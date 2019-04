Der Cloud-Markt ist in Bewegung und entwickelt sich anders, als die Anfangsprognosen erwarten ließen. Ein vollständiges Abwandern der IT-Services in die Cloud ist ausgeblieben und wird auch nicht stattfinden. Es gibt nicht die eine große Cloud, sondern viele Cloud-Services.

Trotzdem ist die Cloud eine Erfolgsgeschichte. 65 Prozent der Unternehmen in Deutschland nutzen bereits Cloud-Services, wie die aktuelle Studie "Cloud Security 2019" von IDG Research Services zeigt. Nur für acht Prozent der Unternehmen kommen Cloud-Services nicht in Frage. 92 Prozent der Unternehmen nutzen bereits Cloud-Dienste, sie planen es in den nächsten zwölf Monaten (17 Prozent) oder prüfen es intern (11 Prozent).

Als Bezugsmodell für Cloud-Dienste liegt die Private Cloud mit 61 Prozent der Antworten vorne. Public Clouds nutzen 45 Prozent der befragten Unternehmen. Hybrid Clouds sind bei 32 Prozent im Einsatz, Community Clouds und Multi-Clouds bei 20 Prozent.

Die Wahl des Bezugsmodells kommt nicht von ungefähr: Fragt man Unternehmen nach ihrem Sicherheitsempfinden bei Cloud Computing, wird die Sicherheit der Private Cloud am besten benotet (2,4), Multi-Clouds erreichen nur eine 2,7, Community Clouds eine 2,8.

Nicht der Preis führt die Liste der zehn wichtigsten Kriterien bei der Auswahl von Cloud-Diensten an. Ganz oben steht die Sicherheit des Datenzugriffs, gefolgt von der Datenverschlüsselung und der Zuverlässigkeit des Anbieters.

Cloud-Sicherheit ist bedroht

Auch wenn Cloud-Dienste mehrheitlich als relativ sicher eingestuft werden, berichten die Unternehmen in der neuen Studie von Angriffen auf die von ihnen genutzten Services aus der Cloud. Fast die Hälfte (47 Prozent) der Unternehmen hat bereits Cyber-Angriffe auf ihre Cloud-Services festgestellt, zwölf Prozent wissen nicht, ob bereits eine Online-Attacke auf ihre Cloud-Dienste erfolgt ist.

Offensichtlich besteht weiterer Handlungsbedarf bei der Absicherung der Cloud-Services. Wie die neue Studie zeigt, setzen viele Unternehmen auf vertraute Security-Konzepte wie Verschlüsselung, Firewall und lokale Backups. Auch von den Cloud-Providern erwarten die Anwenderunternehmen eher Security-Klassiker als neue Konzepte für die Cloud-Sicherheit.

Einer der Gründe für diese Sicht auf Cloud Security ist die zu einseitige Wahrnehmung der Cloud-Risiken, die in den Umfragen deutlich wird. Bestimmte Typen von Cloud-Attacken werden kaum durch Security-Maßnahmen adressiert, obwohl die Angriffe stattfinden.

Neue Anforderungen an Cloud-Security

Was für die Absicherung eines Cloud-Dienstes getan wird, darf nicht von einer zu engen Wahrnehmung der Cloud-Risiken abhängen. Es gibt klare Forderungen an die Sicherheit im Cloud Computing.

Neben KRITIS-Betreibern haben auch Anbieter von Cloud-Computing-Diensten Sicherheitsvorfälle mit erheblichen Auswirkungen an das BSI zu melden, wie das Bundesamt für Sicherheit in der Informationstechnik in dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland klarstellt. Weiterhin sehen die Regelungen für Betreiber digitaler Dienste ein Mindestniveau an Maßnahmen zur präventiven IT-Sicherheit sowie zur reaktiven Bewältigung von Sicherheitsvorfällen vor.

"Die Einforderung und Umsetzung von Sicherheitsanforderungen ist ein wichtiger Aspekt bei der Inanspruchnahme von Cloud-Diensten", so BSI-Präsident Arne Schönbohm.

Mit dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue - C5) hat das Bundesamt für Sicherheit in der Informationstechnik neue Standards in der Cloud-Branche gesetzt. Im C5-Katalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Standard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind.

Wie die neue Studie "Cloud Security 2019" zeigt, gehört das Cloud-Testat nach dem C5-Katalog des BSI bereits zu den wichtigen Compliance-Kriterien bei der Auswahl eines Cloud-Anbieters. Mit einer Benotung von 2,4 liegt das C5-Testat vor der Anforderung, dass der Cloud-Anbieter seinen Hauptsitz in Deutschland haben soll (2,6).

Anja Hinnemann, Capgemini Outsourcing Services GmbH

„Absolute Sicherheit gibt es nicht, denn jedes Unternehmen hat eine Schatten-IT – schon aus dem Grund, weil jedes Unternehmen E-Mails nutzt. Viele schicken sich Informationen auf die private E-Mail-Adresse weiter. Natürlich ist das nicht erlaubt, aber es wird trotzdem gemacht. Eine große Rol-le spielt daher die Awareness. Ich bin überzeugt, dass viele Unternehmen da noch viel zu wenig tun.“ Anja Hinnemann, Head of Cybersecurity DACH bei Capgemini Outsourcing Services GmbH. Eckhard Schaumann, RSA

„Es ist nicht einfach, eine User Experience so zu machen, dass die Leute nicht verzweifeln, wenn sie bei jedem Cloud-Anbieter eine andere Authentifizierung oder eine andere Zugriffsmöglichkeit haben. Hier muss man lokal selbst entscheiden, wie man die Zugriffe in die Cloud sicher macht, zum Beispiel durch eine vorgeschaltete einheitliche Authentifizierung. Genau hier lauert die Gefahr und nicht darin, dass Daten in der Cloud geklaut werden.“ Eckhard Schaumann, Country Manager Germany bei RSA. Ibrahim Köse, Spike Reply GmbH

„Ich kenne keine Firma, die entweder komplett im Rechenzentrum arbeitet oder komplett in der Cloud. Es werden beide Lösungen verwendet, und die Daten wandern zwischen diesen Welten. Daher sollte die Konzentration auf die Datensicherheit gelegt, die Schwerpunkte sollten dafür aber verschoben werden. Denn obwohl dieselbe Technologie dahintersteckt, macht es einen Unter-schied, ob man auf Daten im Rechenzentrum zugreift oder auf Daten aus der Cloud.“ Ibrahim Köse, Senior Manager Cloud Security bei der Spike Reply GmbH. Konstantin Agouros, matrix technology AG

„Wenn Sie bei AWS in die Rechte-/Rollenstruktur reinschauen, was Sie wie an Rechten vergeben können – das ist supergranular. Sie können alles super genau absichern, aber das System zu be-dienen ist so komplex, dass ich in meiner Seele nachvollziehen kann, dass ein Admin, der zwei Stunden gegen dieses Rechte-/Rollenkonzept gekämpft hat, sagt: Komm, Sternchen.“ Konstantin Agouros, Head of IT-Consulting Open Source & AWS bei der Matrix AG. Kurt Knochner, Fortinet GmbH

„Es ist für Unternehmen nicht inhärent erkennbar, dass die Cloud sicher ist. Die deutschen Mittel-ständler hosten lieber im Data Center, weil sie dadurch das gute Gefühl haben, sie könnten hinfah-ren, sich das anschauen und die Festplatte anfassen – wohl wissend, dass sie das nie tun werden. Der psychologische Aspekt – man kann die Daten real erreichen – spielt eine wesentliche Rolle bei der Cloud-Migration. Die Aufgabe der Beratungsunternehmen ist es, den Kunden diese diffusen Bedenken zu nehmen und die Vorteile der Cloud für die Unternehmen zu verdeutlichen.“ Kurt Knochner, Cyber Security Experte bei der Fortinet GmbH. Martin Mangold, DriveLock SE

„Viele Lösungsanbieter können den Mehrwert einer cloud-basierten Lösung noch nicht optimal er-klären. Wenn es um Security aus der Cloud geht, liegt der Mehrwert insofern auf der Hand, als sich hier Experten unternehmensübergreifend um die Sicherheit ihrer Daten kümmern – insbesondere auch mithilfe von AI/KI.“ Martin Mangold, Director Cloud Business bei DriveLock SE. Ramon Mörl, it Watch GmbH

„Ich bin in circa 40 Verbänden und Arbeitskreisen aktiv und habe dort versucht, folgende These in den Raum zu stellen: Lasst uns als IT-Anbieter, Berater und Rechtsanwälte kollektiv eine Lösung als Referenz entwickeln, die alle Regularien nachweisbar erfüllt. Ich habe nicht einen gefunden, der es anpacken wollte, sondern 100, die mir erklärt haben, warum genau das nicht geht.“ Ramon Mörl, Geschäftsführer der it Watch GmbH Uwe Maurer, NTT Security

„Die Fachabteilungen machen Projekte, und die werden – auch in Deutschland – zum großen Teil in der Cloud realisiert. Und das ist auch gut so, denn nicht die IT sollte das Geschäft treiben, son-dern das Geschäft die IT. Das Geld für die IT kommt aus dem Geschäft. Dass sich die IT hier an-ders etabliert, ist mir eigentlich fremd.“ Uwe Maurer, Chief Architect Cyber Defense EMEA bei NTT Security. André Fenchel, Rackspace

„Wir sehen die Schwierigkeit darin, dass den Kunden keineswegs klar ist, welchen Schritt sie zuerst machen sollen – vor allem, wenn sie die Vorteile mehrerer Cloud-Anbieter nutzen und sich nicht mit einem verheiraten wollen. Hat man dafür genügend Spezialisten im Security-Umfeld, im Netz-werkumfeld, im Applikationsumfeld? Deutschland ist hier sehr ingenieurgetrieben, während die An-gelsachsen viel mehr die geschäftlichen Möglichkeiten sehen, die eine Cloud-Infrastruktur abbilden kann.“ André Fenchel, Account Manager bei Rackspace. Fabian Guter, SecurEnvoy GmbH

„Der Unterschied zwischen den einzelnen Ländern liegt auch darin, dass Endkunden bei ihrer Cloud-Migration beziehungsweise Cloud-Strategie nicht an die Hand genommen werden. Der Bedarf entsteht durch Beratung – und da ist bei uns in der Partnerlandschaft noch einiges hintendran.“ Fabian Guter, Geschäftsführer der SecurEnvoy GmbH.

Datenschutz dominiert die Auswahlkriterien

Unter den Anforderungen an einen Cloud-Service und Cloud-Provider tritt der Datenschutz besonders stark hervor. So nennen 35 Prozent der Unternehmen Sicherheitsbedenken und 29 Prozent Datenschutzfragen als Gründe gegen die Cloud-Nutzung. Andererseits erwarten sich die Unternehmen von Cloud-Services ein höheres Sicherheits- und Datenschutzniveau (34 Prozent und 32 Prozent).

Ein angemessenes Datenschutzniveau bei Cloud Computing ist nicht nur wünschenswert, sondern eine rechtliche Voraussetzung, um überhaupt Cloud-Services nutzen zu dürfen.

Nach Datenschutz-Grundverordnung (DSGVO / GDPR) sind Cloud-Dienste als sogenannte Auftragsverarbeitung einzustufen. Hierzu besagt die DSGVO: "Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."

Bevor ein Cloud-Dienst genutzt werden darf, muss sich ein Unternehmen von den Datenschutzmaßnahmen des Cloud-Anbieters überzeugen, es muss Garantien für diese Maßnahmen geben. Als mögliche Garantien und Nachweise nennt die DSGVO eine Datenschutz-Zertifizierung auf Grundlage der EU-Verordnung.

Diese Bedeutung einer Datenschutz-Zertifizierung sind sich die Unternehmen in Deutschland bewusst. 34 Prozent der befragten Unternehmen prüfen die Cloud-Zertifikate der Anbieter. Fehlen die Zertifikate, achten sie auf Datenschutz-Audits bei den Providern.

Für fast 60 Prozent der Unternehmen hat die Datenschutz-Grundverordnung einen starken oder sehr starken Einfluss darauf, wie sie mit Daten umgehen, die in einer Cloud verarbeitet werden. Keine Auswirkung der DSGVO sehen gerade einmal zwei Prozent der befragten Unternehmen.