Was ist Cloud Security? Maßnahmen, Gefahren, Trends

  • Fabian Sinner
  • Februar 15, 2020

Inhaltsverzeichnis

    Was ist Cloud Security? Maßnahmen, Gefahren, Trends

    Cloud Security umfasst ein Regelwerk und daraus abgeleitete Maßnahmen zur Absicherung von Cloud Services sowie deren Umgebung. Die zu sichernde Cloud-Infrastruktur schließt auch Anwendungen, Datenströme und Daten mit ein. Weiterhin entscheidet die Art der Cloud (public, private, hybrid, multi) über den Grad der benötigten Cloud Security-Lösung. 

    Warum ist Cloud Security wichtig?

    Sicherheitsmaßnahmen für Cloud-Services schützen unter anderem vor Verlust, Diebstahl und Manipulation von Daten, Fremdzugriffen und dem Ausfall des Netzwerks. Ein weiterer Teilbereich dieses Regelwerks ist Compliance, d. h. die Einhaltung rechtlicher Anforderungen wie der DSGVO. Aufgrund von Haftungsansprüchen, die durch Sicherheitsverletzungen entstehen können, ist die Sicherheit eines der zentralen Themen innerhalb des Cloud Computings für Cloud-Anbieter und Verwender zugleich.

    Wie funktioniert Cloud Security?

    Die Absicherung von Cloud-Computing umfasst mehrere Bereiche. Für die Cloud Security werden Prozesse definiert, die im Ernstfall abgespielt werden. Dazu gehört zum Beispiel die Datenwiederherstellung (Data Recovery), falls die Gesamtheit oder Teilbereiche der Cloud nicht erreichbar sind. Ein weiterer Aspekt sind die technischen Voraussetzungen, die seitens des Anbieters und der Anwender geschaffen werden müssen, um die Sicherheit der Cloud zu gewährleisten. Dazu zählen Verschlüsselung, Monitoring und Authentifizierungen der Nutzer.

    Die einzelnen Services und Maßnahmen für verschiedenste Eventualitäten werden in der Regel durch ein Service Level Agreement zwischen Cloud Provider und Cloud User festgehalten. Auch der Nutzer der Cloud-Lösung steht in der Pflicht, seinerseits für die Sicherheit der Cloud zu sorgen. Viele Cloud-Anbieter bieten nur einen Standardschutz, der keine individuelle Konfiguration zulässt.

    Sichere Clouds durch sichere Daten

    Das zweite Standbein der Cloud Security ist die Rechtssicherheit. Neben der rechtskonformen Speicherung, Verarbeitung und Löschung von Daten spielt oftmals die Einhaltung weiterer gewerbe- oder branchenspezifischer Regularien eine wichtige Rolle. Die Transparenz bezüglich der Speicherorte und der sachgerechten Löschung gewinnt spätestens seit dem Inkrafttreten der europäischen Datenschutzrichtlinie DSGVO an Relevanz. Laut Umfrageergebnissen des Cloud-Monitor 2019 von KPMG nennen bereits 90 % der deutschen Unternehmen den Datenschutz als wichtigstes Kriterium bei der Auswahl ihres Cloud Providers.

    Grundsätzlich sind die Compliance-Vorgaben für deutsche Verwender hoch. Viele der datenschutzrechtlichen Aufgaben werden an den Cloud Provider ausgelagert, obwohl die Haftung für Schäden beim Datenverarbeiter – also den Cloud-Nutzern – verbleibt. In der Praxis ist daher eine Rundumlösung wichtig, die sowohl Sicherheit als auch Rechtskonformität gewährleistet. Probleme tauchen häufig dann auf, wenn sich der Server-Standort der Cloud außerhalb des Geltungsbereiches der EU-DSGVO befindet. Beauftragte Subunternehmen seitens des Betreibers können ebenfalls die Suppe versalzen: Wenn Dienste der genutzten Cloud an externe Unternehmen ausgelagert werden, kann dies die Transparenz enorm herabsetzen – besonders im Hinblick auf die Einhaltung rechtlicher Anforderungen.

    Überblick: Kernbereiche der Cloud-Sicherheit

    • Nutzer: Identifizierung und Zugriffsrechte der Nutzer absichern und verwalten
    • Daten: Verschlüsselung, Speicherung, Verarbeitung und Löschung von Daten erfolgen rechtskonform
    • Anwendungen: Jede Anwendung innerhalb einer Cloud muss dem Sicherheitsstandard entsprechen und darf die Unversehrtheit der Cloud-Infrastruktur nicht schwächen (Cloud Infrastructure Security)
    • Rechenzentrum: Physische Elemente (Hardware) vor internen Gefahren (z. B. Brand) und vor externen Zugriffen (z. B. Diebstahl) schützen
    • Netzwerk und Server: Datenströme abgrenzen und Cyber-Angriffe abwehren

    Welche Risiken machen Cloud Security erforderlich?

    Die Liste der möglichen Cloud Security-Risiken ist lang, denn die Quellen sind vielseitig:

    • Verlust, Diebstahl, Leaks, Manipulation von Daten
    • Unautorisierte Fremdzugriffe und Missbrauch für kriminielle Ziele (Cryptomining, Cyber-Attacken)
    • Gezielte Cyber-Angriffe (DDoS, Malware, Advanced Persistent Threats) auf die Cloud-Instanzen
    • Betriebsausfälle durch technische Störungen
    • Datenschutzverletzungen durch mangelnde Compliance
    • Fehlerhafter Konfiguration oder Integration in die IT-Infrastruktur des Kunden
    • Fehlerhafte Schnittstellen zwischen Anwendungen (APIs)
    • Beschädigung des Rechenzentrums

    Wer ist für die Sicherheit der Cloud verantwortlich?

    Die Verantwortung für die Cloud Security trägt zum Großteil der jeweilige Cloud Provider. Oft gehört dies zu den gewährleisteten Dienstleistungen, die im Vertrag zwischen Anbieter und Kunde definiert werden. Durch das eigene Personalmanagement sowie Protokolle zu Überwachung von Prozessen und Analysen im Fall einer Sicherheitsverletzung muss der Anbieter mögliche Sicherheitsrisiken abdecken.

    Auch der Cloud User trägt seinerseits Verantwortung im Bereich der Sicherheit, z. B. für das Berechtigungsmanagement der eigenen Mitarbeiter. In der Praxis sollten z. B. Bereiche der Cloud, die kritische Informationen enthalten, nur einem möglichst kleinen Kreis zugänglich gemacht werden. Doppelte Authentifizierungen können ebenfalls dafür sorgen, dass die Hürden für Nicht-Berechtigte hoch bleiben. Anwender müssen gegebenenfalls zusätzliche Security-Lösungen zur Absicherung ihrer Cloud-Services implementieren, wenn diese besondere Schutzanforderungen aufweisen.

    Welche Sicherheitsrichtlinien gelten für Clouds?

    • Cloud Computing Compliance Controls Catalogue (C5)
    • Datenschutz-Zertifikat ISO/IEC 27018

    Die Sicherheitsrichtlinie C5 bietet ein Set überprüfbarer Minimalanforderungen an die Sicherheit im Cloud Computing. Allerdings enthält es keinen Maßnahmen-Katalog, mit denen diese Anforderungen umgesetzt und erfüllt werden können. Das ISO-Zertifikat ist zwar ein wertvoller Kodex, wurde allerdings nicht spezifisch für das Cloud Computing entworfen.

    Weitere Richtlinien und Hilfestellungen bieten hierzulande die Website der KRITIS (Internetplattform zum Schutz Kritischer Infrastrukturen des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK)) sowie internationale gemeinnützige Organisationen wie die Cloud Security Alliance.

    Cloud Computing und Sicherheit: Entwicklungen und Trends

    Laut einer Studie zu Cloud Security von IDG Business Media verwenden 92 % der deutschen Unternehmen bereits Cloud Services, planen die Nutzung in diesem Jahr oder prüfen konkret einen künftigen Einsatz. Diese Entwicklung bestätigten die Ergebnisse des Cloud-Monitors 2019: Drei von vier der befragten Unternehmen verwenden bereits eine Cloud-Lösung. Weiterhin betrachtet jeder zweite Verwender die Cloud als willkommenen internen Digitalisierungstreiber, bilanzierte der „Cloud-Monitor 2020“.

    Über die deutschen Grenzen hinaus genießt Cloud Computing bereits mehr Vertrauen. Im Rightscale 2019 State of the Cloud Report zeigt sich ein etwas optimistischeres Bild. 94 % der 786 befragten Unternehmen nutzen eine Cloud-Lösung. Neun von zehn nutzen eine Public Cloud, 72 % eine Private Cloud. Die Statistik verrät außerdem, dass zwei Drittel der Verwender bereits zur Gruppe der fortgeschrittenen User zählt. Die Studienherausgeber verraten allerdings nicht, in welchen Ländern die teilnehmenden Firmen tätig sind.

    Skepsis gegenüber Cloud-Anbietern bleibt

    Der aktuelle KPMG-Monitor zeigt zugleich, dass noch viele Bedenken gegenüber Cloud-Computing existieren. Als die größten Hemmschwellen bei der Umstellung auf Cloud-Services nannten deutschen Unternehmen Sorgen bezüglich:

    1. Verlust von Daten
    2. Unberechtigte Zugriffe
    3. Rechtssicherheit

    Cloud Security 2019: Ausfälle und Attacken

    Ist die Skepsis unter den Nicht-Verwendern berechtigt? „Auch die Cloud ist eine Technologie, die angemessen abgesichert werden muss, und kein Allheilmittel, das per se sicher ist. So hatten 63 Prozent der Unternehmen Ausfallzeiten ihrer Cloud-Lösungen zu verzeichnen,” kommentiert Marko Vogel, einer der Herausgeber, das aktuelle Ergebnis des Cloud-Monitors. Die drei Hauptgründe waren:

    1. Technische Probleme seitens des Cloud Providers (43 %)
    2. Fehlende Netzwerkanbindung (38 %)
    3. Technische Probleme in der unternehmenseigenen IT-Infrastruktur (35 %)

    Spannend ist ebenfalls die Erkenntnis, dass die meisten betroffenen Cloud-Verwender keine Konsequenzen aus den Ausfällen ableiteten: Nur jedes zehnte Unternehmen verhandelte bestehende Verträge nach und nur ein Prozent wechselte den Anbieter aufgrund technischer Probleme.

    Herausforderungen der Cloud Security

    Nur etwas mehr als die Hälfte der Monitor-Teilnehmer bestätigt, dass es ein betriebsinternes Sicherheitskonzepts für ihre Cloud-Anwendungen gibt. Die Risiken, welche die Technologie, ihre Verwender und die physische Sicherheit der Rechenzentren betreffen, werden jedoch weiterhin bestehen. Neben internen Ausfällen wächst außerdem die Bedrohungslage der gezielten Angriffe auf und mithilfe von Cloud-Umgebungen. Bereits für jede zweite DDoS-Attacke wurde 2019 ein Cloud-Server missbraucht. Opfer dieser Attacken wurden häufig die Kunden der betroffenen Cloud-Dienste selbst.

    Neben der Cloud Security wird es in der Zukunft weitere Herausforderungen für die Nutzung der Technologie geben: Laut Rightscale Report sind die steigenden Kosten der Cloud-Nutzung, die reibungslose Steuerung und die verschwendeten Ressourcen die größten Sorgen. Besonders der letzte Aspekt ist aufgrund der wachsenden Kosten des Cloud Computings und dessen Absicherung ein wesentlicher Faktor. Nach Kalkulationen der Report-Herausgeber wird bereits etwa jeder dritte Dollar vergeudet, der in Cloud Computing investiert wird.

    Ausblick für Cloud-Anbieter und -Anwender

    Angesichts der wachsenden Bedrohungslage müssen Anbieter und ihre Kunden gleichermaßen den Schwerpunkt auf nachhaltige Investitionen in die Cloud Security legen. Um die Ausgaben für die Sicherheitslösungen dabei möglichst effektiv zu steuern, sollten Unternehmen gezielt nach einem Spezialisten suchen, der ihnen ein ganzheitliches Sicherheitskonzept bietet.

    Lesen Sie mehr zur Sicherheitslage von Cloud-Lösungen im Link11 Whitepaper „Wie sicher ist die Cloud wirklich?”.

     


    Quellen:

    • Cloud-Monitor 2019: Public Cloud und Cloud Security sind kein Widerspruch, KPMG/Bitkom, 2019
    • Cloud Security 2019, IDG Business Media, 2019
    • Rightscale 2019 State of the Cloud Report from Flexera, Flexera, 2019
    Link11 mit Cloud Champion Award 2022 ausgezeichnet
    Telekom-Manager verstärkt Geschäftsführung beim DDoS-Schutzanbieter Link11
    X