Cloud Security: Sicher online arbeiten

Streamen Sie Musik? Oder interagieren Sie mit Ihren Kollegen über firmeninterne Chatsysteme? Dann kennen Sie Cloud Computing. Denn die Nutzung von Cloud Diensten ist längst im Alltag fest verankert. Unternehmen setzen immer mehr auf Cloud Server oder Cloud Software, um mit steigenden Datenmengen umzugehen oder flexibel auf Mitarbeiterbedarfe zu reagieren. Mit den zunehmenden Möglichkeiten der Technik steigt auch die Relevanz von Cloud Sicherheit.

Schritt 1: Grundlage für Cloud Security

Cloud Computing Dienste bieten viele Vorteile und in der Regel auch eine hohe Cloud Security. Wichtig ist jedoch, sich bereits im Vorfeld auch über mögliche Herausforderungen zu informieren, um im Eintrittsfall adäquat entscheiden und reagieren zu können. Wir haben für Sie zusammengefasst, was Sie privat und in Unternehmen zum Stichwort „gesicherte Cloud“ wissen und worauf Sie bei der Wahl eines Cloud Dienstes achten sollten.

Verbindungsqualität prüfen

Cloud Computing braucht eine solide Basis. So stehen viele Unternehmen in ländlichen Regionen  vor der Herausforderung einer mangelnden Breitband-Internetverbindung. Wer gerade einmal mit 6 Megabit pro Sekunde ins Internet gehen kann, sollte nicht für seine 100 Beschäftigte einen Cloud Service ordern. Denn deren Produktivität und Motivation dürfte beträchtlich sinken, wenn Anwendungen aufgrund der langsamen Verbindung nur in Zeitlupentempo reagieren.

Für einen schnellen und flexiblen Zugriff auf die Daten ist es deshalb entscheidend, Cloud Computing langfristig mit einer anderen innovativen Technologie zusammenzuführen: dem zukünftigen Mobilfunkstandard 5G. Der 5G Standard bietet eine 100-fach höhere Übertragungsgeschwindigkeit gegenüber LTE-Netzen. So können Daten besonders schnell hoch- oder heruntergeladen werden – und es entstehen neue Möglichkeiten, Cloud Computing sicher zu nutzen.

Netzwerksicherheit durch Mitarbeiterschulung

Wissen schützt. Daher sollten Unternehmen Mitarbeitende regelmäßig zum Thema Datensicherheit in der Cloud schulen und sie für die Bedeutung von Zugangsdaten sensibilisieren. Denn wer sich mit Netzwerksicherheit auskennt, kann Unregelmäßigkeiten schneller erkennen und entsprechend früh genug auf Auffäligkeiten hinweisen. Zusätzlichen Schutz bieten außerdem IT-Sicherheitslösungen. Sie registrieren ungewöhnliche Aktivitäten eines vermeintlichen Users und melden diese, sodass Unternehmen rasch handlungsfähig sind und Gegenmaßnahmen treffen können.

Schritt 2: Herausforderungen von Cloud Security erkennen

Setzen Sie eigene Standards für Ihre Cloud Nutzung: Welche Herausforderungen von Cloud Security sollten Sie kennen? Und wie wollen Sie mögliche Risiken minimieren?

Systemschwachstellen aufdecken

Bleiben Sie aufmerksam. Denn auch die IT- und Netzwerksysteme in einer Cloud können Sicherheitslücken und Schwachstellen aufweisen. Vor dem Einsatz von Cloud Diensten sollten Sie daher erfragen, ob der Anbieter regelmäßig Schwachstellen-Scans durchführt und Software Patches schnellstmöglich einspielt.

Netzwerksicherheit für Cloud Computing

Die Bestimmungen zum Cloud Datenschutz sowie die Sicherheitsvorkehrungen der meisten Service Provider sind hoch. Wer Cloud Computing-Dienste einsetzt, profitiert also nicht nur von den offensichtlichen Cloud Computing Vorteilen, sondern kann sich auch auf eine hervorragende Cloud Security verlassen. Eine extrem wichtige Voraussetzung, denn Cloud Sicherheit ist unabdingbar, wenn sensible Daten übermittelt und gespeichert werden. Es geht darum, eine durchgehende „chain of trust” vom IoT Gerät, über die Edge Plattform und Cloud Architekturen hinweg zu schaffen. Wie ernst es ein Cloud Service Provider mit dem Thema Datensicherheit nimmt, belegen erreichte ISO-Zertifizierungen oder Cloud Zertifikate von Organisationen wie der EuroCloud-Vereinigung oder dem Cloud EcoSystem. Diese Zertifikate, beispielsweise ISO 27017, ISO 27018 und BSI C5, erhalten nur Service Provider, deren Angebote den strengen Sicherheitsvorgaben genügen.

Sicherheits- und Compliance-Standards des Service Providers

Anbieter von Cloud Diensten müssen strenge Sicherheits- und Compliance-Vorgaben einhalten. Dazu zählen seit Mai 2018 auch die Regelungen der Datenschutz-Grundverordnung (EU-DSGVO). Verstößt ein Cloud Anbieter gegen die Cloud DSGVO-Vorgaben, könnten Daten verloren gehen oder von Dritten eingesehen werden.  In einem solchen Fall drohen nicht allein dem Anbieter hohe Strafen und Reputationsverluste. Auch private und kommerzielle Nutzer sind in der Pflicht – sie können die Verantwortung für den Datenschutz nicht an den Provider weiterreichen. Achten Sie daher bei der Wahl des Cloud Anbieters unbedingt auf die Einhaltung der DSGVO-Vorgaben.

Schutz vor Insider-Zugriff

Ein vermeintliches Cloud Sicherheitsrisiko ist streng genommen gar keines, denn es betrifft Unternehmen ganz grundsätzlich: Angriffe durch eigene Mitarbeitende oder durch Beschäftigte von Dienstleistern, sogenannte Insider. Solche Angriffe sind besonders perfide. Vor allem, wenn es sich um Mitarbeitende mit erweiterten Zugriffsrechten, wie Administratoren, handelt. Laut einer Studie des Beratungshauses KPMG ließen sich 20 Prozent der Fälle, bei denen es zu Datendiebstahl in deutschen Firmen kam, auf Insider zurückführen. Ganz wichtig ist daher, auch die Aktivitäten dieser Personengruppen regelmäßig zu überprüfen.

Schritt 3: Herausforderungen von Cloud Security meistern

Antizipieren Sie mögliche Risiken von Cloud Security, um sie zu minimieren und Lösungen zu schaffen.

Denial-of-Service-Attacken

Welche Cloud ist ausreichend sicher – vor der Anbieterauswahl sollten Sie Ihren Provider auf die Themen Überwachung des Netzverkehrs und den Einsatz verschiedener Schutzsysteme ansprechen. Überschwemmen beispielsweise Angreifer einen Cloud Service mit Anfragen von vielen gekaperten Rechnern aus (Denial-of-Service-Attacken), kann das den eigenen Dienst blockieren. Hier ist der Provider in der Pflicht, entsprechende Vorkehrungen zu treffen. Besonders empfehlenswert sind im Schadensfall automatisierte Vorfallsreaktionen und Behebungsroutinen, um durch im Vorfeld determinierte Handlungsabläufe schnellstmöglich Kapazitäten in den Sicherheitsteams für Ursachensuche, Reaktion, Behebung und Schutz freizuschalten. Für mehr Cloud Security klären Sie auch diese Eventualitäten mit Ihrem Provider.

Edge Computing schafft Cloud Sicherheit

Eine besonders intelligente Möglichkeit zum Umgang mit großen Datenmengen bietet Edge Computing. Als ideale Ergänzung zur Cloud stellt es Rechenleistung am Rand der Cloud zur Verfügung, also dezentral dort angesiedelt, wo die Daten tatsächlich anfallen. Unabhängig von der Cloud erfasst ein Mikroprozessor die Daten, leitet daraus Aktionen ab und steuert diese. Es handelt sich also um Vorgänge, die am Rand des Übergangs zwischen zwei Datenpunkten erfolgen. Dabei ist es für die Cloud Security ein großer Vorteil, dass beim Edge Computing Daten vor der Übergabe in die Cloud gefiltert, gebündelt und anonymisiert werden.

Da enorme Datenmengen von diversen IoT Geräten zur Cloud oder Edge fließen, steigern beide grundsätzlich die Attraktivität für Cyber-Attacken. Daher ist es von enormer Bedeutung, Cloud und Edge Server-Plattformen sowie IoT Geräte abzusichern.

Die Vorteile von Edge Computing im Sinne einer gesicherten Cloud sowie die praktischen Anwendungen, beispielsweise das Alarmsystem von Infineon, werden in Edge Computing: Alles, was Sie wissen müssen vertieft

Cloud Security und verschlüsselte Cloud

Fakt ist, richtig genutzt, bieten Clouds nicht weniger, sondern sogar mehr Sicherheit. Das untersteicht eine Umfrage unter amerikanischen Unternehmen: 22 Prozent nennen gerade die höhere Cloud Sicherheit von Cloud Diensten als wichtigsten Vorteil für den Einsatz von Cloud Computing. Das Sicherheitsplus einer Cloud steht damit als Vorteilsargument noch vor der höheren Effizienz und der besseren Skalierbarkeit von IT-Ressourcen. Vertrauenswürdige Anbieter verhindern beispielsweise durch hocheffiziente Cyber-Defence-Center und regelmäßige Patch-Zyklen zur Datenverschlüsselung Angriffe auf die Cloud Infrastruktur. Dabei ist es wichtig, die Daten nicht erst in der Cloud selbst zu verschlüsseln, sondern bereits auf ihrem Weg dorthin. Private und natürlich insbesondere kommerzielle Nutzer sollten daher Devices einsetzen, die auch auf dem Transportweg der Daten keinen Klartext verwenden. Hier greift die Idee des Edge Computings und trägt damit maßgeblich zur Cloud Security bei.

 

Sichere Schnittstellen für Programme

Schnittstellen (Application Programming Interfaces, kurz: APIs) stellen die Verbindung zwischen den hauseigenen IT-Systemen und der Cloud her. Sie sollen keine Sicherheitslücken aufweisen, weil der Zugriff auf Cloud Dienste über öffentlich zugängliche Internet-Verbindungen erfolgt. Hier bedarf es also entsprechender Kenntnisse bei der IT, um die eigene Schnittstelle zu schützen. Dies gilt ebenso auf der Seite des Cloud Anbieters.

Schritt 4: Vier goldene Regeln als Basis für nachhaltige Cloud Security

Die Chancen und Vorteile einer Cloud Nutzung überwiegen massiv. Die Herausforderungen, die eine Cloud Nutzung mit sich bringt, sind im Gegenzug handhabbar. Privatpersonen und insbesondere auch Unternehmen können sich aktiv und wirkungsvoll gegen mögliche Risiken schützen. Lesen Sie die vier goldenen Regeln, was Sie selbst – also unabhängig von den Leistungen des Cloud Providers – für Ihre Netzwerksicherheit tun können:

1) Standort des Rechenzentrums und Cloud Datensicherung

Eine der wichtigsten Sicherheitsregeln: Wer eine Cloud nutzt, muss wissen, wo seine Daten gespeichert sind. Denn Cloud Dienste speichern Informationen in mehreren Rechenzentren, teilweise auch im Ausland. Bei personenbezogenen Daten und geschäftskritischen Informationen können dadurch möglicherweise Datenschutz-Gesetze verletzt werden. Deshalb haben Kunden mittlerweile bei etlichen Cloud Service Providern die Möglichkeit vorzugeben, in welchem Rechenzentrum ihre Daten abgelegt werden sollen. Beispielsweise können Sie angeben, eine Cloud in Deutschland nutzen zu wollen. Services und Anwendungen, die ausschließlich über eine „deutsche Cloud“ abgewickelt werden, unterliegen dabei den vergleichsweise strengen deutschen Datenschutzrichtlinien. So werden besonders sensible persönliche Daten optimal geschützt.

2) Verschlüsselte Cloud und verschlüsselter Datentransfer

Das Thema Verschlüsselung (Encryption) hat für Cloud Sicherheit hohe Relevanz. Denn verschlüsselte Daten, die keinen Klartext bieten, sind für unbefugte Dritte schwer lesbar und dadurch weniger nützlich. Unternehmen mit besonders hohen Sicherheitsanforderungen können dafür eine Verschlüsselungshardware (Hardware-Security-Module, HSM) einsetzen. Gerade beim Verschlüsseln von Daten in Public Clouds haben deutsche Firmen noch Nachholbedarf: Laut einer Umfrage des Antivirus-Spezialisten Bitdefender verschlüsselt nur jedes neunte Unternehmen solche Informationen. Es besteht in der Implementierung entsprechend hoher Nachholbedarf.

3) Netzwerksicherheit durch lokale Backups

Backup-Experten raten, wichtige Daten nicht ausschließlich in einer Cloud Computing Umgebung zu speichern. Zwar erstellen Cloud Anbieter in der Regel Sicherungskopien, sodass Daten nur in den seltensten Fällen verloren gehen. Dennoch ist es ratsam, regelmäßig auch eigene Sicherungen zu erstellen und zumindest eine Kopie zu Hause (Off-Site Backup) oder im eigenen Datacenter abzulegen.

4) Cloud Sicherheit durch Nutzerauthentifizierung

Eine wichtige Sicherheitsmaßnahme ist das Authentifizieren der Mitarbeitenden. Nur wer befugt ist, sollte auf Daten und Ressourcen in einer Cloud Umgebung zugreifen dürfen. Noch mehr Schutz bringt eine Mehrfaktor-Authentifizierung. Dafür muss beim Zugriff nicht nur einen Anmeldenamen und ein Passwort eingeben werden, sondern der Zugriff auf Cloud Dienste wird mit einer weiteren Überprüfung bestätigt. Das kann beispielsweise eine PIN sein, die auf das Smartphone gesendet wird.

Ausblick : die Zukunft der Cloud Security

Die Möglichkeiten von Cloud Computing nehmen stetig zu und damit auch die Vorteile. Gleichzeitig steigen aber auch die Anforderungen an Cloud Security.

So benötigt zum Beispiel der Aufbau von Systemen der Künstlichen Intelligenz (KI) nicht nur entsprechende Cloud basierte Rechenleistung für KI-Services wie Machine Learning (ML), sondern auch einen entsprechenden sicheren Umgang mit den eingebundenen Lerndaten. Denn bei einigen Machine Learning Prozessen werden Nutzerdaten erhoben, um automatische Verbesserungen des Systems zu ermöglichen. Diese Nutzerdaten müssen einerseits anonymisiert sein und andererseits die Privatsphäre der Nutzer respektieren. Spezielle Sensoren helfen in solch einem Fall, die bei der Erfassung relevanter Daten präzise Messungen vornehmen.

Möglichkeiten skalieren und dabei Cloud Risiken minimieren: sensorbasierte Sicherheitslösungen bieten Ihnen optimalen Schutz für Cloud und Edge connected Geräte. Entdecken Sie unsere Anwendungen für Cloud-Plattformen.

Chancen und Risiken bei Cloud Security im Überblick

Chancen:

  • Edge Computing: Daten werden beim Edge Computing vor der Übergabe in die Cloud gefiltert, gebündelt und anonymisiert. Dadurch steigt die Cloud Security.
  • Mehrfaktor-Authentifizierung: Anwender geben nicht nur einen Anmeldenamen und ein Passwort ein, sondern bestätigen den Zugriff auf Cloud Dienste mit einer weiteren Überprüfung.
  • Verschlüsselung (Encryption): Verschlüsselte Daten, die keinen Klartext bieten, sind für unbefugte Dritte schwer lesbar und dadurch weniger nützlich.
  • Auswahl des Standorts: Wählen Sie den Standort Ihres Service Providers auch nach geltenden Datenschutzrichtlinien aus. Deutsche Clouds unterliegen dabei vergleichsweise strengen Gesetzen.

 

Risiken:

  • Insider-Zugrif: Angriffe durch eigene Mitarbeitende oder durch Beschäftigte von Dienstleistern, sogenannte Insider.
  • Denial-of-Service-Attacken: Wie überwacht der Provider den Netzverkehr und welche Schutzsysteme setzt er ein.
  • Sicherheits- und Compliance Standards: Anbieter von Cloud Diensten müssen strenge Sicherheits- und Compliance-Vorgaben einhalten, z. B. die Regelungen der Datenschutz-Grundverordnung (EU-DSGVO). Nicht nur kommerzielle, sondern auch private Nutzer sind in der Pflicht, darauf zu achten. Der Provider trägt nicht die Verantwortung.