Ein Angebot von

Deutsche Clouds sind sicher – aber auch sicher genug?

| Autor / Redakteur: Dr. Dietmar Müller / Florian Karlstetter

Dauerthema Sicherheit und Cloud Computing - Experten beziehen Stellung.
Dauerthema Sicherheit und Cloud Computing - Experten beziehen Stellung. (Bild: © sehenswerk - stock.adobe.com)

Deutschland ist bei der Absicherung von Daten in der Cloud international führend. Das ist die gute Nachricht. Die schlechte lautet, dass der Feind nie schläft. Das gilt insbesondere in Zeiten des Internets und der Schatten-IT. Wo also müssen deutsche Anwender (und Anbieter) die Sicherheitsschrauben noch weiter anziehen?

„Alle großen Cloud-Anbieter, aber auch die meisten kleinen, haben inzwischen Zertifizierungen, welche deutlich über denen der meisten lokalen Serverräume und zum Teil auch über denen von Colocation-Services liegen. Das Argument der Regionalität haben die großen drei, Amazon, Microsoft und Google, inzwischen mit lokalen Rechenzentren in Deutschland beantwortet und auch mit der DSGVO wird europäisches und deutsches Recht aufgrund des Ortes der Marktaktivität angewendet. Als vertrauensbildende Maßnahme gibt es von der Trusted Cloud Initiative des BMWi auch speziell gelistete Anbieter“, beschreibt Henning von Kielpinski, Leiter Business Development beim Beratungs- und Softwarehaus Consol, die Sicherheitslage deutscher Cloud-Anbieter.

Sein Fazit bestätigt eine Studie von Gemalto, wonach die Sicherheitslage in deutschen Clouds weltweit einzigartig ist: „In der Summe kann man die Cloud, und hier speziell die deutsche Cloud, als durchaus sicher bezeichnen.“

Das sieht auch der Branchenverband Bitkom so: „Für große Anbieter von Cloud-Diensten ist das Thema IT-Sicherheit essentiell, denn sie stellen die Infrastruktur bereit. Wenn die Cloud-Plattform ein hohes Sicherheitsniveau hat, haben viele Cyberattacken von vornherein geringere Erfolgschancen“, sagt Dr. Nabil Alsabah, Referent IT-Sicherheit beim Bitkom. „Gerade bei kleinen und mittleren Unternehmen können solche Cloud-Dienste ein höheres Sicherheitsniveau gewährleisten als Inhouse-Lösungen, da die Cloud-Anbieter dabei auf größere Ressourcen und mehr Expertise zurückgreifen können.“

Dennoch seien die Anwenderunternehmen von Cloud-Diensten in der Verantwortung, für die Sicherheit ihrer Daten zu sorgen. „Sicherheitsprobleme entstehen immer noch dadurch, dass die genutzten Passwörter zu schwach sind, eine Mehrfachauthentifizierung fehlt oder die Zugriffsrechte auf Daten nicht klar geregelt sind“, so Alsabah. „Eine weitere Ursache für IT-Sicherheitsvorfälle in der Cloud kann ein schlechtes Zertifikatsmanagement sein, mit dem üblicherweise die Echtheit und die Integrität von Daten sichergestellt werden kann.“

Schatten-IT erkennen und integrieren

Kristina Vervoort, Regional Sales Manager DACH bei Netskope, einem Anbieter von Absicherungen für Cloud-Anwendungen, ist zunächst voll des Lobes für deutsche Anwenderunternehmen: „Deutsche IT-Experten nehmen eine führende Rolle ein, wenn es um die Schärfung des Bewusstseins für notwendige Sicherheitsmaßnahmen im Hinblick auf das Speichern, Teilen und Bearbeiten von Daten in der Cloud geht. Das ist eine sehr gute Nachricht. Doch stellen sanktionierte - im Sinne von der IT-freigegebenen - Cloud-Applikationen nur einen Teil des Risikos dar.“

Für Vervoort ist es von entscheidender Bedeutung, dass die IT-Experten die Umsetzung der Sicherheitsrichtlinien auch für Hunderte von nicht sanktionierten Cloud-Applikationen, die Mitarbeiter im beruflichen Alltag nutzen, gewährleisten können. Er hat ganz offensichtlich ein Problem mit Anwendungen, die sich Fachabteilungen ohne Wissen des CIOs ins Haus holen: „Die Schatten-IT birgt erhebliche Risiken, gleichzeitig bieten viele dieser Applikationen Business-Teams wichtige Funktionalitäten. Daher kann es keine Lösung sein, die Nutzung dieser Applikationen hart zu blocken.“

Seine Lösung: Sicherheitsexperten müssen sich mit den IT-Managern zusammensetzen und ihnen Einblicke in die genutzten Cloud-Apps und die damit verbundenen Risiken geben. So sollen die IT-Verantwortlichen in die Lage versetzt werden, „Policies für Services zu definieren, die nicht von der IT freigegeben sind“.

In dieselbe Kerbe schlägt Martin Niemer, Director Accelerate Advisory Services, CEMEA, VMware. In puncto Cloud-Security gibt es für ihn zwei große Herausforderungen: Die immer stärkere digitale Vernetzung über verschiedene Endgeräte hinweg und der Mangel an durchgängigen Sicherheitsansätzen. „Und noch immer kommt es bei der Cloud viel zu häufig zu Brüchen im Security-Konzept. Denn Cloud-Dienste werden oft von Nutzern im Unternehmen eingekauft, für die die Lösung ihres Business-Problems im Vordergrund steht – und Security wird hierbei eher als Bremser gesehen“, so Niemer. „Auch haben viele Cloud-Angebote eine breite Angriffsfläche, da sie Services für eine Vielzahl von Usern zur Verfügung stellen und der Zugriff von allen möglichen Endgeräten erfolgt, deren Security-Status – also Patches / AV etc. - vollkommen undefiniert ist.“ Auch hier wäre eine Schulung der Mitarbeiter dringend nötig.

Kommunikation ist auch für Oliver Henrich das Zauberwort. Der Vice President Product Engineering Central Europe bei Sage bestätigt, dass es hochproblematisch ist, „wenn Mitarbeiter Cloud-Applikationen nutzen, die von der IT-Abteilung nicht freigegeben sind.“ Analog zu Vervoort will er die verschiedenen Beteiligten ins Gespräch bringen: „Um diese Schatten-IT einzudämmen, müssen Unternehmen ihre Mitarbeiter aufklären, vor allem im Hinblick auf die DSGVO.“

Auch Henrich sieht, dass Werkzeuge bereitgestellt werden müssen, „mit denen sie ihre Aufgaben einfacher und schneller erledigen. Für Unternehmen, die nicht ihre komplette IT in die Cloud verlegen wollen, gibt es dazu so genannte Connected Cloud-Services. Dabei ergänzen Hersteller wie Sage ihre bewährten Lösungen durch die Integration von Cloud-Services wie etwa Microsoft Office 365 um Funktionen für die sichere Zusammenarbeit in der Cloud.“

Unklare Verantwortung

Eine ebenfalls aktuelle Studie von Kaspersky legt nahe, dass viele Unternehmen für Cloud-Anwendungen offenbar keine fixen Sicherheitsrichtlinien oder -standards implementiert haben. Laut dem Report geben 70 Prozent der befragten Unternehmen, die Services von SaaS- (Software-as-a-Service) und Cloud-Anbietern nutzen, zu, keine klaren Vorgaben zu haben, wie Sicherheitsvorfälle gehandhabt werden sollen. „Manchmal werden die Sicherheitsrichtlinien auch nicht konsistent über alle Plattformen hinweg umgesetzt“, berichtet Dr. Uwe Heckert, Geschäftsführer der Unisys Deutschland GmbH und Vice President Application Services für EMEA, aus der Praxis.

„Diese Sicherheitsrichtlinien können mithilfe identitätsbasierter Lösungen vereinfacht werden“, mahnt Heckert an. „Denn häufig scheitern IT und Mitarbeiter auch an der Komplexität der Richtlinien. Nicht zuletzt sollten Unternehmen für sichere, hybride Cloud-Infrastrukturen auf umfangreiche Echtzeit-Sicherheitslösungen setzen, die Sicherheitsinformationen und Event Management (SIEM) mit Machine Analytics sowie Host- und Netzwerk-Forensik kombinieren.“

Ein Viertel der von Kaspersky befragten Anwender bestätigt außerdem, die Compliance-Richtlinien ihres Dienstleisters nicht überprüft zu haben; sie verlassen sich darauf, dass sich der Drittanbieter im Falle des Falles kümmert. Dennoch fühlen sich 42 Prozent der befragten Unternehmen nicht angemessen vor Vorfällen, die ihren Cloud-Service-Anbieter betreffen, geschützt.

Dieses Gefühl deckt sich auch mit der Realität: Immerhin ein Viertel (24 Prozent) der Unternehmen war in den vergangenen zwölf Monaten von einem Sicherheitsvorfall mit Auswirkungen auf die eigene IT-Infrastruktur betroffen, der auf einen Drittanbieter zurückzuführen war.

Und das wird teuer: Ein Sicherheitsvorfall, der Cloud-Strukturen betrifft, kostet große Unternehmen durchschnittlich 1,2 Millionen Dollar, bei kleinen und mittelständischen Unternehmen sind es immerhin noch 100.000 Dollar. Betroffen sind dabei meist kritische Daten wie hochsensible Kundeninformationen (49 Prozent bei KMUs und 40 Prozent bei großen Unternehmen), Mitarbeiterinformationen (35 Prozent und 36 Prozent) sowie E-Mails und interne Kommunikation (31 Prozent und 35 Prozent).

Empfehlungen

Alessio Aceti, Head of Enterprise Business bei Kaspersky Lab, legt Anwendern folgendes Vorgehen zum Schutz von in der Cloud gespeicherten Daten ans Herz:

Sichtbarkeit herstellen: Einsicht in die Cloud-Infrastrukturen und deren Cybersicherheitsebenen ermöglicht es zu wissen, wo sich die Daten befinden und ob deren derzeitiger Schutzstatus die eigenen Sicherheitsstandards im Unternehmen erfüllen.

Anomalien erkennen: Durch eine Kombination von Techniken, einschließlich maschinellem Lernen und Verhaltensanalyse, werden Unregelmäßigkeiten, die auf eine Kompromittierung hinweisen können, erkannt. Die Fähigkeit, unbekannte Bedrohungen zu erkennen und zu bekämpfen, ist für die Sicherheit einer Cloud-Infrastruktur von grundlegender Bedeutung.

Sicherheitsmaßnahmen ergreifen: Für Cloud-Infrastrukturen – egal ob Hybrid-, Public- oder gehostete Cloud – sollten eigene Datenschutzmaßnahmen bestehen, ebenso wie für Daten, die sich direkt im Unternehmen befinden. Für Cloud-Strukturen gibt es spezielle Sicherheitslösungen.

Werden diese Vorgaben beherzigt, Policies definiert und Schutzmechanismen implementiert, dann greift auch das Kredo des eingangs zitierten Henning von Kielpinski: „Cloud Services, professionell betrieben, sind die beste Lösung für sichere Daten und Anwendungen im Unternehmen.“

IoT-SaaS-Lösung für den einfachen Einstieg in das Internet der Dinge

IoT-SaaS-Lösung für den einfachen Einstieg in das Internet der Dinge

09.04.18 - Microsoft IoT Central ist ab sofort als Public Preview verfügbar. Mit der neuen Software-as-a-Service (SaaS)-Lösung können Unternehmen vernetzte Produkte, Systeme und Maschinen entwickeln, bereitstellen und zentral verwalten. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45239608 / Safety & Security)