Mehr Flexibilität, Effizienz und Skalierbarkeit: Die Cloud gilt als Schlüsseltechnologie, an der zukunftsorientierte Unternehmen kaum vorbeikommen. Dennoch stehen nicht wenige Entscheider der Datenhaltung im Internet noch zögerlich gegenüber – meist aus Sicherheitsbedenken. Wie sicher oder unsicher Daten in der Cloud sind, woran genau das liegt und wie Entscheider diesen Risiken begegnen sollten, erklärt Janek Maiwald, Chief Technology Officer (CTO) der DGC, im Interview über Cloud Security:
Cloud Security ist für Unternehmen eines der Top-Themen, wenn sie den Einsatz cloudbasierter Lösungen erwägen. Sind diese Sorgen berechtigt? Wie sicher oder unsicher sind Daten und Firmengeheimnisse in der Cloud?
Generell lässt sich festhalten, dass Angebote etablierter Cloud-Dienstleister sicherer sind als jedes System, das On-Premise im eigenen lokalen Rechenzentrum betrieben wird. Das Sicherheitsrisiko entsteht also erst auf Seiten der Cloud-Administratoren im eigenen Unternehmen. Genauer gesagt im Zuge einer nicht-fachgerechten Cloud-Konfiguration: In der Praxis kommt es immer wieder vor, dass Projektverantwortliche – meist aus Unwissenheit – die vorgesehenen Security-Maßnahmen der Cloud umgehen. Verständlicherweise wollen sie den Anforderungen der Geschäftsseite nach mehr Performance oder Speicherplatz – etwa zu Spitzenzeiten wie der Vorweihnachtszeit im E-Commerce oder bei verstärktem Remote-Zugriff aus dem Home-Office – zügig nachkommen.
Bei einer unvollständigen Umsetzung entstehen jedoch Sicherheitslücken, die Zugänge, Daten und Ressourcen in der Cloud gefährden. Dabei lässt sich die Cloud auch unter den notwendigen Sicherheitsaspekten schnell und effizient in Betrieb nehmen. Man muss nur wissen, wie – und bezieht idealerweise Security Best Practices für das jeweilige Cloud-Modell ein.
Wie können Unternehmen Sicherheitsrisiken, die von einer fehlerhaften Cloud-Konfiguration ausgehen, von vornherein minimieren?
Die Cloud-Konfiguration ist selbst für gestandene IT-Experten eine komplexe Aufgabe. Die meisten Techniker verfügen zwar über tiefgreifendes Wissen, was lokal betriebene Rechenzentren und Systeme angeht, aber erst über ein überschaubares Cloud-Knowhow. Daher sollten Anwenderunternehmen bereits in einem frühen Stadium ihrer Cloud Transition Trainingsmaßnahmen für den internen Wissensaufbau vorsehen. Bestenfalls geschieht das gleich nach der Auswahl des geeigneten Cloud-Modells. Die großen Cloud-Anbieter Microsoft, Amazon oder Google bieten vielfältige Schulungen zur fachgerechten Umsetzung und Nutzung ihrer Produkte an.
Sind sie entsprechend geschult, sollten sich die Verantwortlichen eines Unternehmens frühzeitig ein Szenario zurechtlegen, wie die Systeme in der Cloud genutzt werden sollen. Das gewählte Cloud-Design gilt es mit dem Cloud-Anbieter zu validieren. Im Anschluss empfiehlt es sich, einen Pentest mit einem spezialisierten IT-Sicherheitsdienstleister wie der DGC durchzuführen. Hierbei stellen unsere IT-Sicherheitsexperten das neue Cloud-System noch vor dem Go-Live auf den Prüfstand und ermitteln Schwachstellen, die von Cyberkriminellen ausgenutzt werden könnten. Nach entsprechender Optimierung kann der Cloud-Betrieb sicher aufgenommen werden.
Mit der Private, Public oder Hybrid Cloud können Unternehmen zwischen verschiedenen Cloud-Arten wählen. Gibt es hierbei Unterschiede hinsichtlich der Datensicherheit?
Aus der Perspektive der Datensicherheit ist die Private Cloud eine besonders sichere und einfach zu handelnde Option – gerade für Neukunden. Daten eines Unternehmens werden hier exklusiv verwaltet und sind per se isoliert. Auch lassen sich in der Private Cloud eher die Auswirkungen unzureichend geschulter Mitarbeitender abmildern. Aufgrund erhöhter Services des Anbieters ist die Nutzung einer Private Cloud meist aber auch kostenintensiver als andere Varianten.
Im Vergleich dazu sind Public-Cloud-Lösungen, die Ressourcen für eine Vielzahl von Nutzern bereitstellen und meist kostengünstiger sind, eher angreifbar. Beispielsweise können Anwenderunternehmen von Sprühattacken betroffen sein, mit denen kriminelle Hacker weitreichenden Schaden anrichten. Wer über entsprechendes Know-how verfügt und für eine strategische Absicherung sorgt, findet aber auch in der Public Cloud ein hohes Maß an Sicherheit.
Selbstredend sollte die Auswahl der Cloud-Art nicht nur im Hinblick auf die Datensicherheit getroffen werden. Unternehmen müssen sich strategisch damit auseinandersetzen, welche individuellen Anforderungen an das neue Cloud-System bestehen und welche Ziele mit dem Cloud-Einsatz verfolgt werden – und darauf basierend die für sie beste Lösung auswählen. Das kann beispielsweise eine Hybridlösung sein. Cloud Security sollte dabei von Anfang an mitgedacht und passgenaue Maßnahmen zur Risikominimierung ergriffen werden.
Wer ist letztlich für die Cloud Security verantwortlich: Der Cloud-Provider, das Anwenderunternehmen oder der beauftragte IT-Sicherheitsdienstleister?
Die Verantwortung für die Datensicherheit in der Cloud liegt bei dem Anwenderunternehmen selbst – genauer gesagt bei den eigenen Security-Verantwortlichen. Es muss also intern dafür Sorge getragen werden, dass das Basislevel bzw. die zur Verfügung gestellten Security Tools des Cloud-Providers optimal genutzt werden. Die Praxis zeigt jedoch, dass eine Vielzahl der Unternehmen mit der technischen Sicherheitsanalyse sämtlicher IT-Komponenten und Systeme überfordert sind und Dienstleister wie die DGC einschalten. Ein solches Outsourcen ist empfehlenswert, weil es dadurch zu einer klaren Aufgabenteilung kommt. Während das interne IT-Team den operativen Cloud-Betrieb verantwortet, sorgt ein qualifizierter Dienstleister für den Gegenpol der IT-Security, womit für ein Höchstmaß an Sicherheit gesorgt werden kann.
Insofern kann man von einem Zusammenspiel der Akteure Cloud-Provider, Anwenderunternehmen und IT-Security-Dienstleister sprechen. Die finale Verantwortung liegt aber klar bei dem Cloud-nutzenden Unternehmen, das die IT-Sicherheit von innen heraus initiieren und vorantreiben muss.
Wie können sich Unternehmen dem Thema Cloud Security strategisch nähern – und mit welchen konkreten Lösungen und Dienstleistungen unterstützt sie die DGC dabei?
Um den Cloud-Umzug sowie den laufenden Betrieb sicher und erfolgreich zu gestalten, sollten Unternehmen ein Cloud-Nutzungsmodell erarbeiten. Dafür sollten sie auf das Knowhow verschiedener Berater zurückgreifen. Gemeinsam mit erfahrenen Experten lassen sich etwa folgende strategische Fragen klären: Welche Cloud-Art bietet das größte Potenzial für das eigene Geschäftsmodell? Wie soll das Cloud-Setting aussehen und welche Daten sollen nach welchem Verfahren übertragen werden? Und nicht zuletzt: Welche Cloud Security-Lösungen müssen zum Einsatz kommen, um für maximale Datensicherheit zu sorgen? Eine Cloud Transition ist ein hochkomplexes Vorhaben und sollte daher nicht im Alleingang erfolgen.
Sie wollen mehr darüber erfahren, wie Daten und Systeme in der Cloud geschützt werden können? Vereinbaren Sie einen Gesprächstermin mit uns – wir beraten Sie gerne zum Thema Cloud Security.
Wir bei der DGC decken den Security-Part ab und unterstützen unsere Kunden bei der Erstellung und Implementierung von Cloud Security-Konzepten. Unsere Beratungsleistungen beinhalten neben dem Erarbeiten einer Netzwerk-Strategie die Einbindung von IT-Security Tools zur Erhöhung der Datensicherheit und münden in den erwähnten Pentests zur Überprüfung des neuen Cloud-Systems.
Bei der Absicherung des laufenden Betriebs werden Unternehmen von unserem IT-Sicherheitsteam im Cyber Defense Operation Center (CDOC) unterstützt. Zudem können sie zur kontinuierlichen Schwachstellenanalyse unser IT-Security Tool cyberscan.io® nutzen. Idealerweise werden die jeweils passenden Maßnahmen im Rahmen von Cyber Security Partnerschaften mit der DGC gebündelt – damit sorgen Unternehmen für maximale Sicherheit in der Cloud.
Warum gehört Cloud Computing die Zukunft? Weshalb zahlt es sich für Unternehmen aus, in die Cloud-Sicherheit zu investieren?
Agile und flexible IT-Infrastrukturen sind für moderne Unternehmen erfolgskritisch – nur so sind sie imstande, sich zukunfts- und wettbewerbsfähig auf den Weltmärkten aufzustellen. Cloud Computing bildet eine wichtige Grundlage dafür und bietet verschiedene Vorteile. Neben der erwähnten flexiblen Skalierbarkeit sorgt sie beispielsweise für effiziente Workflows und Prozesse mit Partnerunternehmen, Kunden und Dienstleistern, weil alle Akteure einer Wertschöpfungskette in eine Cloud-Architektur eingebunden werden können. Die Cloud bringt Unternehmen auch im Bereich Data Analytics voran: Aufgrund ihrer Leistungsfähigkeit kann das Potenzial von Künstlicher Intelligenz und Machine Learning optimal genutzt werden. Zudem bietet die Cloud geografische Vorteile. Bei globalen Anbietern können sich Unternehmen entscheiden, ob die eigene Applikation oder Infrastruktur etwa in Asien oder in einem speziellen Land gehostet werden soll, um „nah“ am Endnutzer zu sein und eine durchgehend hohe Leistungsfähigkeit zu gewährleisten.
Eine erfolgreiche Cloud-Nutzung setzt jedoch entsprechende Sicherheitsstandards voraus. Sicherheit sollte daher Teil einer jeden Cloud-Strategie sein und notwendige Maßnahmen kontinuierlich verfolgt werden. Wer das verinnerlicht, kann die digitale Unternehmenstransformation gezielt und risikominimiert vorantreiben.
Vielen Dank für das Interview!
