Ganze Büros sind in den letzten drei Jahren die Cloud umgezogen, mit deren Hilfe Teams jeder Größenordnung über Entfernungen hinweg zusammenarbeiten und kommunizieren können. Darüber hinaus werden Dateien und Daten in der Cloud gespeichert und gemeinsam genutzt, wo sie von allen Geräten aus leicht zugänglich sind. Es gibt aber weiterhin bei vielen IT-Experten Bedenken hinsichtlich der Sicherheit der Daten in der Cloud.
Im vergangenen Jahr haben deutsche Unternehmen sogar den EU-Durchschnitt bei der Nutzung von Cloud-Diensten überholt. Dennoch herrschen weiterhin große Bedenken hinsichtlich der Cloud-Sicherheit. Verallgemeinert gesagt ist die Cloud allerdings genauso sicher oder sogar sicherer als eine Festplatte, ein physischer Server oder ein Rechenzentrum. Solange der Cloud-Service-Anbieter (CSP) eine umfassende, robuste Cybersicherheitsstrategie verfolgt, die speziell auf den Schutz vor Risiken und Bedrohungen ausgerichtet ist, ist die moderne Cloud heutzutage extrem sicher und zuverlässig. Zu einer solchen Strategie gehören zum Beispiel technische Sicherungsmaßnahmen wie ein DDoS-Schutz oder die Zwei-Faktor-Authentifizierung. Größere Cloud-Unternehmen verfügen über die Ressourcen, um die Sicherheitsmaßnahmen ihrer gesamten IT-Landschaft zu pflegen und auf dem neuesten Stand zu halten – ein ressourcenintensives Unterfangen, mit dem kleine und mittelständische Unternehmen nicht selten überfordert sind.
Dennoch ist zu bedenken, dass der Cloud-Anbieter nur teilweise für die Datensicherheit verantwortlich ist. Die Sicherheit der Cloud fällt unter ein Modell der geteilten Verantwortung, d. h. die Sicherheit der Cloud-Daten liegt in der Verantwortung sowohl des CSP als auch seiner Kunden. Demnach ist auch der Cloud-Nutzende im Falle eines Sicherheitsvorfalls nicht von jeglichen Verantwortungen entbunden.
Kurzer Exkurs: Unterschied zwischen Cloud-Speicher und Cloud-Backup
Wie bereits gesagt, ist die Cloud Wegbereiter für unzählige Lösungen zur Sicherung und Wiederherstellung von Daten. Eine nähere Betrachtung zwischen Cloud-Backup und Cloud-Speicher kann dabei helfen, das Thema Sicherheit der Cloud-Daten besser nachvollziehen zu können.
Cloud-Speicherlösungen wie Google Drive und OneDrive sind dafür bekannt, dass man mit ihnen Dateien speichern und Fotos oder Videos an einem zentralen Ort in der Cloud ablegen kann. Der Schwerpunkt liegt dabei ganz auf einer möglichst hohen Benutzerfreundlichkeit, ergo eines erleichterten Datenzugriffs und Synchronisierung von jedem Gerät aus.
Mit einer Cloud-Backup-Lösung werden Kopien der Dateien automatisch und kontinuierlich an die Cloud gesendet, um eine garantierte und aktuelle Sicherung und Wiederherstellung der Dateien zu gewährleisten.
Die meisten Backup-Anbieter bieten die Versionierung von Dateien oder ganzen Systemen. Das bedeutet, dass Unternehmen, die diesen Service nutzen, im Falle eines katastrophalen Datenverlustes oder Computerabsturzes auf ihren eigenen Geräten, etwa infolge einer Ransomware-Attacke, eine aktuelle, gesicherte Version der Dateien oder des gesamten Betriebssystems wiederherstellen können.
Auch für Anbieter von Cloud-Backups spielt die Sicherheit der Daten eine übergeordnete Rolle. Backup-Dateien werden in der Regel sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt. Dies ist bei Cloud-Speicherdiensten nicht immer der Fall.
Fallstricke auf dem Weg in die Cloud
Die Vorteile der Cloud sind unbestreitbar, aber es gibt auch Herausforderungen, die bewältigt werden müssen. Drei recht häufige Risiken beim Thema Cloud-Datenspeicherung sind: Die Datenschutzverletzung, Fehlkonfigurationen sowie ungesicherte Schnittstellen.
Während bei herkömmlichen Angriffen vor allem Malware zum Einsatz kommt, nutzen Angreifer in der Cloud Fehlkonfigurationen, Zugriffskontrollen, gestohlene Zugangsdaten und Softwareschwachstellen aus, um sich Zugang zu Daten zu verschaffen.
Außerdem geht die größte Schwachstelle in einer Cloud-Umgebung von falsch konfigurierten Konten und Software aus. Fehlkonfigurationen können zu überflüssigen Berechtigungen für Konten, unzureichender Protokollierung und anderen Sicherheitslücken führen, die leicht ausgenutzt werden können.
Nicht zuletzt verwenden Endbenutzer:innen und Unternehmen häufig APIs, um Dienste miteinander zu verbinden und Daten zwischen verschiedenen Endpunkten zu übertragen – sei es zwischen unterschiedlichen Anwendungen oder völlig unterschiedlichen Unternehmen. Da APIs zum Abrufen und Übertragen von Daten konzipiert sind, können Änderungen an Richtlinien oder Berechtigungsstufen das Risiko eines unbefugten Zugriffs erhöhen.
Checkliste: sicher in der Cloud
Der Jahreswechsel ist ein Anlass für IT-Verantwortliche, die Cloud-Sicherheit ihres Unternehmens zu prüfen, zu hinterfragen und gegebenenfalls nachzujustieren. Der nachfolgende Leitfaden kann für die Steigerung der Sicherheit der in der Cloud gespeicherten Daten ein guter Anfang sein:
Einsatz von Verschlüsselung: Die Verschlüsselung von Daten ist ein Grundpfeiler der Datensicherheit in der Cloud. Ob in Bewegung oder im Ruhezustand, durch Ende-zu-Ende-Verschlüsselung wird sichergestellt, dass Angreifer oder Dritte – einschließlich des Cloud-Anbieters – Daten nicht nutzen können, selbst wenn sie auf deren Systemen gespeichert sind. Zu überprüfen ist im ersten Schritt, ob der genutzte Cloud-Dienst die Dateien sowohl in der Cloud als auch auf allen Computern und bei der Übertragung verschlüsselt.
Updates, Updates, Updates: Generell sollte Software immer auf dem neuesten Stand sein. Das Patchen von Software ist sowohl innerhalb als auch außerhalb der Cloud ein wichtiges Anliegen der Cybersicherheit, da veraltete Anwendungen Einfallstore für Eindringlinge oder Exploits bieten können. Auch wenn der CSP für die Aktualisierung der Software in seinen eigenen Rechenzentren zuständig ist, muss ein Teil der lokalen Software für den Zugriff auf die Cloud möglicherweise noch lokal aktualisiert werden. Für IT-Teams, die für zahlreiche Updates auf vielen Rechnern verantwortlich sind, beispielsweise bei Managed Service-Providern, ist ein Patch-Management-Tool eine elegante Lösung, um das Patchen zu automatisieren.
Konfigurieren der Datenschutzeinstellungen: Bei Anmeldung für einen Cloud-Dienst werden immer auch Datenschutzeinstellungen festgelegt, etwa wie die Daten weitergegeben werden und wie der Zugriff darauf erfolgt. IT-Verantwortliche sollten regelmäßig die Datenschutzeinstellungen auf Aktualität prüfen und nachjustieren. Häufig werden Einstellungen anfangs gesetzt und nie mehr wieder hinterfragt, wobei sich seit dem Cloud-Setup im Unternehmen sicherlich viel verändert haben sollte.
Lieber Vorsicht als Nachsicht bei Passwörtern: Bei der Verwendung von Cloud-Diensten sollten Endbenutzer:innen im Unternehmen angehalten sein, wirklich sichere Passwörter für alle ihre Konten zu verwenden. Hier kann einer der wesentlichen Vorteile der Cloud zum gravierenden Nachteil werden, da Cloud-Dienste so konzipiert sind, dass jede:r mit den richtigen Anmeldedaten darauf zugreifen kann. Denn die überwiegende Mehrheit der erfolgreichen Cyberangriffe wird durch schwache Passwörter ermöglicht.
Zwei-Faktor-Authentifizierung: Neben sicheren Passwörtern trägt die Multifaktor-Authentifizierung oder Zwei-Faktor-Authentifizierung erheblich zur Cloud-Sicherheit bei. Die effektivsten Optionen sind diejenigen, die das Telefon oder die Google-Authenticator-App bei Anmeldeversuchen mit einem einmalig zu verwendenden Code anpingen. So wird verhindert, dass ein unbefugter Akteur selbst mit den korrekten Anmeldedaten ohne das registrierte Mobilgerät keinen Zugriff auf die Daten erhält. IT-Verantwortliche sollten daher regelmäßig prüfen, ob alle Endbenutzer:innen die Zwei-Faktor-Authentifizierung aktiviert haben.
Keine Weitergabe persönlicher Informationen: Für Cyberkriminelle sind Soziale Medien ein offenes Tagebuch, indem sie oft an persönliche Informationen gelangen, die für die Umgehung von Passwörtern und Sicherheitsfragen dienlich sind. Ein für Angreifer erfolgreicher Trend auf den sozialen Plattformen ist eine Art Popup-Spiel, das nach dem Namen des ersten Haustieres oder ähnlich privaten Informationen fragt. Hier helfen wiederkehrende Schulungen und die Sensibilisierung im Unternehmen, denn je weniger persönliche Informationen im Netz kursieren, desto weniger anfällig wird man für Cyberangriffe.
Starke Anti-Malware- und Anti-Virus-Programme: In der Vergangenheit waren Anti-Viren-Programme das Allheilmittel für die Cybersicherheit. Mittlerweile sind die Angriffe so vielschichtig und ausgeklügelt, dass ein reines Anti-Viren-Programm nicht mehr ausreicht. Dennoch ist es immer noch ein wichtiger Teil eines umfassenden Cybersicherheitsplans. Auch die Anti-Viren- und Malware-Softwares werden stetig verbessert: Lösungen mit umfassenden Funktionen wie Remote-Wiping/Fernlöschung und KI-gestützte Bedrohungserkennung sind hoch im Kurs.
Vorsicht bei öffentlichen Wi-Fi-Hotspots: Bei öffentlichen WLAN-Verbindungen gilt: So wenig wie nur möglich nutzen. IT-Verantwortliche sollten alle Mitarbeiter:innen auch hier sensibilisieren, sich nicht mit unbekannten Hotspots zu verbinden – auch nicht mit ihren privaten Geräten. Cyberkriminelle verwenden häufig tragbare WLAN-Abhörgeräte und gefälschte Hotspots, um sich Zugang zu persönlichen Geräten zu verschaffen, insbesondere an Orten wie Cafés und Flughäfen. Ist eine Internetverbindung unerlässlich, sollte zumindest die Verwendung eines VPN die Gefahr mindern.
Fazit
Die Cloud ist in den deutschen Unternehmen angekommen. Sie ist zwar insgesamt sicherer als zu ihrer Entstehungszeit, stellt aber weiterhin ein lukratives Ziel für Angreifer dar, die es auf geistiges Eigentum, Geschäftsgeheimnisse und persönliche Daten abgesehen haben. Beim Thema Sicherheit in der Cloud ist wichtig zu verinnerlichen, dass sowohl der Cloud-Anbieter wie auch sein Kunde gemeinsam für die Sicherheit der Daten in der Cloud verantwortlich sind. Die Kombination aus dem richtigen CSP, unterstützenden IT-Management-Tools und regelmäßigen Checks bei den unternehmensweiten Sicherheitsmaßnahmen bildet eine zuverlässige Basis für sichere Cloud-Daten.
Über den Autor: André Schindler gründete als General Manager EMEA bei NinjaOne die EMEA-Niederlassung in Berlin und baute sowohl den Vertrieb als auch den Service in Europa auf. Als Vice President Strategic Partnerships verantwortet er die strategischen Geschäfts- und Technologiepartnerschaften einschließlich der Planung und Ausführung von Go-to-Market-Strategien. Vor seinem Einstieg bei NinjaOne wirkte André Schindler neuneinhalb Jahre in unterschiedlichen leitenden Funktionen für TeamViewer in den Bereichen Vertrieb, Konzernentwicklung, Value Creation und Strategische Partnerschaften.
