Cloud Security für den Mittelstand

Sicherheit und Cloud lassen sich vereinbaren

15.11.2018
Von   IDG ExpertenNetzwerk


Christian Mehrtens ist seit August 2017 Leiter des Geschäftsbereichs Mittelstand und Partner bei der SAP Deutschland SE & Co. KG.
Vor allem im Mittelstand gibt es immer noch Sicherheitsbedenken, wenn es um Cloud-Services geht. Doch diese lassen sich ausräumen, wenn potenzielle Nutzer die Sicherheitsvorkehrungen von Cloud-Providern auf den Prüfstand stellen.

Kleine und mittelständische Unternehmen (KMU), die wettbewerbsfähig bleiben möchten, kommen nicht um die Cloud herum, belegt die Studie "Cloud Monitor 2018" von KPMG und Bitkom Research. Demnach setzen etwa zwei Drittel der KMU Cloud-Services ein. Allerdings verwenden derzeit nur 31 Prozent Public-Cloud-Dienste.

Mittelständische Unternehmen sollten selbst prüfen, welche Security-Maßnahmen ein potenzieller Cloud-Provider ergreift.
Mittelständische Unternehmen sollten selbst prüfen, welche Security-Maßnahmen ein potenzieller Cloud-Provider ergreift.
Foto: your - shutterstock.com

Ein Grund für die reservierte Haltung gegenüber Public-Cloud-Angeboten sind Bedenken bezüglich der Sicherheit. So fürchten zwei Drittel der Unternehmen, die auf Cloud-Dienste verzichten, den unberechtigten Zugriff auf ihre Daten. Hinzu kommt die EU-Datenschutz-Grundverordnung (DSGVO). Sie enthält unter anderem verschärfte Vorgaben für den Schutz von Daten, die in einer Public Cloud gespeichert werden.

Was ist Cloud-Sicherheit eigentlich?

Generell gelten für Cloud-Dienste vergleichbare Sicherheitsanforderungen wie für IT-Services, die über unternehmenseigene Rechenzentren bereitgestellt werden. Cloud Security umfasst alle Maßnahmen, die Daten und Anwendungen von Nutzern von Cloud-Diensten vor Cyberangriffen, Missbrauch und Verlust schützen. Dazu zählen:

  • Der Schutz der Vertraulichkeit von Daten, etwa durch eine durchgängige Verschlüsselung beim Transport und Speichern im Cloud-Rechenzentrum. Außerdem ist sicherzustellen, dass nur autorisierte Mitarbeiter Zugang zu Daten und Konfigurationseinstellungen haben.

  • Die Integrität der Daten und IT-Ressourcen: Applikationen, Server und Netzwerksysteme müssen so zusammenarbeiten, dass Daten nicht beeinträchtigt werden.

  • Verfügbarkeit und Zuverlässigkeit: Services und Informationsbestände müssen den Nutzern rund um die Uhr zur Verfügung stehen. Das setzt voraus, dass der Provider Vorkehrungen gegen Cyberangriffe und den Ausfall von Rechenzentren trifft (Disaster Recovery).

  • Die Authentizität von Informationen und Usern: Es muss sichergestellt sein, dass keine Daten manipuliert werden können. Gleiches gilt für die Accounts von Nutzern. Ein Service-Provider sollte beispielsweise Techniken einsetzen, die das "Kapern" von Nutzerkonten unterbinden.

  • Transparenz und Zurechenbarkeit: Alle Interaktionen von Nutzern mit Cloud-Services und IT-Instanzen müssen nachvollziehbar sein.

Data Center in Deutschland und der EU

Wer Public-Cloud-Angebote nutzen möchte, sollte daher im Vorfeld prüfen, welche Sicherheitsmaßnahmen ein Anbieter umsetzt. Wichtig kann beispielsweise sein, dass die Dienste auch über Rechenzentren in Deutschland oder der EU angeboten werden. Der Nutzer sollte zudem festlegen können, in welchen Data Centern er seine Daten speichern möchte.

Führende Provider stellen auf Wunsch sicher, dass ein Nutzer nur auf Cloud-Rechenzentren zugreift, die der regionalen Jurisdiktion unterliegen. Dies sind beispielsweise die EU-Datenschutzregelungen (DSGVO).

Ausfallsichere Rechenzentrums-Infrastruktur

Unter den Aspekten Verfügbarkeit und Disaster Recovery ist wichtig, dass der Provider mehrere, räumlich verteilte Data Center in einer Region betreibt. Dann sind Daten und Cloud-Dienste auch bei Ausfall eines Rechenzentrums verfügbar. Interessenten sollten außerdem nachfragen, welcher Klasse diese Cloud-Data- Center zuzurechnen sind. Tier-3-Rechenzentren verfügen über redundante Systeme und bieten eine Verfügbarkeit von 99,98 Prozent.

Auf 99,995 Prozent kommen dagegen Tier-4-Datacenter. In ihnen sind alle Komponenten mehrfach ausgelegt, von den IT-Systemen über die Stromversorgung und Kühlung bis hin zum Netzwerk. Cloud-Rechenzentren, die den Kategorien Tier 3 und Tier 4 entsprechen, bieten somit meist bessere Vorkehrungen gegen Ausfälle als die meisten Data Centervon mittelständischen Unternehmen.

Zertifikate prüfen

Wie ernst es ein Service-Provider mit der Cloud Security meint, zeigt ein Blick auf seine Sicherheitszertifikate. Der Anbieter sollte über Zertifizierungen gemäß den ISO-/IEC-Normen 27001 (Security Management) und 9001 (Qualitätsmanagement) verfügen. Hinzu kommt mit ISO/IEC 22301 eine Spezifikation, die auf das Business Continuity Management ausgelegt ist, also die unterbrechungsfreie Bereitstellung von geschäftskritischen IT-Services.

Ein Kriterium bei der Auswahl eines Cloud-Dienstes sollte sein, ob der Anbieter wichtige Sicherheits- und Compliance-Normen einhält.
Ein Kriterium bei der Auswahl eines Cloud-Dienstes sollte sein, ob der Anbieter wichtige Sicherheits- und Compliance-Normen einhält.
Foto: SAP

Strategie-Handbuch für CIOs

Für Mittelständler, deren Niederlassungen in den USA Cloud-Dienste nutzen, sind zudem Compliance-Normen wie die Service Organization Controls (SOC) wichtig. Sie beschreiben Maßnahmen, mit denen ein Cloud-Service-Provider die Betriebssicherheit und den Schutz von vertraulichen Informationen sicherstellt. Das Pendant von SOC in Europa sind die International Standards for Assurance Engagements (ISAE). Allerdings reicht es nicht aus, dass ein Anbieter von Cloud-Services seine Marketing-Broschüren mit dem Logo schmückt. Vielmehr sollten die Zertifizierungen durch unabhängige, externe Fachleute vorgenommen und regelmäßig erneuert werden.

Verschlüsselung und Abwehr von Attacken

Neben dem "großen Ganzen" sollten Mittelständler die Sicherheitsfunktionen prüfen, die ein Service-Provider im Detail unterstützt. Wichtig ist eine durchgängige Verschlüsselung der Daten. Das gilt auch für den Transport der Daten von den Usern zum Cloud Data Center und zurück. Bei Einsatz einer symmetrischen Verschlüsselung sind Keys mit 128 Bit erforderlich, bei asymmetrischen Verfahren sind 2.048 Bit anzuraten.

Zu den wichtigsten Sicherheitsvorkehrungen eines Cloud-Service-Providers zählt die kontinuierliche Überwachung sicherheitsrelevanter Ereignisse - ein Security Monitoring. Nutzer sollten nachfragen, wie dieses Monitoring erfolgt. Wichtig ist, dass Log-Daten von IT- und Security-Systemen wie Intrusion-Prevention-Lösungen (IPS) in Echtzeit erfasst, analysiert und bewertet werden.

Weisen die Resultate auf einen Angriff oder eine kritische Sicherheitslücke hin, muss der Service-Provider in der Lage sein, automatisch Gegenmaßnahmen zu ergreifen. Greift beispielsweise ein User mit einem Endgerät, das mit einer Schadsoftware infiziert ist, auf einen Cloud-Dienst zu, wird das System automatisch vom Netz getrennt.