Cloud-Security im Wandel
17.08.2018, 10:34 Uhr
Die Cloud-Sicherheit erfindet sich neu
Datenschutz, KI und IoT verändern die Cloud – und die Cyberabwehr muss Schritt halten. Besonders schwierig wird dies im Hinblick auf Schatten-IT und mangelnde Datenübersicht.
Die Sicherheitsbedenken von Cloud-Nutzern sind bekannt und sie bestehen seit Jahren: Datenverlust durch Hacker gehört zu den grössten Sorgen in Unternehmen auf der ganzen Welt. Probleme bereiten auch die Schatten-IT durch ungenehmigte Cloud-Dienste und die mangelnde Übersicht darüber, welche Daten eines Unternehmens in Cloud-Anwendungen übertragen werden.
Nichtsdestoweniger berichtet die McAfee-Studie «Navigating a Cloudy Sky» von einem wachsenden Vertrauen in Cloud-Computing. «Obwohl die Zahl an Sicherheitsvorfällen in der Cloud immer weiter steigt, greifen Unternehmen vermehrt auf ‹As a Service›-Angebote zurück», fasst Rajiv Gupta, Senior Vice President der Cloud-Security-Business-Unit von McAfee, den aktuellen Stand zusammen.
Die Basis für mehr Vertrauen in die Cloud bilden diverse IT-Sicherheitslösungen. «Durch die Implementierung von Sicherheitsmassnahmen, die es ermöglichen, wieder Transparenz und Kontrolle über die Daten zu erlangen, können Unternehmen innovative Services nutzen und ihr Geschäft in der Cloud beschleunigen», so McAfee-VP Gupta.
“Obwohl die Zahl an Sicherheitsvorfällen in der Cloud immer weiter steigt, greifen Unternehmen vermehrt auf ‚As a Service‘-Angebote zurück„
Rajiv Gupta, Senior Vice President der Cloud-Security-Business- Unit von McAfee
Für Cloud-Sicherheit geben Unternehmen laut McAfee bereits heute rund 27 Prozent ihres IT-Budgets aus und sie planen, diesen Anteil in Zukunft auf 36 Prozent zu erhöhen. Dabei geht es allerdings nicht einfach um mehr Cloud-Sicherheit, sondern es geht um eine neue Strategie und um neue Lösungen für die Absicherung der Cloud. Gründe, warum sich die Cloud-Sicherheit verändern muss, gibt es genügend.
Die DSGVO
Ein Grund für die notwendige Erneuerung der Cloud-Sicherheit liegt in der Datenschutz-Grundverordnung (DSGVO), die seit Mai dieses Jahres neues und unmittelbar anzuwendendes Recht ist.
«Ein Paradigmenwechsel im Datenschutzrecht besteht darin, dass die Datenschutz-Grundverordnung umfassende Dokumentations-, Organisations- und Transparenzpflichten vorsieht», betont Jens Eckhardt, Vorstand Recht & Compliance beim Verband EuroCloud Deutschland_eco e. V.
Aus der Datenschutz-Grundverordnung resultieren neue Pflichten für Cloud-Nutzer und Cloud-Anbieter. «Zwar sieht die DSGVO eine geteilte Verantwortung zwischen Cloud-Nutzern und Cloud-Providern vor, doch zur Verantwortung gezogen werden schlussendlich die Unternehmen, die die Cloud nutzen», bringt Chris Hill die Situation auf dem Punkt. Hill ist Regional Vice President Public Cloud EMEA beim Netzwerksicherheits-Spezialisten Barracuda Networks.
Aus der Datenschutz-Grundverordnung lässt sich ein recht konkreter Fragenkatalog ableiten, den Unternehmen bei Nutzung der Cloud im Auge behalten sollten:
- Gibt es eine Rechtsgrundlage für die Übermittlung der Daten zum Cloud-Provider?
- Sind alle Cloud-Dienste dokumentiert und in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen?
- Sind die Standorte bekannt, an denen die Cloud-Dienste betrieben werden?
- Setzen die Cloud-Provider Massnahmen um, die für eine angemessene Datensicherheit sorgen?
- Können zum Beispiel geeignete Zertifizierungen durch den Cloud-Provider vorgelegt werden?
- Gibt es Vereinbarungen mit dem Cloud-Provider, die die Vorgaben an eine Auftragsverarbeitung nach Artikel 28 DSGVO erfüllen?
- Werden die Daten zuverlässig gelöscht, wenn die Nutzung der Cloud beendet wird oder wenn eine Löschverpflichtung eintritt?
- Können die Daten sicher von einem Cloud-Provider zu einem anderen übertragen werden?
- Sind die Cloud-Dienste belastbar genug?
- Können Manipulationen an Cloud-Daten verhindert werden?
- Gibt es ein Verfahren zur Meldung von Datenschutzverletzungen durch den Cloud-Provider an das Unternehmen und durch das Unternehmen an die Aufsichtsbehörde sowie gegebenenfalls an die Betroffenen?
- Haben die Cloud-Nutzer die Kontrolle über ihre Daten? Gibt es eine zuverlässige Sicht auf den IT-Sicherheitsstatus?
- Sind Sicherheitsmassnahmen für die Identitätskontrolle, das Schwachstellen-Management, die Verschlüsselung und für eine sichere Datenübertragung vorhanden?
«Viele IT-Einkäufer gehen davon aus, dass sie den Betrieb ihrer Infrastruktur effektiv an einen vertrauenswürdigen Dritten auslagern und der Provider sich um alles kümmert. Das ist einfach nicht der Fall», stellt Chris Hill klar. Die Amazon Web Services seien hier zum Beispiel sehr deutlich. Sie erklärten, dass sie sich beim Thema Cloud-Sicherheit lediglich um die Bereiche Berechnung, Speicherung, Datenbank, Netzwerk und globale Infrastruktur einschliesslich Randlage und Verfügbarkeitszonen kümmerten. Für die Sicherheit in der Cloud sei zu 100 Prozent der Kunde verantwortlich – das betreffe «Daten, Anwendungen, Identitätsmanagement, Betriebssystem, Netzwerk- und Firewall-Konfiguration, Netzwerkverkehr, serverseitige Verschlüsselung und clientseitige Daten», so Hill weiter.
«Wir stellen fest, dass gerade grössere Unternehmen Bedenken und entsprechend Fragen haben, wenn es um die Sicherheit in der Cloud geht», berichtet Klaus Gheri, Vice President & General Manager Network Security bei Barracuda. «Unternehmen, die den Umgang mit traditioneller Rechenzentrumsarchitektur gewöhnt sind, müssen bei einem Wechsel in die Cloud, was die Sicherheit betrifft, umdenken», ergänzt er.
Cloud-Nutzer benötigen zusätzliche Lösungen, um die notwendige Transparenz in die Sicherheitsmassnahmen für die Cloud zu bringen, zum einen in die Cloud-Security des Providers, zum anderen in die eigenen Security-Massnahmen im Unternehmen. Ohne ausreichende Transparenz in der Cloud-Sicherheit können Unternehmen den geforderten Datenschutzpflichten nicht nachkommen.