Ende 2022 prognostizierte Gartner einen 20-prozentigen Anstieg der Public-Cloud-Investitionen auf globaler Ebene bis Ende 2023. Das prognostizierte Wachstum warf allerdings Fragen auf, auch anhand der Tatsache, dass die Philosophie „alles in die Cloud“ zunehmend angezweifelt wird. Warum? Weil, angesichts wachsender Cyberrisiken Aspekte wie die Verwaltung der Daten, die Einhaltung von Vorschriften und die Datensicherheit allgemein genauso viele Fragen aufwerfen. Sind diese Risiken nun imaginär oder real?
Die Infragestellung der Cloud im Unternehmen
Jede Diskussion über die Cloud muss öffentliche und private Clouds sowie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) miteinbeziehen. Und jeder dieser Cloud-Typen bringt seine eigenen Wirtschaftlichkeitsfaktoren und Risiken mit sich.
Trotz der Allgegenwärtigkeit solcher Dienste werden Bedenken hinsichtlich der Datensicherheit in der Cloud zunehmend laut. Ein gewisses Gefühl des Kontrollverlusts führte zur Wahrnehmung einer Verbindung zwischen der Cloud und der Anfälligkeit von Daten. Einerseits hegt man Bedenken mit Blick auf die Vertraulichkeit von Daten, die auf US-Plattformen archiviert sind, nachdem die USA im Jahr 2018 den Cloud Act verabschiedet haben. Andererseits besteht die Sorge vor menschlichem Versagen, da falsch konfigurierte Sicherheitsparameter zu massiven Datenlecks führen können.
Eine weitere sehr verbreitete Befürchtung gilt den versteckten Kosten der Cloud. Diese wird oft als kostengünstigere Lösung im Vergleich zu „On-Premise“-IT-Infrastrukturen angeboten. Tatsächlich gibt es mehrere Gründe für die Überschreitung des zugewiesenen Budgets: gestiegene Kosten für die Datenarchivierung, den Betrieb und die Datenlöschung oder unvorhergesehene Ausstiegskosten etc. Inzwischen hat auch die Energiekrise die Menschen für den Energieverbrauch in Rechenzentren (erneut) sensibilisiert.
Die letzte mit der Nutzung der Cloud verbundene Angst ist die Verwundbarkeit der dort gespeicherten Daten, die ein bevorzugtes Ziel für Cyberkriminelle darstellen. Um auf diese Daten zuzugreifen, können Cyberkriminelle verschiedene Elemente der Cloud angreifen, einschließlich IT- und Archivierungsdiensten sowie Anwendungen. Im Jahr 2021 wurden Cognite, Facebook und Kaseya Opfer von Cyberangriffen auf Cloud-Datenbanken. Diese wenigen Beispiele (unter vielen anderen Vorfällen) tragen zu dem Gefühl der Unsicherheit bei, das Unternehmen in Bezug auf die Cloud haben. Schließlich werden selbst Cybersicherheitslösungen in der Cloud angegriffen – im Web sind zum Beispiel zahlreiche Artikel über die von LastPass und dessen sicheren Passwortspeicherdienst erlittenen Angriffe vorzufinden.
Die Cloud wird seit mehreren Jahren infrage gestellt. Anlässlich einer Studie von 451 Research, die Ende 2022 veröffentlicht wurde, bestätigten sogar 54 % der Befragten, ihre Daten im Laufe des letzten Jahres aus der öffentlichen Cloud abgezogen zu haben. Sich von der Cloud zu lösen, ist allerdings keine leichtfertige Entscheidung und erfordert eine vorherige Abschätzung der Auswirkungen (Migration der Infrastruktur, Migration von Daten und Benutzern, Anpassung von Sicherheitsregeln, Change-Management …).
Mögliche Ansätze für die Sicherheit der Cloud
Es gibt aber auch einen anderen Ansatz: die Kombination von Cloud und Cybersicherheit. Dieser Ansatz ist umso wichtiger, da „Cloud-Sicherheit“ oft tatsächlich „Sicherheit von Clouds“ bedeutet. Die verschiedenen Schutzinstrumente, die von den einzelnen Marktteilnehmern angeboten werden, müssen verstärkt oder durch Lösungen von spezialisierten Cybersicherheitsanbietern ersetzt werden. Zu den Lösungen zählen etwa interne Segmentierungsfunktionen, die Filterung zwischen verschiedenen Ressourcen, Systeme zur Erkennung von Eindringungsversuchen, Identitäts- und Zugangsmanagement-Tools oder zuverlässige VPN-Verbindungen. Aus der Multi-Cloud-Perspektive bietet die Wahl von Lösungen eines einzigen, auf Firewalling spezialisierten Anbieters und deren Einsatz in jeder genutzten Cloud-Plattform Vorteile in Bezug auf Fachwissen, Sichtbarkeit und Risiko-Management verglichen mit der Administration unterschiedlicher in der jeweils genutzten Cloud vorkommender Firewalls.
Und wie wählt man zwischen den verschiedenen Cloud-Plattformen? Mit anderen Worten: Wie wählt man eine sichere Cloud aus? Die französische Regierung versucht diese Frage mit dem SecNumCloud-Standard zu beantworten, der eine Qualifikation für Cloud-Dienstleister gewährt. Dieses Label weist das Vertrauen der französischen Regierung nach, indem es die strengen Cyber-Anforderungen erfüllt, die von der ANSSI festgelegt wurden. Die Einhaltung des höchsten Sicherheits- und Datenschutzniveaus, eine präzise Service-Level-Vereinbarung und garantierte Datenlokalisierung: Qualifizierte Clouds bieten einen besseren Schutz gegenüber nicht europäischen Gesetzen.
Aber all das sollte nicht von der Bedeutung der Gewährleistung eines sicheren Daten-Austauschs in der Cloud ablenken. Mit der zunehmenden Verbreitung von Cloud-basierten Tools für die Zusammenarbeit in Unternehmen sind Informationen und Daten dem Risiko des Abfangens, des Verlusts und des Diebstahls ausgesetzt. Die Dateiverschlüsselung ermöglicht einen sicheren Austausch sensibler Daten: Diese werden automatisch verschlüsselt und nur für befugte Personen entschlüsselt. Um wirksam zu sein, müssen die Maßnahmen zum Schutz sensibler Daten jedoch genauso intuitiv sein, wie es die Cloud-Plattformen sind. Das ist aber ein Thema für sich.
Die Besorgnis über die Anfälligkeit der Daten in der Cloud verlangt, dass man sich die richtigen Fragen zu dieser besonderen Umgebung stellt. Sie verdeutlicht nämlich die Schwachstellen der Cloud und den daraus resultierenden Sicherheitsbedarf. Die Sicherheit in der Cloud darf nicht als Einzelaspekt betrachtet werden: Die Unternehmen müssen ihre Mitarbeiter ebenfalls für das breitere Spektrum der Cyberbedrohungen sensibilisieren. Nur so lässt sich das Sicherheitsniveau nicht nur für die Cloud-Ressourcen, sondern auch für den gesamten Perimeter erhöhen. Schließlich ist die Sicherheit in der Cloud ein Thema, das alle betrifft.
Die Infragestellung der Cloud im Unternehmen
Jede Diskussion über die Cloud muss öffentliche und private Clouds sowie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) miteinbeziehen. Und jeder dieser Cloud-Typen bringt seine eigenen Wirtschaftlichkeitsfaktoren und Risiken mit sich.
Trotz der Allgegenwärtigkeit solcher Dienste werden Bedenken hinsichtlich der Datensicherheit in der Cloud zunehmend laut. Ein gewisses Gefühl des Kontrollverlusts führte zur Wahrnehmung einer Verbindung zwischen der Cloud und der Anfälligkeit von Daten. Einerseits hegt man Bedenken mit Blick auf die Vertraulichkeit von Daten, die auf US-Plattformen archiviert sind, nachdem die USA im Jahr 2018 den Cloud Act verabschiedet haben. Andererseits besteht die Sorge vor menschlichem Versagen, da falsch konfigurierte Sicherheitsparameter zu massiven Datenlecks führen können.
Eine weitere sehr verbreitete Befürchtung gilt den versteckten Kosten der Cloud. Diese wird oft als kostengünstigere Lösung im Vergleich zu „On-Premise“-IT-Infrastrukturen angeboten. Tatsächlich gibt es mehrere Gründe für die Überschreitung des zugewiesenen Budgets: gestiegene Kosten für die Datenarchivierung, den Betrieb und die Datenlöschung oder unvorhergesehene Ausstiegskosten etc. Inzwischen hat auch die Energiekrise die Menschen für den Energieverbrauch in Rechenzentren (erneut) sensibilisiert.
Die letzte mit der Nutzung der Cloud verbundene Angst ist die Verwundbarkeit der dort gespeicherten Daten, die ein bevorzugtes Ziel für Cyberkriminelle darstellen. Um auf diese Daten zuzugreifen, können Cyberkriminelle verschiedene Elemente der Cloud angreifen, einschließlich IT- und Archivierungsdiensten sowie Anwendungen. Im Jahr 2021 wurden Cognite, Facebook und Kaseya Opfer von Cyberangriffen auf Cloud-Datenbanken. Diese wenigen Beispiele (unter vielen anderen Vorfällen) tragen zu dem Gefühl der Unsicherheit bei, das Unternehmen in Bezug auf die Cloud haben. Schließlich werden selbst Cybersicherheitslösungen in der Cloud angegriffen – im Web sind zum Beispiel zahlreiche Artikel über die von LastPass und dessen sicheren Passwortspeicherdienst erlittenen Angriffe vorzufinden.
Die Cloud wird seit mehreren Jahren infrage gestellt. Anlässlich einer Studie von 451 Research, die Ende 2022 veröffentlicht wurde, bestätigten sogar 54 % der Befragten, ihre Daten im Laufe des letzten Jahres aus der öffentlichen Cloud abgezogen zu haben. Sich von der Cloud zu lösen, ist allerdings keine leichtfertige Entscheidung und erfordert eine vorherige Abschätzung der Auswirkungen (Migration der Infrastruktur, Migration von Daten und Benutzern, Anpassung von Sicherheitsregeln, Change-Management …).
Mögliche Ansätze für die Sicherheit der Cloud
Es gibt aber auch einen anderen Ansatz: die Kombination von Cloud und Cybersicherheit. Dieser Ansatz ist umso wichtiger, da „Cloud-Sicherheit“ oft tatsächlich „Sicherheit von Clouds“ bedeutet. Die verschiedenen Schutzinstrumente, die von den einzelnen Marktteilnehmern angeboten werden, müssen verstärkt oder durch Lösungen von spezialisierten Cybersicherheitsanbietern ersetzt werden. Zu den Lösungen zählen etwa interne Segmentierungsfunktionen, die Filterung zwischen verschiedenen Ressourcen, Systeme zur Erkennung von Eindringungsversuchen, Identitäts- und Zugangsmanagement-Tools oder zuverlässige VPN-Verbindungen. Aus der Multi-Cloud-Perspektive bietet die Wahl von Lösungen eines einzigen, auf Firewalling spezialisierten Anbieters und deren Einsatz in jeder genutzten Cloud-Plattform Vorteile in Bezug auf Fachwissen, Sichtbarkeit und Risiko-Management verglichen mit der Administration unterschiedlicher in der jeweils genutzten Cloud vorkommender Firewalls.
Und wie wählt man zwischen den verschiedenen Cloud-Plattformen? Mit anderen Worten: Wie wählt man eine sichere Cloud aus? Die französische Regierung versucht diese Frage mit dem SecNumCloud-Standard zu beantworten, der eine Qualifikation für Cloud-Dienstleister gewährt. Dieses Label weist das Vertrauen der französischen Regierung nach, indem es die strengen Cyber-Anforderungen erfüllt, die von der ANSSI festgelegt wurden. Die Einhaltung des höchsten Sicherheits- und Datenschutzniveaus, eine präzise Service-Level-Vereinbarung und garantierte Datenlokalisierung: Qualifizierte Clouds bieten einen besseren Schutz gegenüber nicht europäischen Gesetzen.
Aber all das sollte nicht von der Bedeutung der Gewährleistung eines sicheren Daten-Austauschs in der Cloud ablenken. Mit der zunehmenden Verbreitung von Cloud-basierten Tools für die Zusammenarbeit in Unternehmen sind Informationen und Daten dem Risiko des Abfangens, des Verlusts und des Diebstahls ausgesetzt. Die Dateiverschlüsselung ermöglicht einen sicheren Austausch sensibler Daten: Diese werden automatisch verschlüsselt und nur für befugte Personen entschlüsselt. Um wirksam zu sein, müssen die Maßnahmen zum Schutz sensibler Daten jedoch genauso intuitiv sein, wie es die Cloud-Plattformen sind. Das ist aber ein Thema für sich.
Die Besorgnis über die Anfälligkeit der Daten in der Cloud verlangt, dass man sich die richtigen Fragen zu dieser besonderen Umgebung stellt. Sie verdeutlicht nämlich die Schwachstellen der Cloud und den daraus resultierenden Sicherheitsbedarf. Die Sicherheit in der Cloud darf nicht als Einzelaspekt betrachtet werden: Die Unternehmen müssen ihre Mitarbeiter ebenfalls für das breitere Spektrum der Cyberbedrohungen sensibilisieren. Nur so lässt sich das Sicherheitsniveau nicht nur für die Cloud-Ressourcen, sondern auch für den gesamten Perimeter erhöhen. Schließlich ist die Sicherheit in der Cloud ein Thema, das alle betrifft.
