Anbieter von Cloud-Diensten sind zum Beispiel Microsoft, Amazon und Google sowie zahlreiche kleinere Anbieter. Die Begriffe Cloud und Sicherheit passen für viele Menschen jedoch nicht zusammen. Häufig hört man von Angriffen – und damit verbundenen Datenlecks – auf Anbieter von Cloud Lösungen. Schlagzeilen wie «Gehackte Cloud-Dienste: Angriffsziel Wolke» verunsichern Benutzer und IT-Mitarbeiter gleichermassen. Zusätzlich wird die Skepsis gegenüber Cloud-Diensten geschürt. Viele vergessen dabei, dass sie längst Teil der Cloud-Community sind, da sie «Public-Cloud»-Dienste wie Dropbox, iCloud oder Google Drive täglich nutzen.
Auch im Business Umfeld bietet die Cloud Chancen. So ist die Sicherheit oftmals höher, als wenn sich eine Firma selbst an den Aufbau einer «Private Cloud» auf ihren Servern heranwagt. Eine weitere Variante, über die gerne gesprochen wird, ist die sogenannte «Hybrid Cloud», die es ermöglicht Daten sowohl lokal und/oder in der Cloud abzulegen.
Bedarf für «Cloud» klären
Private Cloud, Public Cloud oder Hybrid Cloud? Wofür soll man sich entscheiden? Bevor man sich überhaupt über Sicherheit und Datenschutz Gedanken macht, sollte zuerst geprüft werden, ob es sinnvoll ist, Dienste wie Kollaborationsplattformen, CRM oder auch Office Applikationen in die Wolke auszulagern.
Ein Unternehmen stellt sich die Frage, wie das Thema Sicherheit in der Cloud anzugehen ist, wo die Gefahren lauern und welche Hürden es zu meistern gibt. Aspekte zur Sicherheit, Compliance sowie zu Governance und Datenschutz-Themen können beispielsweise in einer Aufklärungsplattform von Microsoft nachgelesen werden. Im sogenannten Microsoft Trust Center erfährt man zudem, dass Microsoft die Daten nicht für Werbezwecke missbraucht und die Daten jederzeit in Besitz des Kunden sind.
Um diese Themen mit dem Kunden zu besprechen und zu behandeln, führt die IOZ AG ein sogenanntes Office 365 Readiness Assessment durch. So wird sichergestellt, dass alle die Voraussetzungen und Rahmenbedingungen kennen. Auch stellt sich die Frage, ob in Zeiten der Digitalisierung überhaupt noch auf die Cloud verzichtet werden kann. Der ortsunabhängige Zugriff auf Daten und das mobile Arbeiten sind lediglich zwei Vorteile. Des Weiteren sollte man sich den Schritt in die Cloud insbesondere dann überlegen, wenn die Anschaffung teurer Server-Infrastruktur bevorsteht.
IT-Security bedeutet Klärung organisatorischer Aspekte
Sehr oft sind sich Unternehmen nicht bewusst, dass eine Transformation in die Cloud nebst den technischen Massnahmen auch organisatorische Massnahmen mit sich bringt. Die IT-Security-Richtlinien in den Unternehmen erfüllen die Anforderungen an die neue Cloud-Infrastruktur oft nicht oder nur teilweise. Deshalb gilt es, diese bei einem Wechsel in die Cloud ebenfalls zu überdenken. Oftmals ist die Kategorisierung der Daten und die Zuordnung des Schutzbedarfs ein erster Schritt, um die Richtlinien den neuen Gegebenheiten anzupassen. Typischerweise haben personenbezogene Daten wie zum Beispiel Personaldossiers besonders hohen Schutzbedarf und müssen deshalb gesondert behandelt werden.
Je nach Schutzbedarf gibt es also Daten, welche sich für eine Speicherung in der Cloud eignen bzw. eben nicht eignen. Nebst dem Schutzbedarf müssen die drei IT-Grundschutzziele Verfügbarkeit, Integrität und Vertraulichkeit ebenso überdacht und gegebenenfalls angepasst werden.
1. Verfügbarkeit
Die Verfügbarkeit der Dienste muss vorab mit dem Anbieter des Cloud-Dienstes geregelt werden. Am Beispiel von Microsoft ist die Verfügbarkeit von Office 365 öffentlich bekannt, was Vertrauen schafft. Die weltweite Verfügbarkeit von Office 365 lag in den Jahren 2012/2013 bei durchschnittlich 99.97 Prozent oder anders ausgedrückt bei einer maximalen Downtime von 13 Minuten pro Monat.
2. Integrität
Die Unverfälschbarkeit der Daten – die Integrität – wird in der Regel von Anbietern von Cloud-Diensten nicht garantiert. Der Nutzer respektive das Unternehmen, welches Cloud-Dienste einsetzt, muss hier selbstständig geeignete Massnahmen treffen, um die Integrität der Daten sicherzustellen.
3. Vertraulichkeit
Wie bei der internen Klärung des Schutzbedarfs, gilt es die Vertraulichkeit auch nach aussen zu berücksichtigen. Um diese zu gewährleisten, setzt zum Beispiel Microsoft bei sämtlichen Office 365 Produkten auf eine SSL-verschlüsselte Verbindung. Als weiteren Aspekt bringt eine Auslagerung in die Cloud einige sicherheitsbezogene Chancen mit sich: In einer lokalen Umgebung ist der Kunde jeweils selbst für die Ausführung von Updates und sicherheitsrelevanten Anpassungen verantwortlich. In der Cloud wird dieser Part teilweise durch den Betreiber übernommen und entlastet somit den Kunden.
Bei Cloud-Diensten werden regelmässig und ohne dass es die Nutzer bemerken, Sicherheitsupdates eingespielt. Diese regelmässigen Updatezyklen und die damit verbundenen Sicherheitsoptimierungen reduzieren die Gefahr massiv, von aussen angegriffen zu werden.
(Bildquelle: © PeopleImages/iStockphoto)
