Cloud-Sicherheit im Unternehmen: Leitfaden für Entscheidungsträger
Wie sicher ist eine Cloud? Bei traditionellen Anwendungen und Infrastrukturen im physischen Rechenzentrum sind Sie in vollem Besitz der Daten und ebenso der Verantwortung für die Sicherheit. In einem Cloud-Modell ändert sich das. Denn mit der Verwaltung von Daten und Anwendungen im Cloud-Speicher teilt sich diese Verantwortung.
Wir zeigen Ihnen Grundlagen der Cloud-Sicherheit und geben einen Einblick in wichtige Bestandteile der Sicherheitsstruktur moderner Unternehmen in der Cloud.
Grundlagen der Cloud-Sicherheit
Was ist Cloud Sicherheit?
Cloud-Sicherheit bezeichnet eine Reihe an Maßnahmen für den Schutz von Daten sowie das Erkennen und Abwehren von Bedrohungen, die an den Schnittstellen der firmeneigenen und externen Rechenzentren sowie der Nutzung von Cloud-Diensten durch Dritte entstehen.
Compliance und Datenschutz in der Cloud-Sicherheit
Compliance ist die Summe aller gesetzlichen und internen Richtlinien, die in einem Unternehmen zu befolgen sind. Maßnahmen der Cloud-Sicherheit gehören zur Compliance und so versteht sich auch Datenschutz in der Cloud als Teil der rechtlichen Vorgaben und Teil der Compliance. Das gesetzlich bindende Regelwerk für Datenschutz im Unternehmen ist die Datenschutz-Grundverordnung (DSGVO). Sie betrifft auch Cloud-Datenschutz.
Weitere Abgrenzungen gibt es in der Unternehmenspraxis: Ein Datenschutzbeauftragter arbeitet an der Einhaltung des Datenschutzes und sorgt dafür, dass die Vorgaben eingehalten werden, sensibilisiert dafür Mitarbeiter und klärt diese auf. Ein Compliance-Manager prüft dagegen die Einhaltung von gesetzlichen Vorgaben und internen Regelwerken.
Cloud-Sicherheit im Unternehmen setzt sich aus verschiedenen Aufgabengebieten zusammen.
• Compliance
• Datenschutz und -Verschlüsselung
• Gefahrenabwehr
• Identity and Access Management (IAM)
• Sicherheitskonfiguration
• Monitoring, Analysen & Auditing
• Cloud-Risikomanagement
• API-Security
Herausforderungen und Risiken
Sicherheitsrisiken in der Cloud
Sichere Cloud-Speicher können Angriffen immer besser standhalten. Bekannte Sicherheitsrisiken, Gefährdungsszenarien und aktuelle Beispiele zeigen, dass Angriffe heute einfacher abgefangen oder abgeschwächt bzw. mitigiert werden können.
1. Mangelndes IAM (Identity and Access Management)
Unzureichende Kontrollmechanismen zur Identitätsverifizierung und Zugriffssteuerung können zu unberechtigtem Zugang und Datenmissbrauch führen.
2. Data-Leaks
Data-Leaks sind undichte Stellen, durch die vertrauliche Daten unbefugt nach außen gelangen können – oft aufgrund von Whistleblowern, Sicherheitslücken oder Fehlkonfigurationen.
3. Unsichere Verschlüsselungen
Schwache oder fehlerhafte Verschlüsselungsmethoden ermöglichen es Angreifern, verschlüsselte Daten zu entschlüsseln und zu missbrauchen.
4. DDoS-Attacken
Denial of Service-Attacken sind Überlastungsangriffe, die darauf abzielen, Dienste oder Netzwerke durch massiven Datenverkehr unzugänglich zu machen, was zu Betriebsunterbrechungen führt.
5. Schadsoftware
Malware oder Schadsoftware bezeichnet bösartige Software wie Viren, Würmer oder Trojaner, welche Systeme beschädigen, Daten stehlen, mit denen Unternehmen erpresst werden (Ransomware-Angriffe) oder anderweitige Schäden verursachen.
6. Schwachstellen bei Software und System
Sicherheitslücken in Software oder Systemen ermöglichen es Angreifern, unberechtigten Zugriff zu erlangen oder Schaden anzurichten.
7. Sicherheitsmängel bei Interfaces & APIs
Schwächen in Schnittstellen und Programmierschnittstellen können zu unautorisiertem Datenzugriff oder -manipulation führen.
8. Vertragsrisiken
Das bezeichnet alle Risiken, die sich aus den Bedingungen von Verträgen mit Dienstleistern ergeben, wie unzureichende Sicherheitsgarantien oder Haftungsbeschränkungen.
9. Mangelnde Kontrolle über externe Sicherheitsvorkehrungen
Eine sichere Cloud funktioniert nur mit guten Partnern: Mangelnde Kontrolle über externe Sicherheit ist die Unfähigkeit, Sicherheitsmaßnahmen von Drittanbietern oder in der Cloud gehosteten Diensten zu überwachen oder zu steuern.
5 bekannte Sicherheitsvorfälle
DDoS-Angriffe gehören zu den häufigsten Cloud-Sicherheitsrisiken. Wie bekannte Beispiele aus den letzten 20 Jahren zeigen, wachsen zwar die Bedrohungen durch Cyberangriffe, doch mit ihnen auch das Bewusstsein für die Cloud-Sicherheit in Unternehmen.
1. Estland (April 2007): Estland erlebte einen massiven DDoS-Angriff auf Regierungsdienste, Finanzinstitute und Medien. Dieser Angriff war eine Reaktion auf einen politischen Konflikt mit Russland.
2. Google (September 2017): Die bis dahin größte DDoS-Attacke zielte auf Google-Dienste ab und erreichte ein Volumen von 2,54 Tbit/s. Die Angreifer nutzten Spoofing-Pakete, die an 180.000 Webserver gesendet wurden und Anfragen an Google schickten. Diese Attacke war Teil einer Serie von Angriffen, die Google nach eigenen Angaben "absorbieren" konnte.
3. Amazon Web Services (Februar 2020): Amazon Web Services erlebte eine Attacke mit einem Spitzenwert von 2,3 Tb/s. Dieser konnte mit AWS-Shield mitigiert werden.
4. Cloudflare (Februar 2023): Cloudflare erlebte eine Attacke mit 71 Millionen Anfragen pro Sekunde, die zum damaligen Zeitpunkt als größte HTTP-DDoS-Attacke galt. HTTP-DDoS-Attacken werden anhand der HTTP-Anfragen pro Sekunde gemessen.
5. Italienisches Finanzwesen (August 2023): Mehrere italienische Banken wurden von der Gruppe NoName durch die Ausführung langsamer DDoS-Attacken angegriffen. Angestellte einer Bank berichteten, dass zwar die Homepage offline ging, doch die Funktion der Mobile-Apps uneingeschränkt blieb.
Richtlinien zur Cloud-Sicherheit vom BSI
Die sicherste Cloud ist nur so gut, wie die Summe der erfolgreichen Schutzmaßnahmen.
In dem Papier OPS.2.2: Cloud-Nutzung definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) wichtige Grundlagen und Cloud-Sicherheitslösungen in Unternehmen. Weitere Standards und Konzepte für Cloud-Sicherheit oder Sicherheitsaspekte finden sich auch in der Zuordnungstabelle
Zuordnung ISO/IEC 27001 zum IT-Grundschutz des BSI. Zu diesen gehören:
• Con.4 Identitäts- und Berechtigungsmanagement (Konzept)
• 4. Kontext der Organisation
• 8. Verwaltung der Werte
• 10. Kryptographie
• 12. Betriebssicherheit
• 13. Kommunikationssicherheit
• 15. Lieferantenbeziehungen
• 16. Handhabung von Informationssicherheitsvorfällen
• 18. Compliance
ISO-zertifizierte Partner berücksichtigen diese Maßnahmen bei sicheren Clouds und der Betreuung von Unternehmen. In Abstimmung mit Compliance-, Datenschutz- und Sicherheitsbeauftragten ist Cloud-Sicherheit ein wichtiger Teil der Cybersecurity des Unternehmens.
Best Practices für Cloud-Sicherheit
Der Idealzustand mit einem gefundenen Regelwerk und wirksamen Einzelmaßnahmen wird als Best Practice definiert. Um die Cloud sichern zu können, finden sich verschiedene Maßnahmen. Wir zeigen die Top 5 der Best Practice Solutions für Cloud-Sicherheit.
1. DSGVO-Konformität: Sicherstellen, dass alle Cloud-Dienste und -Operationen den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen, um den Schutz personenbezogener Daten innerhalb der EU zu gewährleisten.
2. ISO 27001 Zertifizierung: Auswahl von Cloud-Diensten, die nach ISO 27001 zertifiziert sind, was bedeutet, dass sie ein international anerkanntes Informationssicherheits-Managementsystem implementiert haben.
3. DDoS-Schutz (Distributed Denial of Service): Implementierung von Maßnahmen zum Schutz gegen DDoS-Angriffe, um die Verfügbarkeit und Leistungsfähigkeit der Cloud-Dienste zu gewährleisten und Ausfallzeiten zu minimieren.
4. Back-up-Plan: Einen robusten Back-up-Plan entwickeln, der regelmäßige und gute Datensicherungen beinhaltet, um im Falle eines Datenverlusts oder einer Beschädigung schnelle Wiederherstellungen zu ermöglichen.
5. Wahl des Serverstandorts: Sorgfältige Auswahl des physischen Standorts der Server, die die Cloud-Dienste hosten, unter Berücksichtigung von Aspekten wie Datenschutzgesetzen, politischer Stabilität und Risiken natürlicher Katastrophen.
Technologien und Tools für verbesserte Cloud-Sicherheit
In der heutigen digitalen Welt ist die Sicherheit von Cloud-Diensten wichtiger denn je. Unternehmen und Privatpersonen verlassen sich zunehmend auf Cloud-Technologien, wodurch die Notwendigkeit effektiver Maßnahmen für Sicherheit der Cloud steigen.
1. Firewalls (Next-Generation Firewalls, NGFW)
Diese bieten erweiterte Funktionen im Vergleich zu traditionellen Firewalls, einschließlich Deep Packet Inspection, Intrusion Prevention Systemen (IPS) und der Fähigkeit, verschlüsselten Datenverkehr zu inspizieren. Sie sind entscheidend für die Absicherung der Netzwerkgrenzen in der Cloud. Ein Beispiel ist die F5 Firewall.
2. Anti DDoS:
Die Abwehr von Denial-of-Service-Attacken erfolgt in verschiedenen Maßnahmen, um ungewöhnlichen Zugriff herauszufiltern und zu unterbinden. Zu den verbreiteten Präventionstools gehören Web application Firewalls oder DDoS Mitigation Anwendungen. Anti DDoS Anwendungen finden sich bei Azure, AWS Shield, Cloudflare und anderen.
3. Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM)
Anwendungen für das IAM ermöglichen die Verwaltung von Benutzeridentitäten und den Zugriff auf Cloud-Ressourcen. Sie bieten Funktionen wie Multi-Faktor-Authentifizierung, Single Sign-on und Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Benutzer zur richtigen Zeit und aus dem passenden Grund Zugriff auf sensible Daten und Systeme erhalten.
4. Verschlüsselungswerkzeuge
Diese Tools verschlüsseln Daten sowohl im Ruhezustand (Data at Rest) als auch bei der Übertragung (Data in Transit), um sicherzustellen, dass vertrauliche Informationen auch bei einem potenziellen Datendiebstahl geschützt sind. Schlüsselverwaltungssysteme sind ein wesentlicher Bestandteil dieser Technologie.
5. Security Information and Event Management (SIEM)
SIEM-Systeme bieten Echtzeitüberwachung und Analyse von Sicherheitswarnungen, die von Anwendungen und Netzwerkhardware generiert werden. Sie sind wichtig für die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle.
6. Cloud Access Security Brokers (CASB)
CASBs fungieren als Sicherheitsvermittler zwischen Cloud-Dienstanbietern und den Nutzern der Cloud-Dienste. Die Anwendungen bieten eine Vielzahl von Sicherheitsmaßnahmen, darunter Überwachung und Steuerung des Datenverkehrs, Compliance-Management, Datenverlustprävention und Bedrohungsschutz.
Ihr Fahrplan in die sichere Cloud mit vshosting
Als erfolgreicher Anbieter für Managed Cloud Services bietet vshosting seit 20 Jahren maßgeschneiderte Betreuung für Kunden verschiedener Branchen. Heute sichert das Unternehmen Daten und digitalen Strukturen von mehr als 1.000 Kunden in der passenden Cloud.
Als ISO 27001 zertifiziertes Unternehmen wird Datensicherheit, Vertraulichkeit, Integrität und Verfügbarkeit der Cloud mit aktuellen Technologien und weltweit führenden Anbietern auch in Zukunft gut aufgestellt sein. Eigene Anti-DDoS-Lösungen und eine F5 Firewall auf eigenen Managed Servern runden dabei das Sicherheitskonzept ab.
Fazit
Maßnahmen der Cloud-Sicherheit in Unternehmen orientieren sich an realen Bedrohungsszenarien und dem Status quo von Vorgaben wie der ISO 27001, der DSGVO oder aktuellen branchenspezifischen Sicherheitsstandards.
Auf dem Weg in eine sichere Cloud sind ISO 27001 zertifizierte Anbieter für die Sicherheit und die Funktion der externen Rechenzentren wichtige Partner, die auch dabei unterstützen, neue Anforderungen in unternehmensinterne Sicherheitspolitik einfließen zu lassen.
Mit zertifizierten Anbietern und einem aktuellen Portfolio von Leistungen und Techniken profitieren Sicherheitsstandards in einer Best Practice, die sowohl zu aktuellen Richtlinien, Bedrohungen und zum Profil des Unternehmens passt.