Bedenken um sichere Cloud-Nutzung
Unnötige Vorbehalte gegenüber der Cloud
Datenunsicherheit häufig selbst verschuldet
Die Cloud erfreut sich als Speichermedium wachsender Beliebtheit. Ihr Betrieb gestaltet sich flexibler und kostengünstiger als der Ausbau eigener Rechenzentren. Doch bestehen nach wie vor Bedenken in Bezug auf die Sicherheit der ihr anvertrauten Daten.
Diese Bedenken sind nicht ganz unberechtigt, doch haben sie bei genauerer Betrachtung nur wenig mit der Cloud-Technologie selbst zu tun. Meist sind es die Anwender selbst, die bei der Integrierung der Cloud in ihre Netzwerke zentrale Schritte der Datensicherheit ignorieren. Nur selten werden IT-Sicherheitsabteilungen in den Auswahlprozess einer Cloud mit einbezogen. Und längst nicht immer wird eine spezielle, auf die Cloud-Nutzung zugeschnittene Sicherheitsstrategie konzipiert und implementiert. Dabei gibt es mittlerweile durchaus Anwendungen externer IT-Sicherheitshersteller, welche helfen können, die Datenspeicherung in und den Datenaustausch mit der Cloud sicherer zu gestalten. Diese gilt es zu nutzen. Ist doch die Datenunsicherheit der Cloud vor allem ein selbstverschuldetes Phänomen.
Die richtige Cloud-Art wählen
Unterschieden werden vier Arten von Clouds: Private Cloud, Public Cloud, Community Cloud und Hybrid Cloud.
Bei der Private Cloud wird die Cloud-Infrastruktur durch einen Anbieter für eine einzige Organisation bereitgestellt und entsprechend genutzt. Die Organisation kann dabei die Infrastruktur selbst betreuen und nutzen, Die Infrastruktur befindet sich im Eigentum der Organisation oder eines Dritten oder einer Kombination. Die Technik wird hierbei entweder innerhalb oder außerhalb des eigenen Gebäudes betrieben.
Bei der Public Cloud wird die Cloud-Infrastruktur der Öffentlichkeit zur Verfügung gestellt. Deshalb kann diese von beliebigen Personen oder Unternehmen genutzt werden. Einer der Hauptvorteile einer Public Cloud ist die Schnelligkeit, mit der IT-Ressourcen eingesetzt werden können, und die Tatsache, dass nur die tatsächlich beanspruchten Serverressourcen gezahlt werden. Allerdings stellt sich aufgrund der Nutzung durch eine anonyme Öffentlichkeit bei der Public Cloud verstärkt die Frage nach der entsprechenden Beachtung von Datenschutz und Datensicherheit.
Die Hybrid Cloud stellt eine Kombination von Public und Private Cloud dar. Hier werden Dienste von mehreren Unternehmen genutzt, die ihre verschiedenen sozusagen privaten Dienste gemeinschaftlich in Anspruch nehmen.
Im Falle einer Community Cloud schließen sich Betriebe der gleichen Branche zusammen und bilden aus ihren Private Clouds die Community Cloud, welche gemeinschaftlich genutzt wird. Die einzelnen Organisationen nehmen ihre verschiedenen, sozusagen privaten Dienste gemeinschaftlich in Anspruch. Diese Art der Cloud macht überall dort Sinn, wo Unternehmen gleiche Anforderungen und Aufgaben haben und die gemeinsame Nutzung einer vorhandenen Infrastruktur angestrebt wird.
Die Hybrid Cloud lässt das Kombinieren von Public und Private Cloud zu. Hier besteht die Infrastruktur der Cloud aus Diensten einer Privaten, Public und/oder Community Cloud. Die Hybrid Cloud ermöglicht das dedizierte Hosting und somit lassen sich die verschiedenen Optionen der Public und Private Cloud nutzen. Auf diese Weise können Organisationen genau die Optionen nutzen, die am besten zu ihren Bedürfnissen passen.
Weltweit ist die Nutzung von Clouds, die Nutzung von IT über Datennetze, auf dem Vormarsch. So kam die 2016 Global Cloud Data Security Study von Gemalto und dem Ponemon Institute zu dem Ergebnis, dass mittlerweile 73 Prozent der befragten Unternehmen auf einer Cloud basierende Services und Plattformen als wichtig für ihr Geschäft einstufen. Und 81 Prozent der Befragten erklärten, dass die Cloud in den kommenden zwei Jahren noch an Bedeutung zunehmen werde. Bereits 2016 hatten 36 Prozent aller befragten Unternehmen ihre Datenspeicherung vollständig in die Cloud verschoben. Und auch hier erwarten sie innerhalb der nächsten zwei Jahre eine Zunahme – auf 45 Prozent.
Deutsche Unternehmen, so die Studie Cloud Security 2016 von Computerwoche, Freudenberg IT, Microsoft und Trend Micro, hinken, zumindest was den deutschen Mittelstand betrifft, bei Cloud-Nutzung immer noch hinterher. Doch ist auch hier ein Wachstumstrend deutlich erkennbar.
Während laut Cloud Monitor 2017 von Bitkom Research und KPMG, 2011 erst 28 Prozent der befragten deutschen Unternehmen die Cloud nutzten, waren es 2014 bereits 44, 2015 54 und 2016 schon ganze 65 Prozent.
Die Cloud im Einsatz
Vor allem zwei Eigenschaften haben der Cloud zu diesem Siegeszug als neuem Medium des Massenspeichers verholfen. Zum einen erlaubt ihr Einsatz Einsparungen beim Ausbau der eigenen Rechenzentren. Eine Senkung der Kosten und eine Erhöhung der Flexibilität sind die Folge. Kann neuer Speicherplatz im Fall der Cloud doch schnell und passgenau eingekauft werden. Zum anderen ermöglicht die Cloud den weltweiten Zugriff auf jedes gerade benötigte Datenpaket. Bei der stetig wachsenden Zahl mobiler Arbeitsplätze ein erheblicher Pluspunkt.
Vorbehalte gegen Cloud – Angst vor ungenügender Datensicherheit
Doch so schwer die Vorteile auch wiegen mögen, so bestehen doch in zahlreichen Unternehmen nach wie vor Zweifel, die einem Einzug der Cloud im Wege stehen. Vor allem die Sicherheit der eingelagerten Daten wird immer wieder in Zweifel gezogen. Als zentrales Gegenargument wird von den Cloud-Anbietern in dieser Frage stets die Verschlüsselung der Daten in der Cloud angeführt. Angreifer, so die Anbieter, könnten die Daten also, selbst wenn ein Angriff erfolgreich verlaufen sollte, nicht lesen. Doch legen die Anbieter die Verschlüsselungs-Keys häufig ebenfalls in der Cloud ab. Dabei lautet die wichtigste Grundsatzregel der Cloud-Nutzung, dass die Verschlüsselungs-Keys nicht in die Cloud gehören, sondern im Unternehmen bleiben sollten.
Interessanterweise sind die Sicherheitsbedenken international stärker ausgeprägt als in Deutschland. In der 2012 von Intel unter 800 amerikanischen, chinesischen, deutschen und britischen IT-Entscheidern durchgeführten Umfrage What’s holding back the Cloud? erklärten 69 Prozent, Sicherheitsbedenken gegenüber der Nutzung einer Private Cloud zu haben. In Deutschland waren es nur 52 Prozent. 87 Prozent erklärten, Sicherheitsbedenken gegenüber der Nutzung einer Public Cloud zu haben. In Deutschland waren es wiederum nur 70 Prozent. Und für 2017 sieht der Cloud Monitor die Sicherheitsbedenken gar schon nur noch bei 60 Prozent. Doch auch wenn die Bedenken gegenüber der Cloud rückläufig sind, bei der Entscheidung für einen Anbieter spielt die Sicherheit nach wie vor die entscheidende Rolle.
Cloud kann sicher sein, wird aber häufig nicht sicher gemacht
Die 2015 von PwC und ISACA durchgeführte Studie Cloud Governance in deutschen Unternehmen kam in diesem Zusammenhang zu dem Ergebnis, dass für 90% der befragten Unternehmen bei der Auswahl eines Cloud-Services die Aspekte Informationssicherheit, Compliance sowie Server-Standort und Vertrauenswürdigkeit des Anbieters die entscheidende Rolle spielen.
Doch sind laut Cloud Monitor 2017 nur 67% der IT-Sicherheitsabteilungen auch tatsächlich in die Auswahl des Cloud-Produkts eingebunden. Meist handelt es sich bei der Entscheidung für die Cloud um eine reine Business-Entscheidung und so bleibt die Wahl der Cloud und ihre konkrete Implementierung anderen Abteilungen überlassen.
Da ist es dann auch nicht verwunderlich, dass in der 2016 Global Cloud Data Security Study festgestellt wurde, dass 54 Prozent aller Umfrageteilnehmer ihre Cloud-Sicherheitsstrategie und die Einhaltung von Datenschutzrichtlinien für unzureichend hielten. Und auch der Cloud Monitor 2017 hielt fest, dass bei Unternehmen mit 500 und mehr Beschäftigten nur rund 66% eine konkrete Sicherheitsstrategie für ihre Cloud-Nutzung besaßen. Bei kleineren Unternehmen unter 500 Mitarbeitern waren es sogar nur rund 33%, bei Unternehmen unter 100 Mitarbeitern nur 28 Prozent. Dass deshalb dringend der Einkauf von externer Expertise, von externen auf Cloud-spezialisierten Sicherheitsdienstleistern, erforderlich ist, darüber waren sich laut der Studie Cloud Governance in deutschen Unternehmen immerhin bereits 2015 rund 66% der befragten Unternehmen einig. Mittlerweile, dies hat der Cloud Monitor gezeigt, ist die Zahl auf 91% gestiegen.
2 Grundsatzfragen
Vor der Cloud-Nutzung müssen zwei wichtige Grundsatzfragen geklärt sein, nämlich, welche Daten überhaupt in der Cloud gespeichert werden und für wen es sinnvoll, ist, die Cloud zu nutzen. Erst nachdem diese Fragen geklärt sind und der Nutzerkreis für die Cloud sinnvoll definiert und technisch eingeschränkt wurde, muss geregelt werden, wie die Daten anschließend verschlüsselt werden.
Eine auf Clouds zugeschnittene IT-Sicherheitslösung bietet beispielsweise der deutsche Softwarehersteller EgoSecure .
Das Unternehmen kommt aus dem Bereich des Device-Managements und ist heute, nach über 12 Jahren am Markt, einer der führenden Anbieter von Datensicherheitslösungen an den Endgeräten. Bereits für das Managen von Devices, wie z. B. USB-Sticks, wurde das C.A.F.E. Management Prinzip entwickelt. Es definiert und sichert die Cloud mit einem ganzheitlichen Sicherheitskonzept und basiert auf der Kombination der übergeordneten Funktionen Control, Audit, Filter und Encrypt. Dabei wird definiert, welche Benutzer welche Datenwege benutzen dürfen und somit, wer welche Zugriffsberechtigung in der Cloud besitzt. Es weist auf Verstöße gegen die Unternehmensrichtlinien im Datenumgang hin und liefert forensische Informationen bei Datenverlusten. Zudem separiert es kritische von unkritischen Datentypen und blockiert Schadsoftware aus der Cloud. Sein Verschlüsselungsmanagement gewährleistet zusätzlichen Schutz, wobei die Schlüssel natürlich, anderes als bei den Verschlüsselungslösungen der Cloud-Anbieter, im Unternehmen bleiben.
Die auf dem C.A.F.E. Management basierende Software EgoSecure Data Protection ist dabei so aufgebaut, dass es auch von IT-Sicherheitskräften, die nicht auf Clouds spezialisiert sind, problemlos installiert und betrieben werden kann. Noch sicherer wird die Cloud-Nutzung bei Verwendung einer zwei-Faktor-Authentisierung, die Integration z. B. von YubiKeys von Yubico aber auch zu anderen Token-Herstellern ist in EgoSecure Data Protection bereits umgesetzt.
Ausgestattet mit einem solchen Tool können Unternehmen ihren Datenaustausch mit der Cloud schnell und unkompliziert auf einen ganz neuen Sicherheitsstandard heben.
