20/10/2020

Cloud-Security

Die Cloud-Migration ist eine feine Sache, wenn man beim Thema „Sicherheit“ auf die Details achtet.
Von
Ellen Leipelt
Marketing Specialist
und
Falk Forner
IT-Security Consultant

In die Cloud migrieren, aber sicher.

Immer mehr Unternehmen suchen aus vielfältigen Gründen den Weg in die Cloud. Da mittlerweile nahezu alle Unternehmen Unmengen an komplexen Daten verarbeiten und auswerten, bietet sich eine Auslagerung unmittelbar an. Es können aber nicht nur Daten zur Verarbeitung und Auswertung in die Cloud ausgelagert werden, sondern auch jegliche Anwendungen und Funktionen. So lassen sich neben hohen Initialkosten wie der Beschaffung von eigener Hardware weitere Aufwände einsparen:

  • Aufbau der Infrastruktur und Netzwerke
  • Zeit zur Inbetriebnahme und Konfiguration der Hardware
  • Aufbau bzw. Zukauf von Expertise zum Aufbau und Betrieb der IT-Umgebung

Was macht das Cloud-Computing so interessant?

Die Welt der Informationstechnik befindet sich in einem stetigen infrastrukturellen Wandel. Angefangen bei physischen Servern befinden wir uns jetzt in einer Zeit, wo sich der Begriff serverless an zunehmender Popularität erfreut. Doch Achtung: „serverless“ bedeutet nicht etwa, dass keine Server mehr im Einsatz wären, sondern lediglich, dass man als Konsument weder Zugriff noch Einblick in diese hat. Beim Serverless-Computing wird ein Backend-Service von einem externen Anbieter bereitgestellt und man zahlt lediglich für die effektive Nutzung von Rechenzeit. Und das bringt viele Vorteile mit sich. Man ahnt es an dieser Stelle schon: Neben den Vorteilen lassen sich selbstverständlich auch Nachteile finden – häufig auf Kosten der Sicherheit.

Aber bleiben wir an dieser Stelle erst einmal bei den Vorteilen:

  • Dynamische Skalierbarkeit: Abhängig von der Auslastung kann dynamisch mehr oder weniger Rechenleistung gebucht werden
  • Finanzielle Dynamik: Keine Investitionskosten in physische Hardware, kein Hardwarebetrieb, Rechenleistung zugeschnitten auf den Bedarf
  • Hohe Flexibilität: Verfügbarkeit sowie Nutzung von Software, Anwendungen und Services unabhängig vom Netzwerk, Standort und Gerät
  • Reduzierter Aufwand: Backup-Planung liegt in der Verantwortung des Providers, Hardware-Konfiguration, -Wartung und Inbetriebnahme liegt in der Verantwortung des Providers, Redundanz verursacht einfache Desaster Recovery
  • Erhöhte Datensicherheit
Die Cloud-Migration kann eine gute Entscheidung sein, wenn man die Sicherheitsaspekte beachtet.

Die Thematik Datensicherheit zählt prinzipiell zu den Vorteilen des Cloud-Computings. Denn im Regelfall sind die Datenredundanz, der Schutz vor Datenverlust und der flexible Zugriff wie die Bearbeitung der Daten eine gewinnbringende Chance. Daher sollten wir uns jetzt damit beschäftigen, welche Dinge man auslagern kann und sollte und welche besser nicht.

Was kann in die Cloud und was besser nicht?

Prinzipiell kann alles, was lokal betrieben wird, auch in die Cloud ausgelagert werden. Dabei sollte man eine Frage im Hinterkopf behalten: Was macht davon Sinn?

Im ersten Schritt sollten die eigenen Use-Cases analysiert und auf Basis dessen ein geeignetes Cloud- bzw. Provider-Modell ausgewählt werden. An diesem Punkt immer kritisch hinterfragen, ob die Auslagerung eines Use-Cases auch zu signifikanten Vorteilen führen wird. Und es bleibt unbedingt zu beachten, dass der Use-Case zusätzlich lokal abgesichert wird.

Detaillierte Informationen zu den verschiedenen Cloud-Modellen und der damit verbundenen Shared Responsibility finden Sie in unserem Whitepaper.

Bei der Auslagerung von Daten sollte genau abgewogen werden: Handelt es sich um sensible Daten, die Compliance Auflagen unterliegen, können diese zwar in die Cloud ausgelagert werden, insofern der Provider die entsprechenden Auflagen hierfür erfüllt. Handelt es sich aber um Daten, deren Kritikalität so hoch ist, dass eine kurzzeitige Verfügbarkeitsstörung spürbare Auswirkungen hätte, dann sollten sie besser lokal vorhanden bleiben.

Wie sicher sind Cloud-Lösungen?

Die Sicherheit von Cloud-Lösungen ist von drei Faktoren abhängig: den Standards des Providers, dem gewählten Cloud-Modell und den eigenen Security Aspekten. Im Normalfall kann davon ausgegangen werden, dass Cloud-Provider deutlich höhere Standards in Bezug auf Sicherheit, Verfügbarkeit, Datensicherung und Redundanz einhalten als IT-ferne Unternehmen. Fehler aufseiten des Providers würden massive Konsequenzen mit sich bringen und in jedem Fall wären alle Kunden betroffen. Dennoch muss leider festgehalten werden, dass Neuerungen der digitalen Verarbeitung wie das Cloud-Computing auch neue Arten der Cyberkriminalität mit sich bringen.

2019 wurde festgestellt, dass der Anteil der DDoS-Attacken, bei denen Cloud-Server eingebunden waren, bei 45 % lagen - Tendenz steigend.

(Quelle: Bundeskriminalamt: Cybercrime, Bundeslagebild 2019, S. 27.)

Auch wenn es so scheint, als würde man selbst keinerlei Möglichkeiten mehr besitzen eigene Sicherheitsmaßnahmen anzuwenden, kann man folgende Maßnahmen aus eigener Hand anwenden:  

  • Verschlüsselung der zu verarbeitenden Daten
  • Security Checks
  • Best Practices der Anwendungen
  • Identitymanagement
  • Accessmanament

Es ist und bleibt unerlässlich, die wichtigsten Daten und deren Backups on-premise zu halten – Stichwort data recovery. Bei einem Cyberangriff auf den Cloud-Provider können Daten verloren gehen, solange sich dort das einzige Backup befindet. Bei einem Cyberangriff auf die eigenen Server können die Daten via eines Backups aus der Cloud wieder eingespielt werden. Es sollten also Ansätze der Hybrid- bzw. Multicloud angestrebt werden. Es empfiehlt sich noch immer den klassischen Weg von offline Backups auf entsprechenden Datenträgern als Notfallabsicherung zu gehen.

Es wird deutlich: Die Auswahl eines geeigneten und zuverlässigen Providers ist unerlässlich, um eine sichere Cloudmigration zu gestalten.

Wie erkennt man einen guten Cloud-Provider?

Es gibt einige Ansatzpunkte, um einen zuverlässigen und sicheren Cloud-Provider zu identifizieren. Im ersten Schritt sollte ein Provider evaluiert werden, der die Services zur Verfügung stellt, die in Anspruch genommen werden sollen. Als zweiten Schritt sollte Ausschau nach Kennzahlen gehalten werden:

  • Verfügbarkeit der Services
  • Anzahl an Aus- und Vorfällen
  • Metriken wie KPIs

Neben diesen eher formlosen Indizien gibt es eine Reihe an Zertifizierungen, die Cloud-Provider erlangen können und sollten. Hier gilt es insbesondere auf verbreitete Standards wie ISO, PCI und SOC zu achten.

Zertifizierungen auf einen Blick:

  • ISO 9001: Qualitätsmanagement – Verfügbarkeit der Leistung und Latenzen
  • ISO 27001: Sicherheit – im Einklang mit dem IT-Grundschutz
  • ISO 27017: Cloudspezifische Kontrollen
  • ISO 27018: Schutz personenbezogener Daten
  • PCI DSS: Payment Card Industry – Data Security Standard – primär für Finanzbranche
  • SOC1, SOC2, SOC3: Standards, die unter anderem Security Kriterien bewerten
Starten Sie jetzt sicher in die Cloud.

Interesse für das Thema geweckt?

Dann lesen Sie doch unser detailliertes Whitepaper rund um das Thema Cloud-Security.
Jetzt Whitepaper downloaden!