die mit der Komplexität ihrer Dienste vertraut ist und auf diese Weise Ausfälle und Datenverluste verhindert.
Abhilfe durch Cloud Access Security Broker (CASB)
Ein besonders zeitgemäßer Ansatz zur sicheren Nutzung von Cloud-Diensten ist die Verwendung eines Cloud Access Security Brokers (CASB). Dabei handelt es sich um eine Software-Lösung, die speziell für die Verwaltung und Sicherung von Cloud-Zugängen entwickelt wurde. Der CASB befindet sich zwischen den Nutzern und dem Cloud-Dienst, verwaltet deren Kommunikation und fungiert als externe Sicherheitsschleuse. Der Cloud Access Security Broker dienen als Überwachungs- und Verwaltungstools in der Cloud, informieren über ungewöhnliche Vorgänge und legen fest, welche Maßnahmen im Falle einer Sicherheitswarnung ergriffen werden sollten.
Mikrosegmentierung der Workloads
Die Mikrosegmentierung wird bei der Implementierung von Cloud Security verstärkt eingesetzt. Dabei wird die Cloud-Bereitstellung in zahlreiche Sicherheitssegmente unterteilt, bis hin zur Ebene der einzelnen Workloads. Mithilfe flexibler Sicherheitsrichtlinien und Isolierung einzelner Workloads kann der Schaden stark eingegrenzt werden, den ein Angreifer anrichten könnte, wenn er unberechtigten Datenzugriff erhält.
Eingeschränkter, physischer Zugriff
Ein weiterer wichtiger Teil der Cloud Security ist die physische Sicherheit. Dabei handelt es sich um eine Kombination von verschiedenen Vorkehrungen, die den direkten, physischen Zugriff auf die im Rechenzentrum untergebrachte Hardware verhindert. Die physische Sicherheit umfasst Maßnahmen, wie die Sicherung des direkten Zugangs durch Sicherheitstüren und biometrische Zutritt-Systeme, unterbrechungsfreie Stromversorgung, Videoüberwachung, Luft- und Partikelfilterung, Brandschutz und mehr.
Cloud Security Zusammenfassung
Jedes Unternehmen, welches Cloud-Dienste benutzt, sollte sich darüber im Klaren sein, dass selbst kleine interne Fehler oder Pannen im Bereich der Security große Auswirkungen auf die Cloud-basierten Services haben können, sowohl in Bezug auf die Daten- als auch auf die Betriebssicherheit.
Cloud-Dienste setzen sich aus zahlreichen Komponenten zusammen, die alle zusammen reibungslos funktionieren müssen, um die zugesicherten Funktionen reibungslos zur Verfügung zu stellen. Die Cloud-Anbieter stehen vor der enormen Herausforderung, ihren Kunden:innen ein hohes Maß an technischer Raffinesse zu bieten, gleichzeitig eine hohe Benutzerfreundlichkeit zu wahren und ein professionelles Cloud-Security-Niveau zu gewährleisten.
Anexia ist aktives Miglied der Allianz für Cyber Sicherheit (ACS) des deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und der internationalen Cloud Security Alliance.
Weitere Informationen zu Datenschutz und Sicherheit bei Anexia finden Sie hier.