Skip to main

cloud computing security issues

Definition von Cloud Security

Cloud Security ist eine Fachrichtung der Cyber-Sicherheit, die sich der Sicherung von Cloud-Computing-Systemen widmet. Dazu gehört es, Daten über online-basierte Infrastrukturen, Anwendungen und Plattformen hinweg privat und sicher zu halten. Die Sicherung dieser Systeme erfordert die Leistungen der Cloud-Anbieter und ihrer Kunden, unabhängig davon, ob es sich um Einzelpersonen, kleine und mittelständige Unternehmen oder Großunternehmen handelt.

Cloud-Provider hosten Dienste auf ihren Servern über ständig aktive Internetverbindungen. Da ihr Geschäft vom Kundenvertrauen abhängt, werden Cloud-Sicherheitsmethoden eingesetzt, um Kundendaten privat und sicher aufzubewahren. Allerdings liegt Cloud-Sicherheit teilweise auch in den Händen des Kunden. Das Verständnis beider Facetten ist für eine gesunde Cloud-Sicherheitslösung von entscheidender Bedeutung.

Im Kern setzt sich Cloud Security aus den folgenden Kategorien zusammen:

  • Datensicherheit
  • Identitäts- und Zugriffsmanagement (IAM)
  • Verwaltung (Richtlinien zur Prävention, Erkennung und Eindämmung von Bedrohungen)
  • Planung von Datenaufbewahrung (DR) und Geschäftskontinuität (BC)
  • Gesetzeskonformität

Cloud Security mag wie veraltete IT-Sicherheit erscheinen, aber dieser Rahmen erfordert tatsächlich ein anderes Konzept. Bevor wir tiefer eintauchen, wollen wir uns zunächst einmal ansehen, was Cloud Security ist.

Was ist Cloud-Security?

Der Begriff Cloud Security umfasst alle Technologien, Protokolle und Best Practices, mit denen Cloud-Computing-Umgebungen, Cloud-Anwendungen und in der Cloud gespeicherte Daten geschützt werden. Die Sicherung von Cloud-Diensten beginnt damit zu verstehen, was genau gesichert wird und welche Systemaspekte verwaltet werden müssen.

Im Allgemeinen liegt die Backend-Entwicklung gegen Sicherheitslücken weitgehend in den Händen der Anbieter von Cloud-Diensten. Abgesehen von der Wahl eines sicherheitsbewussten Anbieters müssen sich die Kunden vor allem auf die richtige Konfiguration des Dienstes und sichere Nutzungsgewohnheiten konzentrieren. Darüber hinaus sollten die Kunden sicher sein, dass Enduser-Hardware und Netzwerke ordnungsgemäß gesichert sind.

Der volle Umfang der Cloud Security ist darauf ausgelegt, unabhängig von Ihren Aufgaben Folgendes zu schützen:

  • Physikalische Netzwerke - Router, Stromversorgung, Verkabelung, Klimasteuerung usw.
  • Datenspeicherung - Festplatten usw.
  • Datenserver - Hardware und Software für Kernnetzwerk-Computing
  • Computer-Virtualisierungs-Frameworks - Software für virtuelle Maschinen, Host-Rechner und Gast-Rechner
  • Betriebssysteme (OS) - Software, die alle Computerfunktionen unterstützt:
  • Middleware - Verwaltung des API (Application Programming Interface),
  • Laufzeitumgebungen - Ausführung und Aufrechterhaltung eines laufenden Programms
  • Daten - alle gespeicherten, geänderten und abgerufenen Informationen
  • Anwendungen - traditionelle Softwaredienste (E-Mail, Steuersoftware, Produktivitätssuites usw.)
  • Enduser-Hardware - Computer, mobile Geräte, Geräte für das Internet der Dinge (Internet of Things, IoT)

Beim Cloud Computing können die Eigentumsverhältnisse an diesen Komponenten sehr unterschiedlich sein. Dies kann den Umfang der Verantwortung für die Kundensicherheit unklar machen. Da die Sicherung der Cloud unterschiedlich aussehen kann, je nachdem wer die Autorität über die einzelnen Komponenten hat, ist es wichtig zu verstehen wie diese gemeinsam gruppiert werden.

Zur Vereinfachung werden Cloud-Computing-Komponenten von zwei Hauptgesichtspunkten aus gesichert:

1. Cloud-Service-Typen werden von Drittanbietern als Module zur Erstellung der Cloud-Umgebung angeboten. Je nach Art der Dienstleistung können Sie einen unterschiedlichen Grad der Komponenten innerhalb der Dienstleistung verwalten:

  • Der Kern jedes Cloud-Service von Drittanbietern besteht darin, dass der Anbieter das physische Netzwerk, die Datenspeicherung, die Datenserver und die Computer-Virtualisierungsframeworks verwaltet. Der Dienst wird auf den Servern des Anbieters gespeichert und über dessen intern verwaltetes Netzwerk virtualisiert, um den Kunden aus der Ferne zur Verfügung gestellt zu werden. Dadurch werden Hardware- und andere Infrastrukturkosten entlastet, so dass die Kunden von überall her über eine Internetverbindung auf ihre Computerbedürfnisse zugreifen können.
  • Software-as-a-Service (SaaS)-Cloud-Dienste bieten Kunden Zugang zu Anwendungen, die rein gehostet werden und auf den Servern des Anbieters laufen. Anbieter verwalten die Anwendungen, Daten, Laufzeit, Middleware und das Betriebssystem. Die Kunden müssen lediglich ihre Anwendungen abrufen. Zu den SaaS-Beispielen gehören Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx und Evernote.
  • Platform-as-a-Service-Cloud-Dienste bieten Kunden einen Host für die Entwicklung eigener Anwendungen, die im eigenen „Sandbox“-Bereich des Kunden auf den Servern des Anbieters ausgeführt werden. Die Anbieter verwalten die Laufzeit, die Middleware und das Betriebssystem. Kunden haben die Aufgabe, ihre Anwendungen, Daten, Benutzerzugriffe, Endbenutzergeräte und Netzwerke zu verwalten. Zu den PaaS-Beispielen gehören Google App Engine und Windows Azure.
  • Infrastructure-as-a-Service (IaaS)-Cloud-Dienste bieten Kunden die Hardware- und Fernkonnektivitäts-Systeme, um den Großteil ihrer Datenverarbeitung bis hin zum Betriebssystem unterzubringen. Anbieter verwalten nur zentrale Cloud-Dienste. Clients haben die Aufgabe, alles abzusichern, was in einem Betriebssystem gespeichert wird, einschließlich Anwendungen, Daten, Laufzeiten, Middleware und das Betriebssystem selbst. Darüber hinaus müssen die Kunden den Benutzerzugang, die Enduser-Geräte und die Netzwerke der Enduser verwalten. Zu den IaaS-Beispielen gehören Microsoft Azure, Google Compute Engine (GCE) und Amazon Web Services (AWS).

2. Cloud-Umgebungen sind Bereitstellungsmodelle, bei denen ein oder mehrere Cloud-Dienste ein System für die Enduser und Organisationen bilden. Diese segmentieren die Aufgaben des Managements - einschließlich der Sicherheit - zwischen Kunden und Anbietern.

Die derzeit verwendeten Cloud-Umgebungen sind:

  • ÖffentlicheCloud-Umgebungen bestehen aus Cloud-Diensten mit mehreren Teilnehmern, bei denen sich ein Client die Server eines Anbieters mit anderen Client teilt, z. B. in einem Bürogebäude oder einem Coworking Space. Dabei handelt es sich um Dienstleistungen Dritter, die vom Anbieter betrieben werden, um Kunden über das Internet Zugang zu gewähren.
  • PrivateCloud-Umgebungen von Drittanbietern basieren auf der Nutzung eines Cloud-Service, der dem Kunden die exklusive Nutzung seiner eigenen Cloud ermöglicht. Diese Umgebungen für einzelne Teilnehmer werden in der Regel von einem externen Anbieter besessen, verwaltet und extern betrieben.
  • Private firmeninterne Cloud-Umgebungen, bestehen ebenfalls aus Cloud-Service-Servern für Einzelteilnehmer, werden aber von ihrem eigenen privaten Rechenzentrum aus betrieben. In diesem Fall wird diese Cloud-Umgebung vom Unternehmen selbst betrieben, um die vollständige Konfiguration und Einrichtung jedes Elements zu ermöglichen.
  • Multi-Cloud-Umgebungen umfassen die Nutzung von zwei oder mehr Cloud-Diensten von verschiedenen Anbietern. Dabei kann es sich um eine beliebige Mischung aus öffentlichen und/oder privaten Cloud-Diensten handeln.
  • HybrideCloud-Umgebungen bestehen aus einer Mischung aus privater Cloud Dritter und/oder einem privaten Cloud-Rechenzentrum vor Ort mit einer oder mehreren öffentlichen Clouds.

Wenn wir es aus dieser Perspektive betrachten, können wir verstehen, dass Sicherheit in der Cloud je nach Art der Cloud, in der die Nutzer arbeiten, etwas anders aussehen kann. Aber die Auswirkungen sind sowohl für Einzelpersonen als auch für Organisationskunden spürbar.

Wie funktioniert Cloud Security?

Jede Cloud-Sicherheitsmaßnahme dient dazu, eines oder mehrere der folgenden Ziele zu erreichen:

  • Aktivieren der Datenwiederherstellung bei Datenverlust
  • Schutz des Speichers und der Netzwerke vor bösartigem Datendiebstahl
  • Vermeidung von menschlichem Fehlverhalten oder Fahrlässigkeit, die Datenlecks verursachen
  • Reduzierung der Auswirkungen von Daten- oder Systemkompromittierung

Datensicherheit ist ein Aspekt der Cloud Security, der das technische Ende der Bedrohungsabwehr beinhaltet. Tools und Technologien ermöglichen es Anbietern und Kunden, Barrieren zwischen dem Zugang und der Sichtbarkeit sensibler Daten zu errichten. Unter diesen ist die Encryption eines der leistungsstärksten verfügbaren Werkzeuge. Bei der Encryption werden Ihre Daten so chiffriert, dass sie ohne den zugehörigen Verschlüsselungs-Key nicht mehr lesbar sind. Gehen sie verloren oder werden sie gestohlen, kann niemand etwas mit ihnen anfangen. Datentransferschutz wie virtuelle private Netzwerke (VPNs) wird auch in Cloud-Netzwerken besonders berücksichtigt.

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) bezieht sich auf die Zugangsprivilegien, die den Benutzerkonten angeboten werden. Die Verwaltung der Authentifizierung und Autorisierung von Benutzerkonten betrifft auch diesen Bereich. Zugriffskontrollen sind von zentraler Bedeutung, um Benutzer - sowohl legitime als auch böswillige - daran zu hindern, in sensible Daten und Systeme einzudringen und diese zu kompromittieren. Passwortverwaltung, Multi-Faktor-Authentifizierung und andere Methoden fallen in den Geltungsbereich von IAM.

Steuerung konzentriert sich auf Strategien zur Prävention, Erkennung und Eindämmung von Bedrohungen. Bei KMUs und Großunternehmen können Aspekte wie die Bedrohungsintelligenz bei der Verfolgung und Priorisierung von Bedrohungen helfen, um wichtige Systeme sorgfältig zu bewachen. Aber auch einzelne Cloud-Kunden könnten von Richtlinien und Schulungen zum sicheren Nutzerverhalten profitieren. Diese gelten meist in Organisationsumgebungen, aber Regeln für den sicheren Gebrauch und die Reaktion auf Bedrohungen können für jeden Anwender hilfreich sein.

Die Planung der Datenaufbewahrung (Data Retention, DR) und der Geschäftskontinuität (Business Continuity, BC) beinhaltet technische Notfallwiederherstellungsmaßnahmen im Falle eines Datenverlusts. Im Mittelpunkt jedes DR- und BC-Plans stehen Methoden zur Datenredundanz wie z.B. Backups. Darüber hinaus kann es hilfreich sein, technische Systeme zur Gewährleistung eines unterbrechungsfreien Betriebs zu haben. Systeme zur Prüfung der Gültigkeit von Backups und detaillierte Anweisungen zur Wiederherstellung für Mitarbeiter sind für einen gründlichen BC-Plan ebenso wertvoll.

Bei der Einhaltung der Gesetze geht es um den Schutz der Privatsphäre der Nutzer, wie sie von den gesetzgebenden Organen festgelegt wurde. Die Regierungen haben die Bedeutung des Schutzes privater Benutzerinformationen vor der Ausbeutung zu Profitzwecken erkannt. Als solche müssen Organisationen Vorschriften befolgen, um sich an diese Richtlinien zu halten. Ein Ansatz ist die Verwendung von Datenmaskierung, die die Identität innerhalb der Daten durch Verschlüsselungsmethoden verschleiert.

Was zeichnet Cloud Security aus?

Die traditionelle IT-Sicherheit hat durch den Übergang zum Cloud-basierten Computing eine immense Entwicklung erfahren. Während Cloud-Modelle mehr Komfort bieten, erfordert eine ständig aktive Konnektivität neue Überlegungen, um sie abzusichern. Cloud Security als modernisierte Cyber-Sicherheitslösung hebt sich in einigen Punkten von älteren IT-Modellen ab.

Datenspeicherung: Der größte Unterschied besteht darin, dass ältere IT-Modelle stark auf Datenspeicherung vor Ort angewiesen waren. Unternehmen haben schon seit langem festgestellt, dass es kostspielig und unflexibel ist, alle IT-Systeme für detaillierte, kundenspezifische Sicherheitskontrollen intern aufzubauen. Cloud-basierte Systeme haben dazu beigetragen, die Kosten für die Entwicklung und Wartung des Systems zu senken, haben aber auch den Nutzern eine gewisse Kontrolle genommen.

Skalierungsgeschwindigkeit: Ähnlich verhält es sich mit der Cloud-Sicherheit, die bei der Skalierung der IT-Systeme von Unternehmen besondere Aufmerksamkeit erfordert. Cloud-zentrierte Infrastruktur und Anwendungen sind sehr modular und schnell zu mobilisieren. Diese Fähigkeit sorgt zwar dafür, dass die Systeme einheitlich an organisatorische Veränderungen angepasst werden. Dies wirft jedoch Bedenken auf, wenn der Bedarf einer Organisation an Upgrades und Komfort ihre Fähigkeit übersteigt, mit der Sicherheit Schritt zu halten.

Enduser-Systemschnittstelle: Sowohl für Organisationen als auch für Einzelnutzer haben Cloud-Systeme auch Schnittstellen zu vielen anderen Systemen und Diensten, die gesichert werden müssen. Zugriffsberechtigungen müssen von der Ebene der Endbenutzergeräte über die Softwareebene bis hin zur Netzwerkebene beibehalten werden. Darüber hinaus müssen Anbieter und Nutzer auf Schwachstellen achten, die sie durch unsicheres Setup- und Systemzugriffsverhalten verursachen könnten.

Näherung zu anderen vernetzten Daten und Systemen: Da Cloud-Systeme eine beständige Verbindung zwischen Cloud-Anbietern und allen ihren Nutzern darstellen, kann dieses umfangreiche Netzwerk sogar den Anbieter selbst gefährden. In Netzwerklandschaften kann ein einzelnes schwaches Gerät oder eine einzelne schwache Komponente ausgenutzt werden, um den Rest zu befallen. Cloud-Anbieter setzen sich den Bedrohungen vieler Endnutzer aus, mit denen sie interagieren, unabhängig davon, ob sie Datenspeicher oder andere Dienste anbieten. Zusätzliche Verantwortung für die Netzwerksicherheit liegt bei den Anbietern, die ansonsten Produkte geliefert haben, die nicht auf ihren eigenen, sondern auf reinen Endnutzersystemen leben.

Die Lösung der meisten Cloud-Sicherheitsprobleme bedeutet, dass sowohl Benutzer als auch Cloud-Anbieter - sowohl im privaten als auch im geschäftlichen Umfeld - in Bezug auf ihre eigene Rolle in der Cyber-Sicherheit proaktiv bleiben müssen. Dieser zweigleisige Ansatz bedeutet, dass Nutzer und Anbieter gleichermaßen gefordert sind in Bezug auf:

  • Sichere Systemkonfiguration und -wartung.
  • Schulung zur Benutzersicherheit - sowohl verhaltensorientiert als auch technisch.

Letztendlich müssen Anbieter und Nutzer von Clouds Transparenz und Verantwortlichkeit besitzen, um die Sicherheit beider Parteien zu gewährleisten.

Sicherheitsrisiken in der Cloud

Was sind die Sicherheitsprobleme beim Cloud Computing? Denn wenn man sie nicht kennt, wie soll man dann angemessene Maßnahmen ergreifen? Schließlich kann eine schwache Cloud Security User und Anbieter allen Arten von Cyber-Sicherheitsbedrohungen aussetzen. Einige häufige Sicherheitsbedrohungen in der Cloud sind:

  • Risiken einer Cloud-basierten Infrastruktur, einschließlich inkompatibler, veralteter IT-Systeme und Unterbrechungen der Datenspeicherdienste Dritter.
  • Interne Bedrohungen durch menschliches Fehlverhalten, wie z.B. Fehlkonfiguration von Benutzerzugangskontrollen.
  • Externe Bedrohungen, die fast ausschließlich von Hackern verursacht werden, wie Malware, Phishing und DDoS-Angriffe.

Das größte Sicherheitsrisiko in der Cloud ist das Fehlen einer klaren Umgebungsgrenze – eines sogenannten Perimeters. Herkömmliche Cybersicherheitslösungen sind speziell auf dessen Absicherung ausgelegt. Cloud-Umgebungen jedoch sind extrem vernetzt. Hier können unsichere Anwendungsprogrammierschnittstellen (APIs) und gekaperte Konten große Probleme verursachen. Um den Sicherheitsrisiken des Cloud-Computing Herr zu werden, müssen Cybersicherheitsexperten ihre Strategien datenzentriert ausrichten.

Auch für Netzwerke ist die starke Vernetzung nicht unproblematisch. Angreifer brechen oft durch kompromittierte oder schwache Zugangsdaten in Netzwerke ein. Haben sich Hacker erst einmal Zugriff verschafft, können sie sich frei bewegen. Über schlecht abgesicherte Schnittstellen in der Cloud gelangen sie anschließend problemlos an die Daten in angebundenen Datenbanken und Knoten. Ihre Beute können sie dann sogar auf eigene Cloud-Server exportieren und dort speichern. Nötig sind also Sicherheitsmaßnahmen in der Cloud – es reicht nicht, lediglich den Zugriff auf die Cloud-Daten abzusichern.

Auch die Speicherung Ihrer Daten durch Dritte und der Zugriff über das Internet stellen jeweils eine eigene Bedrohung dar. Sollten die genutzten Dienste aus irgendeinem Grund ausfallen, sind Ihre Daten möglicherweise unerreichbar für Sie. Zum Beispiel könnte ein Ausfall des Telefonnetzes dazu führen, dass Sie zu einem wichtigen Zeitpunkt nicht auf die Cloud zugreifen können. Alternativ könnte ein Stromausfall Auswirkungen auf das Rechenzentrum haben, in dem Ihre Daten gespeichert sind, und möglicherweise zu einem dauerhaften Datenverlust führen.

Solche Störungen und Ausfälle können auch längerfristigen Schaden anrichten. Vor Kurzem wurde über einen Stromausfall in einem Amazon-Rechenzentrum für Cloud-Daten berichtet, bei dem mehrere Server Hardwareschäden davontrugen. Die auf ihnen gespeicherten Kundendaten waren unwiederbringlich verloren. Es empfiehlt sich also immer, zumindest einen Teil Ihrer Daten und Anwendung lokal zu sichern.

Warum Cloud Security wichtig ist

In den 1990er Jahren existierten geschäftliche und persönliche Daten lokal - und auch die Sicherheit war lokal. Die Daten befanden sich auf dem internen Speicher eines PCs zu Hause und auf Unternehmensservern, wenn Sie für ein Unternehmen gearbeitet haben.

Die Einführung der Cloud-Technologie hat alle gezwungen, Cyber-Sicherheit neu zu bewerten. Ihre Daten und Anwendungen befinden sich möglicherweise irgendwo zwischen lokalen und entfernten Systemen - und sind jederzeit über das Internet zugänglich. Nutzen Sie Google Docs auf Ihrem Smartphone oder wickeln Sie Ihre Kundenbetreuung über Salesforce-Software ab? Auch diese Daten könnten überall sein. Dadurch ist wirkungsvoller Datenschutz heute sehr viel schwieriger als zu jenen Zeiten, in denen es genügte, ungebetene User aus Ihrem Netzwerk fernzuhalten. Die Sicherheit in der Cloud erfordert die Anpassung einiger früherer IT-Praktiken, aber sie ist aus zwei Hauptgründen wichtiger geworden:

  1. Bequemlichkeit vor Sicherheit. Cloud Computing wächst exponentiell als primäre Methode sowohl für den Arbeitsplatz als auch für die individuelle Nutzung. Innovation hat es ermöglicht, neue Technologien schneller zu implementieren, als die Sicherheitsstandards der Industrie mithalten können, was den Nutzern und Anbietern mehr Verantwortung auferlegt, die Risiken der Zugänglichkeit zu berücksichtigen.
  2. Zentralisierung und Speicherung für mehrere Teilnehmer. Jede Komponente - von der Kerninfrastruktur bis hin zu kleinen Daten wie E-Mails und Dokumenten - kann nun über webbasierte Verbindungen rund um die Uhr lokalisiert und abgerufen werden. Das Sammeln all dieser Daten auf den Servern einiger weniger großer Dienstleistungsanbieter kann sehr gefährlich sein. Angreifer können nun auf große Rechenzentren mehrerer Organisationen abzielen und immense Datenverluste

Leider erkennen Hacker den Wert von cloud-basierten Zielen und sondieren sie zunehmend auf mögliche Schwachstellen. Obwohl Cloud-Provider viele Sicherheitsrollen von Kunden übernehmen, verwalten sie nicht alles. Damit bleiben auch technisch nicht versierte Anwender in der Pflicht, sich selbst in Sachen Cloud-Sicherheit zu schulen.

Doch die Verantwortung für die Sicherheit in der Cloud liegt nicht allein bei den Anwendern. Wenn Sie sich des Umfangs Ihrer Sicherheitsaufgaben bewusst sind, bleibt das gesamte System viel sicherer.

Cloud Security zum Schutz Ihrer Daten

Cloud-Sicherheitsbedenken - Datenschutz

Es wurden Gesetze erlassen, um Enduser vor dem Verkauf und der Weitergabe ihrer sensiblen Daten zu schützen. Die Datenschutzgrundverordnung (DSGVO) und der Health Insurance Portability and Accountability Act (HIPAA) erfüllen jeweils ihre eigenen Pflichten zum Schutz der Privatsphäre und schränken die Art und Weise ein, wie Daten gespeichert und zugänglich gemacht werden können.

Methoden des Identitätsmanagements wie Datenmaskierung wurden verwendet, um identifizierbare Merkmale von Benutzerdaten zu trennen, um die DSGVO-Konformität zu gewährleisten. Für die Einhaltung des HIPAA müssen Organisationen wie Gesundheitseinrichtungen sicherstellen, dass auch ihr Provider seinen Teil dazu beiträgt, den Datenzugriff einzuschränken.

Das CLOUD-Gesetz gibt Cloud-Providern ihre eigenen rechtlichen Beschränkungen vor, an die sie sich halten müssen, möglicherweise auf Kosten der Privatsphäre der Nutzer. Das US-Bundesrecht erlaubt es nun den Strafverfolgungsbehörden auf Bundesebene, angeforderte Daten von den Servern der Cloud-Anbieter einzufordern. Dies mag zwar einen effektiven Ablauf der Untersuchungen ermöglichen, kann jedoch einige Rechte auf Privatsphäre umgehen und zu potenziellem Machtmissbrauch führen.

Sicherheitsrisiken in der Cloud

Wie man die Cloud sichert

Glücklicherweise können Sie auch selbst viel tun, um Ihre Daten in der Cloud zu schützen. Schauen wir uns einige der beliebten Methoden an.

Encryption ist eine der besten Möglichkeiten, Ihre Cloud-Computing-Systeme zu sichern. Es gibt verschiedene Verschlüsselungsvarianten, die manchmal vom Cloud-Anbieter selbst angeboten werden oder über einen spezialisierten Anbieter für Cloud-Sicherheit implementiert werden müssen:

  • Kommunikationsverschlüsselung mit der Cloud in ihrer Gesamtheit.
  • Verschlüsselung besonders sensibler Daten, wie z.B. Kontozugangsdaten.
  • End-to-End-Verschlüsselung aller Daten, die in die Cloud hochgeladen werden.

In der Cloud ist das Risiko für Datendiebstahl während der Übertragung am größten. Auf dem Weg von einem Speicherort zum nächsten oder aus der Cloud in eine lokale Anwendung gibt es zahlreiche Angriffspunkte. End-to-End-Verschlüsselung ist für kritische Daten daher die beste Cloud-Sicherheitslösung. Bei der End-to-End-Verschlüsselung wird Ihre Kommunikation zu keinem Zeitpunkt ohne Ihren Verschlüsselungsschlüssel Außenstehenden zugänglich gemacht.

Sie können die Daten selbst verschlüsseln, bevor Sie sie in der Cloud speichern, oder einen Cloud-Anbieter nutzen, bei dem Datenverschlüsselung zum Leistungsumfang gehört. Falls Sie nur unproblematische Daten wie firmeninterne Bilder oder Videos in der Cloud ablegen, ist eine Ende-zu-Ende-Verschlüsselung möglicherweise zu viel des Guten. Für Finanzdaten, vertrauliche Informationen oder Geschäftsgeheimnisse ist sie jedoch unverzichtbar.

Wenn Sie Encryption nutzen, müssen Sie die zugehörigen Verschlüsselungsschlüssel sicher verwalten. Erstellen Sie immer ein Backup der Schlüssel und legen Sie dieses Backup möglichst nicht in derselben Cloud ab. Die Encyptionschlüssel sollten zudem regelmäßig geändert werden, damit Hacker nach einer erfolgreichen Kompromittierung bei der nächsten Änderung sofort wieder aus dem System ausgesperrt werden.

Konfiguration ist eine weitere leistungsstarke Praxis im Bereich der Cloud-Sicherheit. Viele Verletzungen von Cloud-Daten sind auf grundlegende Schwachstellen wie Konfigurationsfehler zurückzuführen. Indem Sie diese verhindern, verringern Sie das Sicherheitsrisiko Ihrer Cloud erheblich. Falls Sie sich die notwendigen Konfigurationsschritte selbst nicht zutrauen, können Sie sich an einen auf Cloud-Sicherheit spezialisierten Anbieter wenden.

Hier sind einige Grundsätze, die Sie befolgen können:

  1. Übernehmen Sie niemals die Standardeinstellungen. Die Verwendung der Standardeinstellungen ermöglicht einem Hacker den Zugriff von außen. Vermeiden Sie dies, um einem Hacker den Weg in Ihr System zu erschweren.
  2. Lassen Sie Cloud-Aufbewahrungs-Buckets nie offen. Hacker müssen dann nur die URL des Buckets aufrufen, um die Inhalte zu sehen.
  3. Wenn der Cloud-Anbieter optionale Sicherheitskontrollen anbietet, nutzen Sie sie. Ohne die richtigen Sicherheitsoptionen setzen Sie sich einem Risiko aus.

GrundlegendeCyber-Sicherheitstipps sollten ebenfalls in jede Cloud-Implementierung eingebaut werden. Auch in der Cloud gelten alle Standardtipps für Cybersicherheit. Damit Ihre Daten online bestmöglich geschützt sind, sollten Sie also Folgendes beherzigen:

  • Verwenden Sie starke Passwörter. Passwörter aus einer Kombination von Buchstaben, Ziffern und Sonderzeichen sind schwieriger zu knacken. Verzichten Sie dabei auf Offensichtliches – „S“ schlicht durch „$“ zu ersetzen, ist keine gute Idee. Je zufälliger und sinnfreier die Zeichenfolge, desto besser.
  • Verwenden Sie einen Passwort-Manager. Dann können Sie für jede Anwendung, jede Datenbank und jeden Dienst ein eigenes Passwort festlegen, ohne sich alle merken zu müssen. Wichtig dabei ist, den Passwort-Manager selbst mit einem starken Master-Passwort zu schützen.
  • Schützen Sie alle Geräte, mit denen Sie auf Ihre Cloud-Daten zugreifen, auch Smartphones und Tablets. Jedes Gerät, auf dem Sie Ihre Daten synchronisieren, könnte ein Einfallstor für Hacker und damit eine Gefahr für Ihr gesamtes digitales Leben sein.
  • Erstellen Sie regelmäßig Datenbackups. Dann können Sie Ihre Daten vollständig wiederherstellen, falls es bei Ihrem Cloud-Anbieter zu einem Dienstausfall oder einem Datenverlust kommt. Dieses Backup kann auf Ihrem Heim-PC, auf einer externen Festplatte oder sogar Cloud-to-Cloud erfolgen, solange Sie sicher sind, dass die beiden Cloud-Anbieter die Infrastruktur nicht gemeinsam nutzen.
  • Sorgen Sie mithilfe von angepassten Berechtigungen dafür, dass Benutzer und Geräte nur Zugriff auf alle Ihre Daten haben, wenn das unbedingt nötig ist. In Unternehmen werden hierzu Datenbankberechtigungen eingerichtet. Wenn Sie ein Heimnetzwerk haben, verwenden Sie Gastnetzwerke für Ihre Kinder, für IoT-Geräte und für Ihren Fernseher. Nur Sie selbst sollten Zugriff auf alle Daten und Netzwerke haben.
  • Installieren Sie Antivirensoftware und Anti-Malware-Software. Hat es Malware erst einmal auf Ihr System geschafft, können sich Hacker mühelos Zugriff auf Ihr Konto verschaffen.
  • Greifen Sie nicht über öffentliche WLANs auf Ihre Daten zu, insbesondere nicht ohne starke Authentifizierung. Verwenden Sie ein virtuelles privates Netzwerk (VPN) für sichere Cloud-Verbindungen.

Cloud-Speicher und die gemeinsame Nutzung von Dateien

Cloud-Computing-Sicherheitsrisiken können jeden betreffen, von Unternehmen bis hin zu einzelnen Verbrauchern. Sie speichern und sichern beispielsweise Dateien in der öffentlichen Cloud (mit SaaS-Diensten wie Dropbox), nutzen Cloud-basierte E-Mail- und Büroanwendungen oder erledigen ihre Steuern und Bankgeschäfte in der Cloud.

Wenn Sie Cloud-basierte Dienste nutzen, müssen Sie möglicherweise berücksichtigen, wie Sie Cloud-Daten mit anderen austauschen, insbesondere wenn Sie als Berater oder Freiberufler arbeiten. Natürlich ist es bequem, Kunden Dateien über Google Drive oder einen anderen Dienst bereitzustellen – dann müssen jedoch die Berechtigungen sorgfältig überprüft und verwaltet werden. Schließlich sollten Sie dafür sorgen, dass verschiedene Kunden nicht gegenseitig ihre Namen oder Verzeichnisse sehen oder ihre Dateien ändern können.

Bedenken Sie außerdem, dass viele der gängigen Cloud-Speicherdienste die gespeicherten Daten nicht verschlüsseln. Wenn Sie Ihre Daten trotzdem durch Verschlüsselung schützen möchten, müssen Sie selbst eine Verschlüsselungssoftware auf die Daten anwenden, und zwar, bevor Sie sie hochladen. Anschließend müssen Sie Ihren Kunden den Schlüssel mitteilen, damit sie die Dateien lesen können.

Prüfen Sie die Sicherheit Ihres Cloud-Providers

Sicherheit sollte einer der Hauptpunkte sein, die bei der Auswahl eines Cloud-Security-Anbieters zu berücksichtigen sind. Denn Ihre Cyber-Sicherheit liegt nicht mehr nur in Ihrer Verantwortung: Cloud-Sicherheitsunternehmen müssen für eine geschützte Cloud-Umgebung sorgen und ihren Beitrag zur Sicherheit Ihrer Daten leisten.

Leider werden Ihnen die Cloud-Unternehmen nicht die Baupläne für ihre Netzwerksicherheit geben. Dies wäre gleichbedeutend damit, dass Ihnen eine Bank Einzelheiten über ihren Tresorraum mit den Kombinationsnummern zum Tresor übermittelt.

Wenn Sie jedoch die richtigen Antworten auf einige grundlegende Fragen erhalten, können Sie besser darauf vertrauen, dass Ihre Cloud-Assets sicher sind. Darüber hinaus werden Sie besser wissen, ob Ihr Provider offensichtliche Sicherheitsrisiken der Cloud angemessen berücksichtigt hat. Wir empfehlen, Ihrem Cloud-Provider einige der folgenden Fragen zu stellen:

  • Sicherheitsaudits: „Führen Sie regelmäßig externe Audits Ihrer Sicherheit durch?“
  • Datensegmentierung: „Werden die Kundendaten logisch segmentiert und voneinander isoliert?“
  • Encryption: „Sind unsere Daten verschlüsselt? Welche Teile davon sind verschlüsselt?“
  • Aufbewahrung von Kundendaten: „Welche Richtlinien zur Aufbewahrung von Kundendaten werden befolgt?“
  • Aufbewahrung von Benutzerdaten: „Werden meine Daten ordnungsgemäß gelöscht, wenn ich Ihren Cloud-Service verlasse?“
  • Zugriffsverwaltung: „Wie werden Zugriffsrechte kontrolliert?“

Sie sollten sich auch vergewissern, dass Sie die Servicebedingungen (AGB) Ihres Anbieters gelesen haben. Das Lesen der AGB ist wichtig, um zu verstehen, ob Sie genau das erhalten, was Sie wollen und brauchen.

Vergewissern Sie sich, dass Sie auch alle bei Ihrem Anbieter genutzten Dienste kennen. Wenn Sie Ihre Dateien in Dropbox speichern oder in iCloud sichern (der Speicher-Cloud von Apple), kann es durchaus sein, dass sie sich tatsächlich auf Servern von Amazon befinden. Dann sollten Sie sich nicht nur über die Sicherheitsvorkehrungen des Dienstes informieren, den Sie unmittelbar nutzen, sondern auch über die Vorkehrungen in AWS.

Hybride Cloud-Sicherheitslösungen

Hybride Cloud-Sicherheitsdienste können eine sehr kluge Wahl für Kunden in KMU- und Großunternehmensbereichen sein. Sie eignen sich am besten für KMU- und Großunternehmensanwendungen, da sie im Allgemeinen für den persönlichen Gebrauch zu komplex sind. Aber es sind gerade diese Organisationen, die die Mischung aus Größe und Zugänglichkeit der Cloud mit der Kontrolle bestimmter Daten vor Ort nutzen könnten.

Hier sind einige Sicherheitsvorteile von hybriden Cloud-Sicherheitssystemen:

Die Segmentierung von Diensten kann einer Organisation helfen, zu kontrollieren, wie auf ihre Daten zugegriffen wird und wie diese gespeichert werden. Wenn Sie beispielsweise sensiblere Daten vor Ort ablegen, während andere Daten, Anwendungen und Prozesse in die Cloud ausgelagert werden, können Sie Ihre Sicherheit entsprechend schichten. Darüber hinaus kann die Trennung von Daten die Fähigkeit Ihres Unternehmens verbessern, die gesetzlichen Datenvorschriften einzuhalten.

Redundanz kann auch über hybride Cloud-Umgebungen erreicht werden. Durch die Nutzung des täglichen Betriebs von Public-Cloud-Servern und die Sicherung von Systemen auf lokalen Datenservern können Unternehmen ihren Betrieb aufrechterhalten, falls ein Rechenzentrum vom Netz genommen oder mit Ransomware infiziert wird.

KMU-Cloud-Sicherheitslösungen

Unternehmen können sich eine private Cloud einrichten – die Internetvariante eines eigenen Bürogebäudes oder Firmengeländes. Als Privatanwender oder kleines Unternehmen hingegen sind Sie auf öffentliche Cloud-Dienste angewiesen. Das ist vergleichbar mit einem Bürogebäude oder einer Wohnung, die Sie mit Hunderten anderen Personen gemeinsam nutzen. Gerade hier ist Sicherheit also von höchster Bedeutung.

Bei Anwendungen für kleine bis mittlere Unternehmen werden Sie feststellen, dass die Sicherheit in der Cloud weitgehend von den öffentlichen Anbietern abhängt, die Sie verwenden.

Es gibt jedoch Maßnahmen, die Sie ergreifen können, um sich selbst zu schützen:

  • Segmentierung von Daten mehrerer Benutzer: Unternehmen müssen sicher sein, dass andere Kunden ihrer Cloud-Anbieter nicht auf ihre Daten zugreifen können. Ob auf segmentierten Servern untergebracht oder sorgfältig verschlüsselt, stellen Sie sicher, dass Segmentierungsmaßnahmen vorhanden sind.
  • Zugangskontrollen für Benutzer: Die Kontrolle von Berechtigungen kann bedeuten, den Benutzerzugriff auf eine unbequeme Ebene zu beschneiden. Es kann jedoch viel sicherer sein, restriktiv vorzugehen und rückwärts zu arbeiten, um ein Gleichgewicht zu finden, als lockere Berechtigungen in Ihr Netzwerk eindringen zu lassen.
  • Einhaltung der gesetzlichen Daten: Die Konformität Ihrer Daten mit internationalen Vorschriften wie der DSGVO ist entscheidend, um hohe Geldstrafen und Rufschädigung zu vermeiden. Stellen Sie sicher, dass Maßnahmen wie Datenmaskierung und Klassifizierung sensibler Daten in Ihrer Organisation Priorität haben.
  • Sorgfältige Skalierung von Cloud-Systemen: Bei der schnellen Implementierung von Cloud-Systemen sollten Sie sich die Zeit nehmen, die Systeme Ihres Unternehmens auf Sicherheit und Komfort zu überprüfen. Cloud-Dienste können sich schnell so weit ausbreiten, dass es an Regulierung mangelt.

Sicherheitslösungen für die Cloud im Großunternehmen

Da aktuell bereits mehr als 90% aller größeren Unternehmen Cloud-Computing nutzen, ist sie eine essenzielle Komponente jeder Cybersicherheitsstrategie. Private Cloud-Dienste und andere kostspieligere Infrastrukturen können für Großunternehmen rentabel sein. Sie müssen jedoch nach wie vor sicherstellen, dass Ihre interne IT die gesamte Oberfläche Ihrer Netzwerke aufrechterhalten kann.

Für den Einsatz in Großunternehmen kann Cloud-Sicherheit wesentlich flexibler sein, wenn Sie einige Investitionen in Ihre Infrastruktur tätigen.

Es gibt ein paar wichtige Aspekte, die man im Auge behalten sollte:

  • Verwalten Sie Ihre Konten und Dienstleistungen aktiv: Wenn Sie einen Dienst oder eine Software nicht mehr verwenden, schließen Sie sie ordnungsgemäß. Hacker können durch ungepatchte Schwachstellen über alte, ruhende Konten einfachen Zugang zu einem ganzen Cloud-Netzwerk erhalten.
  • Mehrfaktorauthentifizierung (MFA): Als zweiter Faktor können biometrische Daten wie Fingerabdrücke dienen oder ein separat an Ihr Mobilgerät gesendeter Code, der zusätzlich zum Passwort eingegeben werden muss. Diese Authentifizierungsmethode ist zeitaufwendig, aber empfehlenswert für Ihre sensibelsten Daten.
  • Bewerten Sie die Kosten-Nutzen-Effekte einer Hybrid-Cloud: Die Segmentierung Ihrer Daten ist im Unternehmenseinsatz weitaus wichtiger, da Sie viel größere Datenmengen verarbeiten. Es muss gewährleistet werden, dass Ihre Daten von den Daten anderer Kunden isoliert sind – ob durch separate Verschlüsselung oder logische Segmentierung auf separatem Speicher. Hybride Cloud-Dienste können dabei helfen.
  • Seien Sie vorsichtig in Bezug auf Schatten-IT: Es ist wichtig, Ihre Mitarbeiter so zu schulen, dass sie keine unautorisierten Cloud-Dienste in Ihren Netzwerken oder für die Arbeit in Ihrem Unternehmen nutzen. Wenn sensible Daten über ungesicherte Kanäle übermittelt werden, kann Ihre Organisation Angreifern oder rechtlichen Problemen ausgesetzt sein.

Unabhängig davon, ob Sie ein Einzelbenutzer, ein KMU-Benutzer oder sogar ein Cloud-Benutzer auf Großunternehmensebene sind - es ist wichtig, sicherzustellen, dass Ihr Netzwerk und Ihre Geräte so sicher wie möglich sind. Dies beginnt mit einem guten Verständnis der grundlegenden Cybersicherheit auf der Ebene des Einzelbenutzers sowie mit der Gewährleistung, dass Ihr Netzwerk und alle Geräte durch eine robuste Sicherheitslösung geschützt sind, die für die Cloud entwickelt wurde.

Weitere Produkte:

Verwandte artikel:

Was ist Cloud Security?

Was ist Cloud Security? Informieren Sie sich über Sicherheitsrisiken bei der Cloud-Nutzung und wie Sie sich vor Cloud-Bedrohungen schützen können, unabhängig davon, ob Sie als Einzelperson oder für eine Organisation agieren.
Kaspersky Logo