Skip to main content
main-content

06.02.2019 | Cloud Computing | Kolumne | Onlineartikel

Datensicherheit in der Wolke

Autor:
Dietmar Schnabel

Obwohl die Befürwortung seitens der Unternehmen in Bezug auf die Cloud steigt und entsprechende Sicherheitsmaßnahmen getroffen werden, sind die Bedenken diesbezüglich immer noch das größte Hemmnis. Vor allem wenn Organisationen mit kritischen Informationen in die Cloud gehen.

Neue Technologien erobern heute wesentlich schneller den Markt. Das wiederum bedeutet, dass sich Organisationen intensiv und stetig mit aktuellen Technologietrends auseinandersetzen und auch die potenziellen Auswirkungen dieser Entwicklungen bedenken und berücksichtigen müssen. Ein Beispiel: Benötigte das analoge Telefon noch 25 Jahre bis es von nur 10 Prozent aller US-Bürger genutzt wurde, hatten nach nur zehn Jahren bereits 40 Prozent der US-Bürger ein Smartphone.

Empfehlung der Redaktion

2018 | Buch

IT-Risikomanagement von Cloud-Services in Kritischen Infrastrukturen

HMD Best Paper Award 2017

Der Einsatz von Cloud-Services birgt neben vielfältigen Vorteilen auch Risiken für die IT-Sicherheit von Unternehmen. Dies gilt insbesondere für Betreiber Kritischer Infrastrukturen, die durch das IT-Sicherheitsgesetz dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. Für ein funktionierendes IT-Risiko- und Sicherheitsmanagement ist daher eine vollständige Identifikation sowie Bewertung der sich aus dem Einsatz von Cloud-Services ergebenden Risiken unerlässlich.


Cloud-Computing bildet einen wichtigen Grundpfeiler in der digitalen Transformation und ist auch eine grundlegende Voraussetzung für die Verbindung der digitalen mit der physikalischen Welt – Stichwort: Internet-of-Things (IoT). Dadurch wird es für Unternehmen möglich, Ressourcen wie Infrastruktur, Anwendungen und Daten zu nutzen (Infrastructure-as-a-Service, Software-as-a-Service, Platform-as-a-Service), die von einem externen Dienstleister über unterschiedliche Modelle, die sich vor allem in Bezug auf die Nutzergruppen unterscheidet (Private/Community/Public/Hybrid Cloud), bereitgestellt wird.

Der Vorteil für Organisationen und deren IT-Abteilungen liegt hier klar auf der Hand: Kosten- und Zeitersparnis. Unternehmen können direkt auf bestehende Infrastrukturen zurückgreifen und genau so viel Leistung in Anspruch nehmen wie aktuell benötigt wird. Je nach Bedarf kann die Menge der bereitgestellten Ressourcen dynamisch hoch- oder herunterskaliert werden. Dadurch wird kein Kapital in bestehenden Rechenressourcen gebunden und auch die Verwaltung hält sich in Grenzen. Darüber hinaus liegt der Managementaufwand nicht mehr beim Cloud-Nutzer – Installationen und Aktualisierungen werden direkt vom Anbieter durchgeführt. Die Ressource Mitarbeiter kann somit wiederum wesentlich effizienter und effektiver innerhalb der Organisation eingesetzt werden. IT-Spezialisten können ihr Know-how an den Stellen zum Einsatz bringen, an denen es auch benötigt wird.

Auswahlkriterium Datensicherheit

Zwei von drei deutschen Unternehmen nutzen die Cloud-Dienste, wobei der Schwerpunkt hier nicht mehr nur bei den großen Unternehmen und Konzernen mit 2000 Mitarbeitern oder mehr liegt, sondern auch kleine und mittelständische Unternehmen (KMU) ziehen nach. Neben Kosten- und Zeitersparnis sprechen auch Mobilität und geografische Unabhängigkeit, schnelle Skalierbarkeit und organisatorische Flexibilität dafür, für die standortübergreifende Zusammenarbeit wichtige Anwendungen über eine Cloud zu organisieren.

Dennoch sind Sicherheitsbedenken das größte Hemmnis, vor allem dann, wenn Unternehmen mit kritischen Businessinformationen, Kommunikations- und Kunden-, beziehungsweise personenbezogenen Daten in die Cloud gehen. Laut dem Cloud-Monitor 2018 von KPMG befürchten 63 Prozent der befragten Unternehmen einen unberechtigten Zugriff auf sensible Daten, 56 Prozent geben einen möglichen Datenverlust zu bedenken und 52 Prozent geben Unklarheiten und Widersprüche in Bezug auf die Rechtslage und Bestimmungen als Hürde an. So ist es auch nicht verwunderlich, dass neben einer transparenten Sicherheitsarchitektur und Integrationsfähigkeit der Lösungen, die DSGVO-Konformität das Top-Auswahlkriterium bei der Wahl der Cloud-Anbieter ist.

Dynamische und steigende Weiterentwicklung der Angriffswege

Einen zentralen Punkt im Cloud Computing stellt die Cloud Security dar. In den meisten Fällen greifen mehrere Nutzer auf die Cloud zu, was eine Verschlüsselung der abgelegten Daten, die Kontrolle von Zugriffen und die damit verbundenen Rechte und das Identitätsmanagement unabdingbar macht. Hierfür können sowohl Cloud-Nutzer als auch Anbieter Maßnahmen aus einem Baukasten von Regeln, Prozessen und technischen Möglichkeiten etablieren, um sicherzustellen, dass Daten sicher verwaltet und genutzt werden können, Anwendungen ausreichend geschützt sind und gesetzliche Vorgaben eingehalten werden. Cloud Security umfasst einer Sicherheit für Daten, Plattformen, Anwendungen, Netzwerkstrukturen und -zugänge und des Servers auch die physische Sicherheit des Rechenzentrums und eine umfassende Kontrolle von Schlüsseln und Zugangsprivilegien. Sowohl Nutzer als auch Anbieter sind für die Cloud-Security verantwortlich.

Laut dem aktuellen Lagebericht des BSI entwickeln sich Schadprogramme und Angriffswege ständig weiter, was eine Vernachlässigung der Cloud Security somit undenkbar macht. Auch die damit verbunden Hardware (Anbieterseite) muss gesichert werden – und das bereits beim Design. Sicherheitslücken, die in der Hardware-Architektur verankert sind, können ohne einen Austausch der Hardware auch mit nachträglichen Updates nicht geschlossen werden – Stichwort Meltdown oder Spectre. Die betroffenen Chips sind zu Millionen ab Werk verbaut.

 "Die Wahrscheinlichkeit für den Erfolg von Angriffen auf digitalisierte Infrastrukturen steigt, da sich die Anzahl der Angriffspunkte erhöht, die Kommunikationsinfrastrukturen immer komplexer werden und die zu verarbeitenden Datenmengen sich vervielfachen", heißt es im BSI-Lagebericht weiter. So kam es 2017 unter anderem zu einem Angriff auf die IT-Netze und -Systeme der Bundesregierung. Dieser erfolgte über einen Webserver der Bundesakademie für öffentliche Verwaltung. Im Mai desselben Jahres waren Hacker bei einem Angriff auf das Netz eines Tochterunternehmens eines deutschen Energieversorgers erfolgreich und hatte für einen kurzen Zeitraum Zugriff auf einen Teil des Internetverkehrs der Organisation.

IT-Sicherheit für die Cloud

Traditionell sind die Sicherheitssegmente eng mit der Hardware verbunden, was wiederum zu einer manuellen und sehr prozessintensiven Netzwerkkonfiguration und -verwaltung führt. Möchte man Sicherheit in virtuellen Umgebungen bereitstellen, müssen physische Grenzen und Vorgänge nun logisch aufgebaut und automatisiert werden. Eine weitere Herausforderung sind die mittlerweile hoch entwickelten Cyberattacken der fünften Generation. Unternehmen setzen in den meisten Fällen noch auf Sicherheitsvorkehrungen, die Attacken der zweiten oder dritten Generation entsprechen und diese abwehren können. Bei Cyber-Angriffen der fünften Generation handelt es sich aber bereits um moderne Hacking-Tools die den Kriminellen ein schnelles Vorgehen und eine weitreichende Infizierung von Unternehmen und deren Netzwerken ermöglichen. Um diese Multi-Vektor-Angriffe abwehren zu können, bedarf es einer integrierten und einheitlichen Sicherheitsstruktur – frühere Generationen der Security-Technologien, die ausschließlich auf die Angriffserkennung ausgelegt sind, sind den modernen Angriffen nicht gewachsen.

Im Idealfall baut eine Cloud-Security-Lösung auf unterschiedlichen Prinzipien auf. Sicherheitsdienste sollten automatisch in das Netzwerk eingefügt und entsprechend konfiguriert werden. IT-Tools sollten problemlos in die Cloud integriert und Sicherheitsrichtlinien implizit angepasst werden können, um die Anzahl der Anwendungen nach Bedarf sicher zu erhöhen. Neben der Compliance ist auch die Transparenz im Falle eines Angriffs eine wichtige Eigenschaft. Es muss erkannt werden, welche Unternehmenseinheit von welchem Problem betroffen ist, um eine entsprechende Problembehebung und Analysen durchführen zu können. Außerdem sollte das Sicherheitsmanagement zentral und einheitlich aufgesetzt werden, um über alle Vorgänge zeitnah zu informieren und entsprechend Maßnahmen einleiten zu können.

Fazit

Im Idealfall basiert die Sicherheitsstruktur auf einer Kombination von abschreckenden, vorbeugenden, detektierenden und korrigierenden Verfahren. Das heißt, dass sowohl Warnhinweise an die Cyberkriminellen vor dem unerlaubten Eindringen abgegeben, als auch präventive, reagierende und Folgen reduzierende Maßnahmen ergriffen werden, um so die Vorteile einer cloud-basierten Infrastruktur zu nutzen. Automatisierte Bereitstellung und Orchestrierung sowie eine zentrale Verwaltung der physischen und virtuellen Umgebung sind wesentliche Merkmale einer funktionierenden Sicherheitsstruktur.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Unternehmen haben das Innovationspotenzial der eigenen Mitarbeiter auch außerhalb der F&E-Abteilung erkannt. Viele Initiativen zur Partizipation scheitern in der Praxis jedoch häufig. Lesen Sie hier  - basierend auf einer qualitativ-explorativen Expertenstudie - mehr über die wesentlichen Problemfelder der mitarbeiterzentrierten Produktentwicklung und profitieren Sie von konkreten Handlungsempfehlungen aus der Praxis.
Jetzt gratis downloaden!

Bildnachweise