Studie von COMPUTERWOCHE und CIO

Die Cloud Security transformiert sich

30.04.2019 von Oliver Schonschek

Eine hohe Sicherheit gilt als die Basis für den Erfolg von Cloud-Services. Doch das Bild, was eine sichere Cloud ausmacht, wandelt sich.

Der Cloud-Markt ist in Bewegung und entwickelt sich anders, als die Anfangsprognosen erwarten ließen. Ein vollständiges Abwandern der IT-Services in die Cloud ist ausgeblieben und wird auch nicht stattfinden. Es gibt nicht die eine große Cloud, sondern viele Cloud-Services.

Deutsche Unternehmen im Jahr 2019: Die Cloud ist fast schon überall dabei - wenn sie sicher ist.
Foto: Blackboard - shutterstock.com

Trotzdem ist die Cloud eine Erfolgsgeschichte. 65 Prozent der Unternehmen in Deutschland nutzen bereits Cloud-Services, wie die aktuelle Studie "Cloud Security 2019" von IDG Research Services zeigt. Nur für acht Prozent der Unternehmen kommen Cloud-Services nicht in Frage. 92 Prozent der Unternehmen nutzen bereits Cloud-Dienste, sie planen es in den nächsten zwölf Monaten (17 Prozent) oder prüfen es intern (11 Prozent).

Jetzt Studie "Cloud Security 2019" herunterladen

Als Bezugsmodell für Cloud-Dienste liegt die Private Cloud mit 61 Prozent der Antworten vorne. Public Clouds nutzen 45 Prozent der befragten Unternehmen. Hybrid Clouds sind bei 32 Prozent im Einsatz, Community Clouds und Multi-Clouds bei 20 Prozent.

Zum Video: Die Cloud Security transformiert sich

Die Wahl des Bezugsmodells kommt nicht von ungefähr: Fragt man Unternehmen nach ihrem Sicherheitsempfinden bei Cloud Computing, wird die Sicherheit der Private Cloud am besten benotet (2,4), Multi-Clouds erreichen nur eine 2,7, Community Clouds eine 2,8.

Nicht der Preis führt die Liste der zehn wichtigsten Kriterien bei der Auswahl von Cloud-Diensten an. Ganz oben steht die Sicherheit des Datenzugriffs, gefolgt von der Datenverschlüsselung und der Zuverlässigkeit des Anbieters.

Sicherer Zugriff, verschlüsselte Daten, zuverlässige und vertrauensvolle Anbieter - das wünschen sich deutsche Unternehmen von Cloud Services besonders.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Cloud-Sicherheit ist bedroht

Auch wenn Cloud-Dienste mehrheitlich als relativ sicher eingestuft werden, berichten die Unternehmen in der neuen Studie von Angriffen auf die von ihnen genutzten Services aus der Cloud. Fast die Hälfte (47 Prozent) der Unternehmen hat bereits Cyber-Angriffe auf ihre Cloud-Services festgestellt, zwölf Prozent wissen nicht, ob bereits eine Online-Attacke auf ihre Cloud-Dienste erfolgt ist.

Offensichtlich besteht weiterer Handlungsbedarf bei der Absicherung der Cloud-Services. Wie die neue Studie zeigt, setzen viele Unternehmen auf vertraute Security-Konzepte wie Verschlüsselung, Firewall und lokale Backups. Auch von den Cloud-Providern erwarten die Anwenderunternehmen eher Security-Klassiker als neue Konzepte für die Cloud-Sicherheit.

Einer der Gründe für diese Sicht auf Cloud Security ist die zu einseitige Wahrnehmung der Cloud-Risiken, die in den Umfragen deutlich wird. Bestimmte Typen von Cloud-Attacken werden kaum durch Security-Maßnahmen adressiert, obwohl die Angriffe stattfinden.

Neue Anforderungen an Cloud-Security

Was für die Absicherung eines Cloud-Dienstes getan wird, darf nicht von einer zu engen Wahrnehmung der Cloud-Risiken abhängen. Es gibt klare Forderungen an die Sicherheit im Cloud Computing.

Neben KRITIS-Betreibern haben auch Anbieter von Cloud-Computing-Diensten Sicherheitsvorfälle mit erheblichen Auswirkungen an das BSI zu melden, wie das Bundesamt für Sicherheit in der Informationstechnik in dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland klarstellt. Weiterhin sehen die Regelungen für Betreiber digitaler Dienste ein Mindestniveau an Maßnahmen zur präventiven IT-Sicherheit sowie zur reaktiven Bewältigung von Sicherheitsvorfällen vor.

"Die Einforderung und Umsetzung von Sicherheitsanforderungen ist ein wichtiger Aspekt bei der Inanspruchnahme von Cloud-Diensten", so BSI-Präsident Arne Schönbohm.

Mit dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue - C5) hat das Bundesamt für Sicherheit in der Informationstechnik neue Standards in der Cloud-Branche gesetzt. Im C5-Katalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Standard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind.

Wie die neue Studie "Cloud Security 2019" zeigt, gehört das Cloud-Testat nach dem C5-Katalog des BSI bereits zu den wichtigen Compliance-Kriterien bei der Auswahl eines Cloud-Anbieters. Mit einer Benotung von 2,4 liegt das C5-Testat vor der Anforderung, dass der Cloud-Anbieter seinen Hauptsitz in Deutschland haben soll (2,6).

Zum Video: Die Cloud Security transformiert sich

Datenschutz dominiert die Auswahlkriterien

Unter den Anforderungen an einen Cloud-Service und Cloud-Provider tritt der Datenschutz besonders stark hervor. So nennen 35 Prozent der Unternehmen Sicherheitsbedenken und 29 Prozent Datenschutzfragen als Gründe gegen die Cloud-Nutzung. Andererseits erwarten sich die Unternehmen von Cloud-Services ein höheres Sicherheits- und Datenschutzniveau (34 Prozent und 32 Prozent).

Ein angemessenes Datenschutzniveau bei Cloud Computing ist nicht nur wünschenswert, sondern eine rechtliche Voraussetzung, um überhaupt Cloud-Services nutzen zu dürfen.

Nach Datenschutz-Grundverordnung (DSGVO / GDPR) sind Cloud-Dienste als sogenannte Auftragsverarbeitung einzustufen. Hierzu besagt die DSGVO: "Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."

Die EU-DSGVO hat einen starken Einfluss auf den Umgang mit Daten in der Cloud in den Unternehmen.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Bevor ein Cloud-Dienst genutzt werden darf, muss sich ein Unternehmen von den Datenschutzmaßnahmen des Cloud-Anbieters überzeugen, es muss Garantien für diese Maßnahmen geben. Als mögliche Garantien und Nachweise nennt die DSGVO eine Datenschutz-Zertifizierung auf Grundlage der EU-Verordnung.

Diese Bedeutung einer Datenschutz-Zertifizierung sind sich die Unternehmen in Deutschland bewusst. 34 Prozent der befragten Unternehmen prüfen die Cloud-Zertifikate der Anbieter. Fehlen die Zertifikate, achten sie auf Datenschutz-Audits bei den Providern.

Zum Video: Die Cloud Security transformiert sich

Für fast 60 Prozent der Unternehmen hat die Datenschutz-Grundverordnung einen starken oder sehr starken Einfluss darauf, wie sie mit Daten umgehen, die in einer Cloud verarbeitet werden. Keine Auswirkung der DSGVO sehen gerade einmal zwei Prozent der befragten Unternehmen.

Cloud-Sicherheit muss sich verändern

Der Datenschutz hat durch die DSGVO eine neue, hohe Aufmerksamkeit erlangt. Das hat Auswirkungen auch auf die Cloud Security.

Unter den Anforderungen der DSGVO findet sich auch die Sicherheit der Verarbeitung personenbezogener Daten. So fordert die DSGVO, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, durch geeignete technische und organisatorische Maßnahmen.

Konkret werden als Maßnahmen für die Datensicherheit genannt:

die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Auswahl der Sicherheitsmaßnahmen hat zu erfolgen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, so die EU-Verordnung.

Damit werden die hohen Datenschutzanforderungen auch zum Maßstab für die Cloud Security, auf Seiten des Anwenderunternehmens wie auf Seiten des Cloud-Providers.

Jetzt Studie "Cloud Security 2019" herunterladen

Transparenz und Prüfbarkeit

Die Maßnahmen, mit denen ein angemessenes Niveau für Datenschutz und Datensicherheit in der Cloud gewährleistet werden sollen, müssen von den Anbietern garantiert und von den Anwendern überprüft werden.

Dies setzt voraus, dass die Cloud-Sicherheit transparent und nachprüfbar ist. Dies führt ebenfalls dazu, dass Cloud-Risiken genauer betrachtet und neu bewertet werden müssen. Entsprechend werden dann auch solche Maßnahmen für die Cloud Security ergriffen, die bislang nicht zum Standard gehörten, weder für den Cloud-Nutzer noch für den Cloud-Anbieter.

"Pro" Cloud Services sprechen laut Studie vor allem eine standardisierte IT und eine orts-, gerät- und ressourcenunabhängige Nutzung. "Contra" besonders Sicherheitsbedenken und Datenschutzgründe. Besondes interessant: Die beiden meistgenannten "Contra"-Argumente werden auch auf der "Pro"-Seite mit am meisten genannt.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Insgesamt 28 Prozent der befragten Unternehmen planen in den nächsten zwölf Monaten den Einsatz von Cloud-Services oder sie prüfen es zumindest intern. Diese Planungen und Prüfungen stehen unter dem Einfluss der Datenschutz-Grundverordnung. Deshalb ist zu erwarten, dass die risikoorientierte Auswahl von Sicherheitsmaßnahmen, wie sie die DSGVO vorschreibt, die Konzeption der Cloud Security verändert.

Die Pflicht, die Datenschutzfolgen bei neuen Technologien wie den Cloud-Services zu bestimmen, wird dazu führen, bislang zu wenig gesehene Cloud-Risiken stärker zu beachten und entsprechende Gegenmaßnahmen zu ergreifen.

Die Veränderungen im Datenschutzrecht werden die Cloud-Sicherheit transformieren, neben den technologischen Veränderungen durch die digitale Transformation. Diese Auswirkungen des Datenschutzes werden umso stärker in der Cloud-Sicherheit spürbar werden, wie es zu einer Sanktionierung von Datenschutzverletzungen bei Cloud-Services kommt. Hier sind in den nächsten zwölf Monaten wichtige Entwicklungen zu erwarten.

Das allgemeine Sicherheitsempfinden bezüglich der verschiedenen Cloud-Umgebungen zeigt vor allem, dass die Akzeptanz von (Public-)Cloud-Modellen in den Unternehmen durchaus vorhanden ist.
Foto: IDG Research Services / Jutta Weber-Vidal, www.erdenbuerger.de

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner: Cisco Systems GmbH (Platin-Partner), A1 Digital (Platin-Partner), Micro Focus GmbH (Gold-Partner), NTT Security Germany GmbH (Silber-Partner), genua GmbH, securEnvoy GmbH (Bronze-Partner)

Grundgesamtheit: Oberste (IT-) Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 351 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 22. bis 28. Januar 2019

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services