Cloud Security - höchst relevant und doch von vielen Unternehmen vernachlässigt. Warum?

von

Lesezeit: Minuten ( Wörter)

Datensicherheit in der Cloud – ein Thema, das mit fortschreitender Digitalisierung für immer mehr Unternehmen höchste Priorität haben sollte. Sollte – denn gemäß einer Studie von Thales verzichtet ein überwältigender Teil, nämlich 80 %, der deutschen Unternehmen sogar auf grundlegende Verschlüsselungen der in der Cloud gespeicherten, sensiblen Daten. Gleichzeitig nehmen cyberkriminelle Aktivitäten deutlich zu, wie unter anderem der aktuelle BSI Lagebericht drastisch zum Ausdruck bringt. Die Frage, die sich stellt: Warum verzichten so viele Unternehmen auf Cloud Security? Wir haben uns auf die Suche nach Antworten gemacht.

Datensicherheit in der Cloud beginnt mit Datenschutz

Cloud Security bedeutet nicht nur den zuverlässigen Schutz der auf den Online-Speichern hinterlegten Daten vor kriminellem Zugriff, sondern auch die Einhaltung von Datenschutzbestimmungen. Die Datenschutzgrundverordnung stellt hohe Anforderungen an den Schutz persönlicher Daten – gleichzeitig haben die meisten Cloud-Anbieter ihren Standort und ihre Infrastruktur in den USA. Das kann in einigen Fällen zu Interessenkonflikten führen, denn alle Daten, die in den USA abgespeichert werden, unterliegen dem sogenannten Patriot Act. Der Patriot Act bestimmt, dass bei einem begründeten Verdacht alle Daten der US-amerikanischen Regierung vorgelegt werden müssen.

Um auf Nummer Sicher zu gehen und die Cloud Security auch im Sinne der DSGVO aufrechtzuerhalten, sollten Sie:

• Wenn immer möglich einen Serverstandort in Deutschland oder Europa wählen
• Optionen für die Datenverschlüsselung und Anonymisierung unbedingt in Anspruch nehmen
• Prüfen, ob der Cloud-Anbieter Zertifikate bereitstellen kann, die einen gesetzeskonformen Umgang mit den gespeicherten Daten bestätigen

Der Datenschutz in einer Cloud-Umgebung kann also mit recht wenig Aufwand sichergestellt werden. Ein wichtiger Schutzbaustein, der unter keinen Umständen vernachlässigt werden darf!

Keine einheitlichen Ansätze für Datensicherheit in der Cloud erkennbar

Gemäß der eingangs erwähnten Thales-Studie hosten 17 % der befragten deutschen Unternehmen ihre sensiblen Daten in der Cloud. Auch wenn unternehmensübergreifend einige Trends zur Absicherung der Daten in der Cloud erkennbar sind, fehlt es doch an einer einheitlichen Strategie. So setzt knapp ein Drittel der befragten Unternehmen auf Multi-Faktor-Authentifizierungen – doch nur 20 % der deutschen Unternehmen verschlüsseln mehr als die Hälfte ihrer Daten in der Cloud. Und selbst wenn die Daten verschlüsselt werden, vertrauen 34 % der Unternehmen ihrem Cloud-Anbieter die Schlüssel an, anstatt selbst die Datensicherheit in die Hand zu nehmen. Das Problem der fehlenden, einheitlichen Strategie für Datensicherheit in der Cloud: Wenn der größte Teil der Unternehmen keinen Wert auf Verschlüsselung legt, müssten mögliche Zugriffspunkte in den Fokus gestellt werden. Das jedoch bleibt aus. Zero-Trust-Strategien als wirksamer Schutz sind für die meisten Unternehmen in Deutschland kein Thema. Dabei sind robuste Sicherheitsstrategien gemäß Sebastien Cano, Senior Vice President bei Thales, „unerlässlich, um die Sicherheit von Daten und Geschäftsabläufen zu gewährleisten.“

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Cloud Security scheitert häufig an der Komplexität

Während es den Unternehmen an einer gemeinsamen Sicherheits-Strategie fehlt, sind sie sich in einem Punkt weitestgehend einig. Der Umgang mit Datenschutz und Datensicherheit in der Cloud ist wesentlich komplizierter als bei Inhouse-Lösungen. Mehr als die Hälfte der befragten deutschen Unternehmen gaben in der Thales-Studie an, dass sie Hybrid-Lösungen gegenüber einem vollständigen Umstieg auf Cloud-Ansätze bevorzugen. Diese nicht einheitliche Infrastruktur in Kombination mit zunehmenden Einführungen von Cloud-basierten Lösungen führt zu einer nochmals gestiegenen Komplexität in Sachen Sicherheit.
Multi-Cloud: Praktisch, aber leider auch eine echte Herausforderung für die Datensicherheit

Viele Unternehmen, auch in Deutschland, setzen verstärkt auf Multi-Cloud-Modelle. Das bedeutet, dass nicht nur ein Cloud-Anbieter für die Speicherung der Daten verwendet wird, sondern gleich mehrere. Während bei einem Anbieter die Unternehmensdaten abgespeichert werden, werden Services anderer Anbieter, beispielsweise Microsoft Azure, für die Benutzerverwaltung oder die Steuerung von Diensten in Anspruch genommen. Mehrere Anbieter bedeuten aber auch eine nochmals gestiegene Komplexität im Bereich des Managements – und ebenfalls steigende Anforderungen an die IT-Security.

Cloud Security nicht den Cloud-Diensten überlassen

Die Anbieter von Cloud-Diensten sind für die physische Sicherheit, eine zuverlässige Stromversorgung und eine dauerhafte Konnektivität ihrer Rechenzentren verantwortlich. Darüber hinaus bieten viele Anbieter einen rudimentären Schutz gegen Cyberangriffe – der allerdings alles andere als ausreichend ist. Unternehmen, die sich auf diesen Basisschutz verlassen, handeln jedoch grob fahrlässig! Denn auch wenn die Unternehmensdaten von einem externen Anbieter gespeichert werden und so die Unternehmen von teuren Anschaffungs- und Unterhaltskosten für Rechenzentren oder Server-Racks befreit werden: Die Verantwortung für eine nachhaltige Cloud Security verbleibt immer bei den jeweiligen Unternehmen. Verschlüsselungen, Zugriffskontrollen oder Multi-Faktor-Authentifizierungen sollten daher immer zusätzlich zu dem Basisschutz implementiert werden. Nur so können der Datenschutz und auch die Datensicherheit in der Cloud gewährleistet werden.

Wenn die Cloud Security durch die eigenen Mitarbeiter torpediert wird

Mal eben eine Datei via Filesharing an den Kunden übertragen oder sensible Daten in einer vom Unternehmen nicht autorisierten Cloud abspeichern, ist in vielen Unternehmen eine weit verbreitete Unsitte. Natürlich ist die schnelle, weitestgehend barrierefreie Datenübertragung praktisch und auch für technisch wenig versierte Mitarbeiter schnell durchzuführen. Allerdings birgt der sorglose Umgang mit Unternehmensdaten immense Probleme. Die „Schatten-IT“ wird mit der Digitalisierung zunehmend zu einer Bedrohung für die Cybersicherheit. Hier hilft vor allem eines: Aufklärung. Nur wenn sich alle Mitarbeiter über die Gefahren, die ein unkontrolliertes Filesharing oder die Verwendung nicht genehmigter (und damit auch nicht gesicherter) Cloud-Storage-Dienste im Klaren sind, kann ein gefahrloser Einsatz der Cloud in einem Unternehmen gelingen. Zusätzlich sind Security-Lösungen gefordert, die sensible Unternehmensdaten sowohl am Speicherort als auch bei der Übertragung und natürlich auch an den Endpunkten schützen.

Von Anfang an die Datensicherheit in der Cloud in den Mittelpunkt stellen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Cloud Computing Compliance Criteria Catalogue (C5) die Mindestanforderungen an sicheres Cloud-Computing zusammengefasst. Der Kriterienkatalog wurde bereits 2016 erstmalig veröffentlicht und seitdem kontinuierlich aktualisiert und ergänzt. Der Kriterienkatalog ist ein überaus wirksames Instrument zur Orientierung im Rahmen der Auswahl eines Cloud-Anbieters. Cloud-Dienste, die die C5-Kriterien umsetzen und die Umsetzung anschließend von zertifizierten Prüfern attestieren lassen, können sich einen durchaus attraktiven Wettbewerbsvorteil verschaffen. Unternehmen, die sich im Umkehrschluss für einen gemäß C5-Kriterien zertifizierten Cloud-Dienstleister entscheiden, profitieren durch ein erhöhtes Maß an Datensicherheit in der Cloud. Das entbindet jedoch nicht von der Pflicht, ein eigenes Risikomanagement im Unternehmen zu implementieren!

Es sind Security-Lösungen gefordert, die sensible Unternehmensdaten sowohl am Speicherort als auch bei der Übertragung und an den Endpunkten schützen.

„Mein Unternehmen ist so klein, wer will schon meine Daten?“

Einen solchen oder ähnlich gelagerten Einwand hört man häufig von Inhabern oder Geschäftsführern vor allem kleiner Unternehmen. Gerade hier spielt IT-Security zumeist eine sehr untergeordnete Rolle – wenn sie denn überhaupt vorhanden ist. Es ist allerdings ein Trugschluss, dass Cyberkriminelle sich vorrangig auf die „Big Player“, also große Konzerne oder global agierende Mittelständler, stürzen. Im Gegenteil, gerade kleine Unternehmen werden immer häufiger Opfer von Cyberangriffen aller Art. Werden dann zusätzlich sensible Daten in der Cloud gespeichert, ist das Desaster nahezu vorprogrammiert. Denn Cyberkriminelle wissen genau, bei wem sich ein Angriff auf die Daten lohnt – und das sind auch und insbesondere schlecht oder gar nicht abgesicherte kleine Unternehmen.

Mit externen Profis zu mehr Datensicherheit in der Cloud

Der Fachkräftemangel, finanzielle Engpässe oder Sorglosigkeit: Es sind viele Faktoren, die die Cloud Security in einem Unternehmen verhindern. Wenn es an eigenen Ressourcen und internen IT-Spezialisten fehlt, ist ein rundum sicherer Einsatz der Cloud dennoch möglich. Auf Cyber Security spezialisierte, externe Dienstleister wie die secion GmbH sichern Cloud-Zugänge rund um die Uhr und an 365 Tagen im Jahr ab. Mit maßgeschneiderten Sicherheitslösungen ermöglichen Sicherheits-Dienstleister einen zuverlässigen Schutz sensibler Daten – und verhindern Cyberangriffe, Erpressungsversuche oder Spionage.

Fazit

Datensicherheit in der Cloud ist im Zuge der Digitalisierung so wichtig geworden wie niemals zuvor. Immer mehr Unternehmen setzen bei der Speicherung und Verarbeitung ihrer Daten auf Cloud-Anbieter. Die Vorteile liegen klar auf der Hand: Reduzierte Kosten, ein standortunabhängiger Zugriff auf alle relevanten Daten und Beschleunigung von Arbeitsprozesse. Jedoch wird die Cloud Security gerade in Deutschland in viel zu vielen Unternehmen vernachlässigt. Unternehmensdaten werden Cloud-Diensten anvertraut, die nicht den strengen Datenschutz- und Datensicherheitsregeln der europäischen Union unterliegen. Die Datensicherheit in der Cloud wird den Betreibern überlassen – die im besten Fall einen wirklich nur rudimentären Schutz anbieten. Dabei zeigen Studien deutlich, dass die Menge an Cyberangriffen nicht abnimmt. Im Gegenteil, im vergangenen Jahr musste fast die Hälfte aller deutschen Unternehmen einen erfolgreichen Cyberangriff hinnehmen. Es ist dabei unerheblich, ob ein Unternehmen zu den Big Playern auf dem Markt gehört oder als kleiner Fachbetrieb in der Provinz agiert. Cyberkriminelle wissen genau, bei wem sich Angriffe lohnen – und wo sich Daten am einfachsten und ohne großes Risiko abgreifen lassen. Wenn es im eigenen Unternehmen an IT-Spezialisten fehlt oder das Budget ein IT-Security-Team nicht zulässt, können externe Security-Dienstleister das dringend benötigte Maß an Cybersicherheit gewährleisten.

Wie umfassend ist Ihr Netzwerk abgesichert? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück