4 Oktober 2023

Sicherheitserkennung und Auswahl des Cloud-Anbieters. Gastbeitrag von Daniel Schweikle, NetPlans.

Große Konzerne und mittelständische Unternehmen sind mit ihrer IT in den vergangenen Jahren zunehmend in die Cloud gezogen. Doch so praktisch die Datenwolken auch sein mögen, so sehr mehren sich die Zweifel an deren Sicherheit. Worauf es bei externen Cloud-Diensten aus Unternehmenssicht ankommt, beschreibt Gastautor Daniel Schweikle, Abteilungsleiter Business Cloud Solutions bei NetPlans mit Hauptsitz in Ettlingen.

2021 beliefen sich die weltweiten Umsätze mit Cloud Computing laut Statista Research auf rund 413 Milliarden US-Dollar. Auch in Deutschland ist Cloud Computing in den vergangenen Jahren immer wichtiger geworden. Nach Schätzungen von Statista Research ist davon auszugehen, dass sich der Umsatz der Konzerne und mittelständischen Unternehmen hierzulande allein zwischen den Jahren 2016 und 2021 verdreifach hat. Angesichts des anhaltend enormen Tempos der Digitalisierung dürfte sich dieser Wert inzwischen noch einmal deutlich erhöht haben.

Das Arbeiten in und mit der Cloud ist in den vergangenen Jahren beim Großteil der Unternehmen zum Standard avanciert. Doch so bequem die Nutzung von Software, Diensten und Services aus der „Wolke“ auch ist, so sehr stellt sich zugleich die drängende Frage nach der Datensicherheit. Mit der Verschiebung der IT in die Cloud, geben gerade mittelständische Unternehmen eine Menge Verantwortung an die Anbieter der Datendienste ab.

Angriffe auf IT-Systeme sind Alltag geworden

Mit der zunehmenden Vernetzung verschiedener Cloud-Dienste steigt die Komplexität – und somit auch die Notwendigkeit, diese immer komplexeren Systeme abzusichern. Die potenzielle Angriffsfläche wird damit immer größer. Zugleich werden die Angriffstaktiken immer professioneller und granularer. Vorbei die Zeiten, als Unternehmen mit Massenmails oder Viren attackiert wurden. Durch Social Engineering sind heute ganz gezielte Angriffe auf einzelne Mitarbeitende in sensiblen Arbeitsbereichen an der Tagesordnung.  Und die Qualität der Phishing Mails steigt von Tag und Tag – oft sind diese von Laien auf die Schnelle nicht mehr von echten Mails zu unterscheiden

Wie also lässt sich Sicherheit bei Cloud- Diensten umsetzen? Und worauf sollten Unternehmen achten, die die Chancen der Cloud nutzen, die Risiken daraus aber beherrschbar klein halten möchten?

Cloud-Anbieter unterscheiden sich hinsichtlich der Transparenz…

Das Risiko und risikominimierende Schritte hängen stark vom gebuchten Service sowie vom Cloud-Provider ab. Einige Provider halten sich über ihre Schutzwälle eher unkonkret, andere gehen sehr offen damit um und erkennen, dass Transparenz in dieser Frage ein echter USP sein kann. Zertifizierungen wie ISO/IEC 27001 / 27017 / 27018 gewährleisten in der Regel eine Grundsicherheit.

Außerdem sollten Unternehmen vorab wissen, was überhaupt zum Betrieb der Cloud dazugehört und damit abgesichert sein muss. Beim IaaS ist beispielsweise nur die Infrastruktur in den Schutz inkludiert und die Virtualisierung liegt in der Verantwortung des Cloud-Providers. Angriffe von außen, offene Ports, die Fehlkonfiguration von gut gemeinten Firewalls oder Sicherheitsmaßnahmen oberhalb der Virtualisierung liegen hingegen bei diesem Service-Modell in der Verantwortung der Endkundinnen und Endkunden selbst oder es bedarf zusätzlicher Security-Leistungen, die je nach Anbieter aufgebucht oder auch separat gebucht werden können.

… und im Umgang mit dem Thema Datensicherheit und Datenschutz

Zu unterscheiden ist der Schutz gegen Schadsoftware oder Hacker-Angriffe von der Datensicherheit und dem vom Endkunden erwarteten sicheren Umgang mit vertraulichen privaten Daten. Meine Beobachtung nach vielen Jahren im Cloud-Business: Gerade im Datensicherungskonzept unterscheiden sich die Anbieter untereinander. Aber auch der Betrieb der Systeme und deren Ausfallwahrscheinlichkeiten sind wichtige Informationen, die bei der Entscheidung für oder gegen einen bestimmten Cloud-Anbieter ins Gewicht fallen. Über Zertifikate oder Audits haben Konsumenten (oder Kunden) die Möglichkeit zu erkennen, welche Qualität dahintersteckt.

Die Königsklasse markiert die Business Cloud: Sie enthält einige Sicherheitskomponenten, die bei vielen Cloud-Anbietern nicht zum Standard gehören. Die Ausrichtung der Business Cloud umfasst den Bedarf von Geschäftskunden. So sind z.B. Backups aller Daten inklusive und nicht wie bei vielen Anbietern eine Zusatzleistung. Auch der AV-Schutz und grundlegende Überwachungsmechanismen werden nahezu bei jedem Service berücksichtigt und transparent für den Kunden dargestellt.

Mit dem sog. Cloud-Cockpit können Ressourcen, Netzwerk und sonstige Managementfunktionen der virtuellen Umgebung gesteuert werden – alle Systeme und Prozesse sind ISO 27001 27017 und 27018 zertifiziert. Es gibt unterschiedliche Service Layer mit unterschiedlichen Leistungsmerkmalen. Entscheidend ist dabei, dass je nach Betriebsverantwortung das richtige Modell mit Blick auf den Service gewählt wird. So können Kosten und Eigenleistung ideal ausbalanciert werden. Ein plausibles Cloud-Konzept gibt Aufschluss über die zukünftigen Möglichkeiten und beleuchtet den Aspekt Sicherheit en detail.

Bild: Freepik, macrovector