Cloud-Security
Physische Sicherheit und Datenschutz im Fokus
Fortsetzung des Artikels von Teil 1
Haupt-Risiken in der Cloud: Serviceausfälle und Datensicherheit
Ein Risiko bei der Nutzung von Cloud-Diensten sind Störungen und Serviceausfälle, das andere betrifft die Daten: Sie müssen vor unbefugtem Zugriff geschützt werden; beim Speichern und Verarbeiten muss ihre Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet sein. Risiken entstehen durch die verwendeten Komponenten und durch falsche Konfiguration, Schwachstellen in der Programmierung, aber auch durch Hackerangriffe von außen.
Das Sicherheitsrisiko bei der Nutzung der Systeme und Dienste in der Cloud, unter Beachtung von Standard-Sicherheitsmechanismen, wie gesicherten und verschlüsselten Verbindungen, ist nicht höher als das bei On-Premises-Systemen. Für On-Premises- sowie für Cloud Lösungen gilt: Beide arbeiten mit dem Internet, was aufwändige Maßnahmen erfordert, um sichere Prozesse zu gewährleisten. Hier sind die Risiken vergleichbar.
Cloud Sicherheit basiert auf mehreren Pfeilern. Die physische Sicherheit von Rechenzentren und Servern muss gewährleistet sein. Sie stellen die Basis für das Cloud Computing dar – eine sichere Umgebung für die Hardware ist damit unabdingbar. Das umfasst zum einen geregelte Zutrittsberechtigungen und zum anderen Schutz gegen Naturkatastrophen oder Feuer. Gerade in der physischen Sicherheit hat die Cloud die Nase vorn: Cloud-Rechenzentren gelten generell als gut gesichert, oft sind ihre Standorte unbekannt und damit nicht anfällig für Angriffe. Georedundante Systeme mit mehreren Standorten stellen selbst im Katastrophenfall oder bei Bränden sicher, dass die Dienste auf einem anderen Server weitergeführt werden können, wenn es zu Zerstörungen kommt. Die Bereitstellung eines ähnlich hohen Sicherheitsniveaus in einer On-Premises-Lösung erfordert meist hohe Kapitalaufwände, sowohl was die Hardware und ihre Sicherung als auch was Lizenzen anbelangt. Und: Gerade die Kosten von Ausfallzeiten sind für Mittelstand und Großkunden nicht zu unterschätzen. Hier ist die Cloud eine gute Wahl.
Der zweite Faktor ist die Sicherheit der Daten. Datensicherheit in der Cloud ist gegenüber von On-Premises-Lösungen nicht benachteiligt. Gerade der Schutz vor unautorisierten Zugriffen ist in kleinen oder mittleren Unternehmen mit On-Premises-Infrastruktur nicht immer gewährleistet: Der IT fehlt für ein konstantes Monitoring die Zeit, Lauschangriffe oder Datenabfluss können unbemerkt geschehen und Bugs ausgenutzt werden. Und während verschlüsselte Verbindungen in der Cloud längst Standard sind, verändern manche Unternehmen in ihrer lokalen Umgebung nichts an ihren Bestandssystemen und arbeiten entsprechend nicht mehr auf dem aktuellen Stand der Technik. Größere Unternehmen sind oft besser aufgestellt, kennen die Sicherheitsfaktoren und können Risiken leichter minimieren. Auch bei externen Angriffen, zum Beispiel von Verschlüsselungstrojanern, kann man über einen gehosteten Cloud-Dienst besser aufgestellt sein, da die Daten von einem automatischen Prozess geschützt werden.
Zentral für Cloud Security ist die Nutzung von verschlüsselten Übertragungsprotokollen. Der Zugriff auf Daten durch nicht-autorisierte Personen kann durch Lösungen wie eine Zwei-Faktor-Autorisierung verhindert werden. Gerade eine nicht autorisierte Datenweitergabe an Dritte muss verhindert werden: Dafür gibt es zum Beispiel Data Loss Prevention Systeme, die auf dem Zero-Trust-Konzept basieren. Da ein Datenverlust schwierig nachzuvollziehen ist, ist es eine der wichtigsten Aufgaben in der Cloud Security, diesen zu verhindern. Deswegen muss im Vorfeld klar sein, wie Daten bewegt werden und welche Vorgänge erlaubt sein sollen und welche nicht. Prävention ist hier essenziell.
Mehr Sicherheit entsteht zudem, wenn die Cloud-Services nur auf autorisierten Unternehmensgeräten genutzt werden – hier ist der Einsatz einer Mobile Device Management Lösung durchaus sinnvoll, die es erlaubt, User und Gerätekombinationen einzustellen. Über Beschränkungen von Funktionen wie „drucken“, „Export“ oder „neu speichern“ wird die Datensicherheit ebenfalls gestärkt.
Eine zentrale Passwortverwaltung verhindert darüber hinaus die Weitergabe von Zugangsdaten und Passwörtern. Sie ermöglicht es zum Beispiel durch eine automatische Eintragung des Passworts, dass derselbe Account von mehreren Usern genutzt und verwaltet werden kann, ohne dass die User das Passwort selbst kennen.
Das größte Sicherheitsrisiko ist der Mensch
Der größte Sicherheitsfaktor auch in der Cloudnutzung ist der Mensch: Phising oder Social Engineering Angriffe nutzen das mangelnde Bewusstsein der Nutzer für potenzielle Gefährdungen aus. Regelmäßige Awareness-Schulungen sowie die Nutzung von Softwarelösungen zur Bewertung des Sicherheitsniveaus von Systemen und Daten, insbesondere E-Mails, können das Sicherheitsniveau in der Datenverarbeitung im Unternehmen anheben. Es kann auch sinnvoll sein, einen professionellen Dienstleister einzusetzen, um ein Gesamtkonzept für die Cloud-Sicherheit aufzusetzen und von Synergieeffekten zu profitieren. Gerade aus dem Zusammenspiel erprobter Lösungen ergeben sich positive Effekte, die nicht nur die Sicherheit erhöhen, sondern auch Kosten einsparen.
Somit bleibt festzuhalten: Auch, wenn der Eindruck entsteht, man gebe mit der Nutzung von Cloud-Diensten die Kontrolle über seine Daten ab: Cloud Computing ist nicht weniger sicher als On-Premises-Lösungen, im Gegenteil. Standardisierte Abläufe und Georedundanz sind weniger fehleranfällig und bieten eine hohe Ausfallsicherheit.
Mike Laudon ist Geschäftsführer der LT Memory GmbH
- Physische Sicherheit und Datenschutz im Fokus
- Haupt-Risiken in der Cloud: Serviceausfälle und Datensicherheit
