Die Digitalisierung schreitet in den Unternehmen weiter voran – und führt vor allem über die Cloud. Der Cloud-Monitor 2021 des Unternehmensberaters KPMG zeigt, dass viele Unternehmen mit Beginn der Coronapandemie kurzfristig in die Cloud migriert sind. Die Cloud bestimmt den IT-Alltag in Unternehmen, um mit steigenden Datenmengen umgehen oder flexibel auf Mitarbeiter- und Kundenbedürfnisse reagieren zu können. Viele Programme laufen mittlerweile in den Rechenzentren von Dienstleistern, immer mehr Workloads werden in der Cloud ausgeführt. Mit den zunehmenden Möglichkeiten steigt freilich auch die Relevanz von Cloud-Sicherheit. Auch wenn Anbieter von Cloud-Diensten strenge Sicherheits- und Compliance-Vorgaben einhalten müssen: Weil ein Unternehmen in die Cloud geht, heißt das noch lange nicht, dass es auch das Thema Security komplett auslagern kann. Ein hohes Sicherheitsniveau basiert nicht alleine auf technischen Vorgaben, sondern braucht das optimale Zusammenwirken dieser mit Verhaltensregeln und Prozessen. Es geht darum, eine durchgehende „Chain of Trust” vom Mitarbeiter über die Cloud-Architekturen hinweg zu schaffen. Unternehmen können sich aktiv und wirkungsvoll gegen mögliche Risiken schützen. Dazu sollten sie beim Thema Sicherheit einige grundlegende Regeln beachten.
5 grundlegende Aspekte der Cloud-Security - A1 Blog
Das Zero-Trust-Konzept
Eine zentrale Sicherheitsmaßnahme ist das Authentifizieren der Mitarbeitenden. Nur wer befugt ist, sollte auf Daten und Ressourcen in einer Cloud-Umgebung zugreifen dürfen. Mit einer Zero-Trust-Architektur wird sichergestellt, dass nur autorisierte Nutzer und Geräte Zugriff auf die benötigten Anwendungen haben. Dies geschieht mit Lösungen, die sicherstellen, dass Benutzer und Geräte unabhängig von deren Standort eine sichere Verbindung zum Internet herstellen können.
Das Prinzip von Least Privilege
Um Sicherheitsrisiken, die durch den Faktor Mensch bestehen, so gering wie möglich zu halten, sollte sichergestellt werden, dass Genehmigungen nach dem Prinzip der geringsten Rechte (engl. Least Privilege) erteilt werden. Unternehmen sollten daher Rollen und Zugriffsrechte definieren (Role Based Access Control): Welche Mitarbeiter dürfen in welchem Umfang worauf (Programme, Dateien etc.) zugreifen? Viele Unternehmen scheuen diesen Aufwand jedoch. Was gerne vergessen wird: Ein eindeutiges Rechtemanagement beinhaltet auch, Beschäftigten, welche die Firma verlassen, diese Rechte wieder zu entziehen.
Die Daten klassifizieren
Die Art und Weise, wie Unternehmen ihre Daten in der Cloud aufbewahren, ist ein wichtiger Schritt auf ihrer Cloud-Journey. Betriebe sollten sich genau überlegen, welche Daten sie in die Cloud hochladen möchten und welches Risiko durch die Speicherung besteht. Beispielsweise könnten mindestens drei Corporate-Datenklassen definiert werden – öffentlich, intern, vertraulich. Jeder Klasse sollte ein entsprechender Data Protection Level zugeordnet werden, anhand dessen alle Daten auch dort bleiben, wo sie sollen.
Verschlüsselter Datentransfer
Ortsunabhängig arbeiten, stets Zugriff auf Daten und Applikationen haben – das ist eine der angenehmsten Seiten der Cloud. Der Transfer erfolgt meist über das Internet. Das Thema Verschlüsselung (Encryption) hat für die Cloud-Sicherheit daher hohe Relevanz. Hier kommt beispielsweise End-2-End-Verschlüsselung ins Spiel, dank der umständliche Mobile VPN Clients der Vergangenheit angehören. Unternehmen mit besonders hohen Sicherheitsanforderungen können außerdem eine Verschlüsselungshardware (Hardware Security Module, HSM) einsetzen.
Erfolgsfaktor Provider-Wahl
Eine der wichtigsten Sicherheitsregeln: Wer eine Cloud nutzt, muss wissen, wo seine Daten gespeichert sind. Immerhin geht es um personenbezogene Daten und geschäftskritische Informationen. Steht der Server im Ausland, können die Daten der Rechtsprechung des jeweiligen Landes unterliegen. 96 Prozent der Unternehmen ist die Konformität mit der DSGVO wichtig bei der Auswahl eines Cloud-Providers, so eine Studie von Bitkom Research. Kleiner Hinweis: Die A1 Data Center stehen alle in Österreich. Neben dem Ort der Datenspeicherung und -verarbeitung ist auch das weitere Umfeld des Rechenzentrums zu beachten: Welche Zertifizierungen muss ein Anbieter mitbringen, damit er als Cloud-Anbieter zum Unternehmen passt? Welche Nutzungsbedingungen und eigenen Datenschutzbestimmungen stellt der Anbieter auf? Werden Angaben zur Gerichtsbarkeit gemacht? Bestehen Offenbarungspflichten gegenüber und Ermittlungsbefugnisse von Behörden? Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat den Anforderungskatalog Cloud Computing mit insgesamt 17 Bereichen erstellt. Dieser bietet Cloud-Nutzern eine wichtige Orientierung für die Auswahl des passenden Anbieters.
Seitenkommentare