Kleine und mittelständische Unternehmen (KMU), die wettbewerbsfähig bleiben möchten, kommen nicht um die Cloud herum, belegt die Studie "Cloud Monitor 2018" von KPMG und Bitkom Research. Demnach setzen etwa zwei Drittel der KMU Cloud-Services ein. Allerdings verwenden derzeit nur 31 Prozent Public-Cloud-Dienste.
Foto: your - shutterstock.com
Ein Grund für die reservierte Haltung gegenüber Public-Cloud-Angeboten sind Bedenken bezüglich der Sicherheit. So fürchten zwei Drittel der Unternehmen, die auf Cloud-Dienste verzichten, den unberechtigten Zugriff auf ihre Daten. Hinzu kommt die EU-Datenschutz-Grundverordnung (DSGVO). Sie enthält unter anderem verschärfte Vorgaben für den Schutz von Daten, die in einer Public Cloud gespeichert werden.
Was ist Cloud-Sicherheit eigentlich?
Generell gelten für Cloud-Dienste vergleichbare Sicherheitsanforderungen wie für IT-Services, die über unternehmenseigene Rechenzentren bereitgestellt werden. Cloud Security umfasst alle Maßnahmen, die Daten und Anwendungen von Nutzern von Cloud-Diensten vor Cyberangriffen, Missbrauch und Verlust schützen. Dazu zählen:
Der Schutz der Vertraulichkeit von Daten, etwa durch eine durchgängige Verschlüsselung beim Transport und Speichern im Cloud-Rechenzentrum. Außerdem ist sicherzustellen, dass nur autorisierte Mitarbeiter Zugang zu Daten und Konfigurationseinstellungen haben.
Die Integrität der Daten und IT-Ressourcen: Applikationen, Server und Netzwerksysteme müssen so zusammenarbeiten, dass Daten nicht beeinträchtigt werden.
Verfügbarkeit und Zuverlässigkeit: Services und Informationsbestände müssen den Nutzern rund um die Uhr zur Verfügung stehen. Das setzt voraus, dass der Provider Vorkehrungen gegen Cyberangriffe und den Ausfall von Rechenzentren trifft (Disaster Recovery).
Die Authentizität von Informationen und Usern: Es muss sichergestellt sein, dass keine Daten manipuliert werden können. Gleiches gilt für die Accounts von Nutzern. Ein Service-Provider sollte beispielsweise Techniken einsetzen, die das "Kapern" von Nutzerkonten unterbinden.
Transparenz und Zurechenbarkeit: Alle Interaktionen von Nutzern mit Cloud-Services und IT-Instanzen müssen nachvollziehbar sein.
Data Center in Deutschland und der EU
Wer Public-Cloud-Angebote nutzen möchte, sollte daher im Vorfeld prüfen, welche Sicherheitsmaßnahmen ein Anbieter umsetzt. Wichtig kann beispielsweise sein, dass die Dienste auch über Rechenzentren in Deutschland oder der EU angeboten werden. Der Nutzer sollte zudem festlegen können, in welchen Data Centern er seine Daten speichern möchte.
Führende Provider stellen auf Wunsch sicher, dass ein Nutzer nur auf Cloud-Rechenzentren zugreift, die der regionalen Jurisdiktion unterliegen. Dies sind beispielsweise die EU-Datenschutzregelungen (DSGVO).
Ausfallsichere Rechenzentrums-Infrastruktur
Unter den Aspekten Verfügbarkeit und Disaster Recovery ist wichtig, dass der Provider mehrere, räumlich verteilte Data Center in einer Region betreibt. Dann sind Daten und Cloud-Dienste auch bei Ausfall eines Rechenzentrums verfügbar. Interessenten sollten außerdem nachfragen, welcher Klasse diese Cloud-Data- Center zuzurechnen sind. Tier-3-Rechenzentren verfügen über redundante Systeme und bieten eine Verfügbarkeit von 99,98 Prozent.
Auf 99,995 Prozent kommen dagegen Tier-4-Datacenter. In ihnen sind alle Komponenten mehrfach ausgelegt, von den IT-Systemen über die Stromversorgung und Kühlung bis hin zum Netzwerk. Cloud-Rechenzentren, die den Kategorien Tier 3 und Tier 4 entsprechen, bieten somit meist bessere Vorkehrungen gegen Ausfälle als die meisten Data Centervon mittelständischen Unternehmen.
Zertifikate prüfen
Wie ernst es ein Service-Provider mit der Cloud Security meint, zeigt ein Blick auf seine Sicherheitszertifikate. Der Anbieter sollte über Zertifizierungen gemäß den ISO-/IEC-Normen 27001 (Security Management) und 9001 (Qualitätsmanagement) verfügen. Hinzu kommt mit ISO/IEC 22301 eine Spezifikation, die auf das Business Continuity Management ausgelegt ist, also die unterbrechungsfreie Bereitstellung von geschäftskritischen IT-Services.
Foto: SAP
Für Mittelständler, deren Niederlassungen in den USA Cloud-Dienste nutzen, sind zudem Compliance-Normen wie die Service Organization Controls (SOC) wichtig. Sie beschreiben Maßnahmen, mit denen ein Cloud-Service-Provider die Betriebssicherheit und den Schutz von vertraulichen Informationen sicherstellt. Das Pendant von SOC in Europa sind die International Standards for Assurance Engagements (ISAE). Allerdings reicht es nicht aus, dass ein Anbieter von Cloud-Services seine Marketing-Broschüren mit dem Logo schmückt. Vielmehr sollten die Zertifizierungen durch unabhängige, externe Fachleute vorgenommen und regelmäßig erneuert werden.
Verschlüsselung und Abwehr von Attacken
Neben dem "großen Ganzen" sollten Mittelständler die Sicherheitsfunktionen prüfen, die ein Service-Provider im Detail unterstützt. Wichtig ist eine durchgängige Verschlüsselung der Daten. Das gilt auch für den Transport der Daten von den Usern zum Cloud Data Center und zurück. Bei Einsatz einer symmetrischen Verschlüsselung sind Keys mit 128 Bit erforderlich, bei asymmetrischen Verfahren sind 2.048 Bit anzuraten.
Zu den wichtigsten Sicherheitsvorkehrungen eines Cloud-Service-Providers zählt die kontinuierliche Überwachung sicherheitsrelevanter Ereignisse - ein Security Monitoring. Nutzer sollten nachfragen, wie dieses Monitoring erfolgt. Wichtig ist, dass Log-Daten von IT- und Security-Systemen wie Intrusion-Prevention-Lösungen (IPS) in Echtzeit erfasst, analysiert und bewertet werden.
Weisen die Resultate auf einen Angriff oder eine kritische Sicherheitslücke hin, muss der Service-Provider in der Lage sein, automatisch Gegenmaßnahmen zu ergreifen. Greift beispielsweise ein User mit einem Endgerät, das mit einer Schadsoftware infiziert ist, auf einen Cloud-Dienst zu, wird das System automatisch vom Netz getrennt.
Netzwerk in Segmente aufteilen
Ein zentrales Sicherheitselement in Cloud-Umgebungen ist eine Segmentierung auf der Netzwerk- und Anwendungsebene. Dies verhindert, dass sich Angreifer in einem Cloud-Rechenzentrum ungehindert von einem System zu anderen bewegen können. Etliche Cloud-Service-Provider stellen beispielsweise jedem Kunden eine separate Cloud-Umgebung zur Verfügung. Sie ist von den IT-Ressourcen anderer Nutzer getrennt.
Geschäftskritische Systeme müssen außerdem besonders gut geschützt sein. Das lässt sich bewerkstelligen, indem im Cloud-Netzwerksegment eines Kunden ein dedizierter Datenbank-Server platziert wird.
Anwendungen aktualisieren
Zu den Sicherheitsfunktionen von Cloud-Services, die für KMU besonders hilfreich sind, zählt das Aktualisieren und "Patchen" von Applikationen und der Systemsoftware von IT-Komponenten. Denn diese Tätigkeiten sind aufwändig und werden daher von hauseigenen IT-Abteilungen oft vernachlässigt. Ein Cloud-Service-Provider nimmt dem Kunden diese Bürde ab.
Im Idealfall geht der Provider noch einen Schritt weiter: Er lässt White Hat Hacker, also Hacker mit guten Absichten, Angriffe auf das Netzwerk und Applikationen durchführen. Solche Penetrationstests geben Aufschluss über Sicherheitslücken und erhöhen das Sicherheitsniveau von Cloud-Services.
Wie gesund ist mein Cloud-Dienst?
Naturgemäß versprechen Anbieter von Cloud-Diensten ihren Kunden, dass die Services rund um die Uhr zur Verfügung stehen. Besser ist jedoch, wenn ein Nutzer selbst den Status der Cloud-Dienste nachprüfen kann. Das lässt sich über ein Web-Portal erreichen, das in Echtzeit die Verfügbarkeit der Services auflistet. Auf dem Portal sollten zudem die Gründe eventueller Ausfallzeiten aufgeführt sein, beispielsweise Wartungsarbeiten. Hilfreich ist, wenn der Nutzer zudem sicherheitsrelevante Informationen abfragen kann, etwa über welche Sicherheitszertifikate ein Cloud-Rechenzentrum verfügt.
Portale, die über das Sicherheitsniveau und die Verfügbarkeit von Cloud-Diensten informieren, erfreuen sich bei Nutzern besonders großer Beliebtheit. Vor allem für mittelständische Unternehmen sind solche "Cloud Trust Center" eine Möglichkeit, sich selbst ein Bild von der Qualität eines Cloud-Diensts zu machen.
Fazit
Die Sicherheit von Daten und Anwendungen hat für Nutzer von Cloud-Diensten höchste Priorität. Dasselbe gilt für Service-Provider. Denn ein Anbieter von Cloud-Services kann sich Datenlecks oder Sicherheitslücken schlichtweg nicht leisten. Das würde seine Reputation und sein Geschäft nachhaltig beeinträchtigen. Daher sind Cloud-Rechenzentren in puncto Sicherheit meist deutlich besser aufgestellt als ein Unternehmens-Data- Center.
Gerade für kleine und mittelständische Unternehmen ist es deshalb eine Überlegung wert, Lösungen aus Bereichen wie Enterprise Resource Planning (ERP), Customer-Relationship-Management (CRM) oder Human Resources "as a Service" aus der Cloud zu beziehen. Gleiches gilt für Anwendungen aus zukunftsträchtigen Bereich wie dem Internet der Dinge (IoT) und Machine Learning.