Studie von COMPUTERWOCHE und CIO

Cloud Security mit Brief und Siegel

09.05.2019 von Oliver Schonschek
Ohne Zertifizierung und externe Prüfung haben es Cloud-Dienste bei deutschen Unternehmen schwer. Intern verzichten jedoch viele Anwender auf ein Regelwerk.

"Neun von zehn Unternehmen halten Zertifizierungen und Prüfsiegel zur Cloud Security für wichtig. Hier will man sich nicht allein auf die Aussagen der Anbieter verlassen, sondern fordert die Prüfung durch unabhängige Dritte. Dies ist der richtige Ansatz!", kommentiert Matthias Ochs, Geschäftsführer genua GmbH, eines der Ergebnisse der aktuellen Studie "Cloud Security 2019" von IDG Research Services.

Betrachtet man die jährlichen Cloud-Aufwendungen der befragten Unternehmen, stellt man fest: Die Unternehmen, die mehr als 100 Millionen Euro für Cloud-Dienste pro Jahr aufwenden, halten zu 49 Prozent die Siegel und Zertifizierungen für sehr wichtig.

Cloud Computing breitet sich immer weiter aus - in Deutschland am liebsten mit Brief und Siegel.
Foto: laymanzoom - shutterstock.com

Jetzt Studie "Cloud Security 2019" herunterladen

Vertrauen in Cloud-Anbieter reicht nicht

Unternehmen mit bis zu einer Million Euro Aufwendungen für Cloud-Dienste dagegen gaben diese Antwort nur in 30 Prozent der Fälle. Offensichtlich möchten Unternehmen mit höheren Investitionen in die Cloud auch mehr Gewissheit bei der Cloud-Sicherheit.

Eine Rolle spielen externe Prüfungen und Nachweise aber bei fast allen Unternehmen: Nur ein Prozent der befragten Unternehmen meint, Siegel, Zertifizierungen und Prüfungen sind nicht wichtig, wenn es um Cloud-Sicherheit geht.

Cloud-Anbieter tun also gut daran, sich einer externen Überprüfung ihrer Sicherheit und ihres Datenschutzniveaus zu stellen und nicht den Aufwand und die Kosten einer Zertifizierung zu scheuen. Der Erfolg auf dem Cloud-Markt hängt für Cloud-Provider davon ab, dass ihre Kunden ihnen nicht nur vertrauen, sondern dass es unabhängige Dritte gibt, die die Sicherheit und den Datenschutz bestätigen.

Studie Cloud Security 2019 - Stimmen der Studienpartner
Dr. Michael von der Horst, Managing Director CyberSecurity, Cisco Systems GmbH
"Die IDG-Studie zu Cloud Security hat viele interessante Erkenntnisse geliefert. Die Bedeutung von Security scheint mittlerweile bei den Unternehmen angekommen zu sein. Hier hat die Einführung der DSGVO viel geholfen. Der Fokus auf Datenschutz greift jedoch viel zu kurz - Cloud Security ist viel mehr. <br /><br />Methoden wie CASB, virtuelle Firewalls oder auch DNS-Schutz müssen eingeführt werden. Im besten Fall sind derzeit über 60 Prozent der Unternehmen noch ungeschützt. Zudem ist eine 360 Grad - Integration in eine On-Premise Security-Architektur wesentlich - die meisten Unternehmen haben hybride Strukturen und sind nicht Cloud-Only."
Thomas Snor, A1 Digital, Director Security
"Security als Business Enabler zu sehen und nicht als Blocker: das ist unser Mindset bei A1 Digital. Digitalisierung ja, aber sicher – ist unser Credo für Ihr Unternehmen."
Alexander Neff, Vice President DACH, MicroFocus GmbH
"Die Flexibilität und Agilität, die Cloud-Lösungen mit sich bringen, sind für Business-Entscheider ein wichtiges Argument. Dieser Schritt in Richtung Digitalisierung zieht eine generelle und kulturelle Veränderung im Umgang mit der IT Infrastruktur nach sich. Wir helfen Unternehmen auf dieser Reise in Bezug auf Datenschutz und Datensicherheit."
Elmar Witte, Product Marketing Manager Security, Akamai
"Die jüngste IDG-Studie zur Cloud Security zeigt, dass fast die Hälfte aller befragten Unternehmen schon einmal Cyber-Angriffen ausgesetzt waren - weit verbreitet sind besonders DDoS-Attacken, mit denen Internetdienste überlastet werden sollen. Abgesehen von diesen Angriffen gegen die Verfügbarkeit von Diensten, befürchten Unternehmen vor allem, dass Hacker sensible Unternehmens- oder Kundendaten entwenden.<br /><br /> Interessant in Bezug auf diese Ängste ist, dass Datenschutz zwar theoretisch von allen Unternehmen als wichtig erachtet wird, bei der Frage nach den größten Security-Risiken aber nur acht Prozent mangelhaften Datenschutz als große Gefahr sehen. Er steht erst an fünfter Stelle in der Liste der Top 10 Sicherheitsrisiken."
Stephan Ilaender, CTO PlusServer GmbH
"Als Managed Cloud Service Provider gehört es auch zu unseren Aufgaben, unsere Kunden bei der Planung und Umsetzung einer Cloud-Security-Strategie zu unterstützen. Dazu setzen wir unter anderem entsprechende Redundanz- sowie Disaster-Recovery-Konzepte gemeinsam mit den Kunden um.<br /><br /> In der Studie berichten 47 Prozent der Unternehmen von Cyberangriffen wie zum Beispiel DDoS. In diesem Bereich haben wir eine Partnerschaft mit Akamai geschlossen, um unseren Kunden ein Portfolio an DDoS-Mitigation-Lösungen für verschiedene Anforderungen zu bieten. So auch speziell für kleinere Unternehmen, die nach unserer Erfahrung immer häufiger Opfer solcher Angriffe werden."
Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security, NTT Security
"Unternehmen sollten auf dem Weg in die Cloud die Modernisierung ihrer Standardarchitekturen und -prozesse überdenken, da sich viele Angriffe durch eine innovative Servicearchitektur bereits im Vorfeld vermeiden lassen. Allerdings werden mit dem zunehmenden Einsatz von Cloud-Diensten altgediente Security-Konzepte in Frage gestellt.<br /><br /> Der alte Sicherheitsperimeter schwindet und klassische Schutzmaßnahmen reichen oft nicht mehr aus. Unternehmen müssen ihre Sicherheitskonzepte deshalb anpassen und sich stärker mit der Kontrolle von Identitäten und den Prozessen befassen."
Matthias Ochs, Geschäftsführer genua GmbH
"Die Cloud mit allen ihren Vorteilen setzt sich durch und die Security genießt dabei hohe Priorität - dies ist aus Sicht eines IT-Sicherheitsherstellers ein gutes Ergebnis. Denn wer nachhaltig von den Vorteilen profitieren möchte, muss die Risiken in den Griff kriegen.<br /><br />Anbieter sollten ihre Produkte regelmäßig und umfassend von externen Experten prüfen und zertifizieren lassen. Denn nur der ständige kritische Review von mehreren Seiten führt zu einem hohen Sicherheitsniveau, das angesichts der rasch zunehmenden Komplexität bei der IT dringend erforderlich ist."
Fabian Guter, Sales Director Europe, SecurEnvoy GmbH
"Erfreulicherweise haben die befragten Firmen den gesicherten Zurgriff als das wichtigste Auswahlkriterium identifiziert. Das bestätigt unsere Aktivitäten, das Bewusstsein für die Notwendigkeit starker Authentifizierung gerade bei Cloud-Anwendungen zu stärken.<br /><br /> Bei den technischen Vorkehrungen ist Zugangs- und Rechtekontrolle ebenfalls als eine der meist umgesetzten Maßnahmen. Dennoch sehen wir hier auch noch Nachholbedarf: Immerhin findet Datendiebstahl, der von den Teilnehmern als eines der größten Risiken empfunden wird, sehr häufig durch den Missbrauch von Zugangsdaten statt. Und eine starke Authentifizierung gehört zu den kostengünstig umsetzbaren Maßnahmen mit hohem Sicherheitsgewinn. Das für alle Cloud-Services zum Standard-Sicherheitspaket gehören sollte."

Interne Policies zur Cloud fehlen oftmals

Während die befragten Unternehmen hohe Erwartungen an die Cloud-Anbieter haben, wenn es um die Einhaltung von Zertifizierungsrichtlinien geht, sieht es bei den Unternehmen selbst intern anders aus.

Die Nutzung von Cloud-Diensten wird nur bei 57 Prozent der Unternehmen geregelt. Filesharing-Lösungen wie Dropbox regeln sogar nur 43 Prozent der Unternehmen, wie die Studie zeigt.

Betrachtet man spezielle Cloud-Dienste wie Office aus der Cloud, sind es nur noch 42 Prozent, die Sicherheitsrichtlinien eingeführt haben, obwohl Office-Lösungen zu den besonders beliebten Cloud-Diensten bei den Unternehmen zählen.

Auch um die Datensicherung ihrer Cloud-Daten sollten sich Unternehmen stärker kümmern und entsprechende interne Policies für Cloud-Backups erstellen und durchsetzen.

"Unternehmen müssen Cloud-Provider wie AWS und Azure als Infrastrukturanbieter verstehen", so Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security bei NTT Security. "Das heißt, das Backup und andere technische Maßnahmen liegen nach dem sogenannten Shared Responsibility Model nach wie vor in der Verantwortung der Kunden."

Wie Braunstedter erklärt, erhalten die Cloud-Nutzer aber Unterstützung durch die Cloud-Anbieter: "Die Cloud-Provider bieten eine hervorragende technische Basis für diese Maßnahmen und sorgen für die notwendige Skalierung und Verfügbarkeit. SaaS mag hier eine Ausnahme darstellen - IaaS und PaaS benötigen aber nach wie vor belastbare Backup- und Recovery-Konzepte."

Offensichtlich sollten Unternehmen, die Cloud-Services nutzen, auch an die eigene Security-Organisation die hohen Ansprüche stellen, die sie bei den Cloud-Anbietern einfordern.

Managed Security Services sind noch Budget-Frage

Bei der Umsetzung der erforderlichen Maßnahmen für die Cloud-Sicherheit kommen auch Managed Security Services und neue Security-Technologien zum Einsatz. Dies hängt allerdings stark davon ab, wie hoch die Investitionen in Cloud-Dienste sind.

Die Studie "Cloud Security 2019" von IDG Research Services ergab, dass 55 Prozent der Unternehmen mit einem Cloud-Budget von mehr als 100 Millionen Euro pro Jahr Managed Security Services (MSS) häufig einsetzen. Bei ein bis 100 Millionen jährlichen Cloud-Aufwendungen sinkt die Zahl der häufigen MSS-Nutzer auf 20 Prozent. Bei weniger als einer Million Euro pro Jahr für Cloud-Aufwendungen sind es nur noch 14 Prozent, die häufig zu Managed Security Services greifen.

Ein ähnliches Bild zeigt sich auch bei der Nutzung neuer Ansätze für Cloud Security. Mit Blick auf die IDG-Studie sagt Elmar Witte, Product Marketing Manager Security bei Akamai: "Nur maximal ein Viertel der Unternehmen investiert bisher in neuere, starke Ansätze für Cloud-Sicherheit wie beispielsweise Cloud-basierte Intrusion Detection Systeme (IDS) bzw. Intrusion Prevention Systeme (IPS), die in der Lage sind, Angriffe zu erkennen, darüber zu informieren und im Fall von IPS sogar automatisch abzuwehren. Darunter sind vor allem Firmen, die mehr als 100 Millionen Euro pro Jahr für Cloud-Dienste ausgeben." Elmar Witte folgert: "Anscheinend steigt das Interesse an bzw. die Notwendigkeit von neuen Security-Verfahren erst bei höheren Investitionen in die Cloud."

Mehr Sicherheit bei Cloud-Anwendern und -Anbietern

Die Studie legt nahe, dass sich sowohl Cloud-Anbieter als auch Cloud-Nutzer in naher Zukunft noch stärker um die Cloud Security bemühen werden.

Die hohen Anforderungen an Cloud-Provider bleiben auch in Zukunft bestehen. Der Bedarf für eine umfassende Sicherheitsstrategie bei den Cloud-Anwendern wird noch deutlicher werden, auch durch die Zunahme an Zertifizierungen für Sicherheit und Datenschutz in der Cloud.

So werden die Zertifizierungskriterien aufzeigen, welche Sicherheitsmaßnahmen ein Anbieter leistet und welche nicht. Cloud-Nutzer können so den Bedarf an eigenen Sicherheitsmaßnahmen für die Cloud ableiten, spezielle Cloud-Sicherheitsrichtlinien einführen und wo sinnvoll auch Managed Security Services in Anspruch nehmen, um das Sicherheits- und Datenschutzniveau zu erreichen, das im Cloud Computing erforderlich ist, auf Seiten der Provider und auf Seiten der Nutzer.

Jetzt Studie "Cloud Security 2019" herunterladen

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner: Cisco Systems GmbH (Platin-Partner), A1 Digital (Platin-Partner), Akamai (Gold-Partner), Micro Focus GmbH (Gold-Partner), PlusServer (Gold-Partner), NTT Security Germany GmbH (Silber-Partner), genua GmbH, securEnvoy GmbH (Bronze-Partner)

Grundgesamtheit: Oberste (IT-) Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 351 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 22. bis 28. Januar 2019

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services