2023 / Cloud Security / Datenschutz

Bewährte Methoden für die Cloud-Sicherheit in Ihrem Unternehmen

Wir haben mit einer Vielzahl von Kunden zusammengearbeitet und bei fast allen gab es eine Frage, die oft verwirrte Gesichter hervorrief. Nämlich die Frage nach der Cloud-Sicherheit und wie diese dauerhaft gewährleistet werden könne. Immer dann, wenn wir auf dieses Thema zu sprechen kamen, herrschte auf einmal eine unangenehme Stille.

Dieser Umstand ist dabei relativ einfach zu erklären, denn er hängt damit zusammen, dass kaum ein Unternehmen sich ernsthaft Gedanken darüber macht. Cloud-Sicherheit hat, wie so oft bei sicherheitsrelevanten Aspekten, nicht die oberste Priorität. Jedenfalls nicht, solange noch nichts passiert ist. Doch ist letzteres erst einmal der Fall, scheint ein Handeln ohnehin zu spät.

Dabei sind Cloud-Computing-Dienste bereits in den meisten Unternehmen unumgänglich und Teil der täglichen Arbeit geworden. Speziell in den vergangenen Jahren hat der Einsatz von moderner Cloud-Technologie noch einmal stark zugenommen. Ohne die Cloud ist somit kaum ein Business mehr einsatzfähig. Zeit, über deren Sicherheitsaspekte zu sprechen.

Wie ISMS und Cloud-Sicherheit zusammenspielen

Das Informationssicherheits-Management-System (ISMS) soll in Unternehmen die besonders sensiblen Informationen schützen und deren Verwaltung vereinfachen. Es stellt genau genommen vorwiegend sicher, dass diese heiklen Informationen auch wirklich gesondert geschützt werden. 

Mit dem ISMS werden dann zeitgleich Regeln und Verfahren festgesetzt, die in Bezug auf die Informationssicherheit von entscheidender Bedeutung sind. Diese sollen die Informationssicherheit dauerhaft garantieren und Mitarbeitern das Notwendige zum Handeln mit an die Seite geben, wenn es in einem konkreten Fall erforderlich wird.

Wie das ISMS dabei implementiert wird, bestimmt die gesamte Cloud-Sicherheit. Das liegt ganz einfach darin begründet, dass das ISMS selbst für die Sicherheit von innerhalb der Cloud gespeicherten Daten verantwortlich ist. Datenverlust ist also immer auch auf das ISMS zurückzuführen, welches die Cloud-Sicherheit gewährleisten und entsprechend berücksichtigen sollte.

Problemzonen innerhalb der Cloud-Sicherheit

Ist das ISMS auf entsprechende Sicherheitsvorfälle vorbereitet? Wenn nicht, gilt es erst einmal zu evaluieren, welche Arten von Sicherheitsproblemen innerhalb der Cloud auftreten können. Diese sind, Sie ahnen es schon, von sehr unterschiedlicher Natur und von dem jeweiligen Unternehmen abhängig. Möglich ist dabei so gut wie alles. Die wichtigsten Sicherheitsaspekte möchten wir hier nun einmal kurz und knapp ansprechen.

Datendiebstahl: Ein möglicher Diebstahl von Daten ist nicht nur in Bezug auf die DSGVO ein echtes Problem, sondern auch sicherheitstechnisch eine echte Katastrophe. Sind die Daten innerhalb der Cloud gespeichert, muss jederzeit sichergestellt werden, dass diese dort vollumfänglich geschützt werden. Ein Zugriff durch Dritte und ohne entsprechende Authentifizierung muss daher unbedingt verhindert werden.

Datenverlust: Daten innerhalb der Cloud können ebenso verloren gehen, wie Daten, die unternehmensintern gespeichert wurden. Aufgrund menschlicher Fehler oder durch technische Störungen. Solche Ausfälle gilt es zu verhindern, damit es gar nicht erst zu einem Datenverlust kommt. Backups und regelmäßige Prüfungen der Daten können hier mögliche Maßnahmen darstellen.

APIs: Ohne entsprechende APIs findet die Nutzung einer Cloud-Infrastruktur nur sehr selten statt. Die Cloud-Sicherheit ist also auch ganz einfach durch fehlerhafte Schnittstellen und Sicherheitslücken in ebendiesen gefährdet. Auch das muss unbedingt berücksichtigt werden, da dies ein typischer Bereich ist, der gerne ausgeklammert oder übersehen wird.

Compliance: Die Nutzung einer Cloud steht immer auch im Widerspruch mit der Compliance und ist somit auch mit gewissen Rechtsrisiken verbunden. Achten Sie darauf, dass die genutzte Cloud alle Datenschutzgesetze und Compliance-Anforderungen bestmöglich erfüllen kann. Ist dem nicht so, denken Sie frühzeitig über Alternativen nach.

Kontrolle: Zu guter Letzt muss regelmäßig eine Kontrolle stattfinden. Cloud-Sicherheit gelingt nur in Verbindung mit einem funktionierenden ISMS, welches sicherstellt, dass die genannten Punkte auch bestmöglich erfüllt und bei der Wahl neuer Projekte berücksichtigt werden.

Damit wurden die wichtigsten Sicherheitsaspekte von Cloud-Infrastrukturen genannt. Natürlich gibt es neben diesen sehr offensichtlichen Maßnahmen auch noch viele kleine Stellen, die es genauer im Blick zu behalten gilt. Cloud-Sicherheit ist ein schwieriges, aber notwendiges Thema, um in modernen Unternehmen jederzeit die Sicherheit der Daten gewährleisten zu können.

Sicherheitstipps für die Verwendung einer Cloud

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Nutzung von Cloud-Infrastrukturen verschiedene Tipps und Tricks parat. Denn um eine Cloud wirklich sicher einsetzen zu können, ist es definitiv notwendig, auf bestimmte Aspekte zu achten, die eine Cloud-Nutzung für gewöhnlich nun einmal mit sich bringt.

So wird unter anderem empfohlen, zunächst eine Risikobewertung durchzuführen. Bevor Sie sich für einen finalen Cloud-Anbieter entscheiden, sollten Sie daher immer sicherstellen, dass die notwendigen Sicherheitsmaßnahmen bereits vollständig integriert worden sind.

Wichtig ist auch, dass die Daten während der Übertragung und bei der Speicherung innerhalb der Cloud verschlüsselt werden. Mit strengen Zugriffskontrollen wird außerdem sichergestellt, dass nur autorisierte Benutzer Zugriff auf ihre Cloud-Ressourcen haben. Als wichtigen Tipp nennt das BSI zudem die Schulung von Mitarbeitern in einem sicheren Umgang, um die Cloud-Sicherheit durch Grundwissen zu fördern.

Sicherheitsaudits von einem etablierten Sicherheitsunternehmen sind ebenfalls bedeutsam, um die erfüllten Sicherheitsanforderungen durch einen externen Dritten bestätigen zu lassen. Solche Audits sind oft auch für potenzielle Kunden von Bedeutung, die vorab mehr über getätigte Sicherheitsmaßnahmen erfahren wollen. Da kommen wir dann ins Spiel.

Wir sorgen für Cloud-Sicherheit in Ihrem Unternehmen

Als bekanntes und renommiertes Unternehmen im Bereich der Informationssicherheit stehen wir Ihnen und Ihrer Organisation mit Rat und Tat zur Seite. Cloud-Sicherheit benötigt oft einen geschulten Blick von außen, um potenzielle Schwachstellen erkennen und beheben zu können.

Wir helfen hier ganz konkret beim Aufbau eines ISMS und stehen Ihnen dabei nicht nur beratend, sondern auch mit all unserem Know-how und praktischem Fachwissen zur Verfügung. Die eben erwähnten Audits, also Sicherheitsbewertungen Ihrer Cloud-Strukturen, führen wir ebenfalls durch, um Ihnen einen umfangreichen Bericht mit an die Hand geben zu können. Mit erfahrenen Pentestern, Analysten und Sicherheitsforschern im Team, bieten wir zudem Security Awareness Schulungen für Ihre Mitarbeiter an, um diese in den entsprechenden Bereichen weiterzubilden.

Cloud-Sicherheit beginnt bereits sehr früh und noch lange bevor die Daten überhaupt in der Cloud landen. Denken Sie daran und sprechen Sie mit uns über mögliche Lösungen, maßgeschneidert für Ihr Use Case und Business. Wir freuen uns, schon bald von Ihnen zu hören.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.