Cloud-Dienste sind heute in den meisten deutschen Unternehmen unverzichtbar. Von Speicher und Software über das Back-up bis hin zu virtuellen Servern bieten Cloud-Anwendungen erhebliche Vorteile gegenüber On-Premises-Lösungen. Doch viele Firmen-Clouds sind nicht ausreichend gegen Cyberangriffe und Datenverlust geschützt. Deshalb ist es wichtig, die eigene Cloud gezielt gegen Risiken abzusichern.
Cloud-Security beschreibt alle Maßnahmen, mit denen Sie die Daten in Ihrer Firmen-Cloud gegen Verlust, unerlaubte Zugriffe und Manipulation durch Dritte schützen.
Da jede Unternehmens-Cloud andere Anforderungen erfüllen muss, sollte auch die Cloud-Security auf die jeweilige Firmen-Cloud zugeschnitten sein. Eine Private Cloud auf IaaS-Basis muss anders gesichert werden als eine Multi Cloud mit unterschiedlichen Teil-Clouds und Cloudmodellen.
Abhängig vom Cloud-Standort müssen Unternehmen auch die Datenschutzstandards im jeweiligen Land beachten. Sonst kann es zu ungewollten Datenschutzverstößen kommen, wenn etwa am Unternehmenssitz und Hosting-Standort der Cloud unterschiedliche Regelungen gelten.
Mit wenigen einfachen Maßnahmen wie einer durchgängigen Verschlüsselung erhöhen Sie zusätzlich die Sicherheit Ihrer Firmen-Cloud.
Cloud-Security bezeichnet zum einen das Unternehmensziel, Daten in einer Firmen-Cloud jederzeit sicher zu verwahren. Zugleich ist Cloud-Security die Summe aller Maßnahmen und Protokolle, um dieses Ziel dauerhaft zu erreichen. Dabei gliedert sich Cloud-Security in nachfolgende Aufgabenbereiche:
Zugangskontrolle: Strukturierte Hierarchien regeln, wer Zugriff auf welche Daten hat. Welche Informationen können Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen einsehen? Auf welche sensiblen, sicherheitsrelevanten Daten und Prozesse können ausschließlich die IT-Abteilung oder die Geschäftsführung zugreifen? Gibt es persönliche Daten, die gemäß Datenschutz-Grundverordnung (DSGVO) nur einem eingeschränkten Nutzerkreis offenstehen?
Cyber-Sicherheit: Cloud-Security umfasst auch Maßnahmen zum Schutz vor Datenmanipulation und Sabotage. Hierunter fällt es beispielsweise, wenn Kriminelle Schadsoftware wie Würmer oder Viren einschleusen; Daten verschlüsseln, um Lösegeld zu fordern (Ransomware); und Unternehmensdaten verfälschen.
Compliance und Datenschutz: Sicherheit ist immer auch im Kontext des physischen Datenstandortes zu betrachten. Unternehmen müssen prüfen, ob die jeweils gewählte Cloud den örtlichen Datenschutzgesetzen und -verordnungen entspricht. So kann es etwa in einem Land legal sein, bestimmte personenbezogene Daten zu archivieren – in einem anderen hingegen verboten. Bestimmte Verschlüsselungsverfahren sind nicht in allen Ländern erlaubt oder reguliert.
24/7-Verfügbarkeit: Zu einer zuverlässigen Cloud gehört die Ausfallsicherheit aller beteiligten Systeme und Netze. Sogenannte Downtimes aufgrund von laufenden Updates und technischen Problemen sollten so kurz wie möglich ausfallen.
Sicherheit der erweiterten Infrastruktur: Sind alle Arbeitsplätze sicher und schnell mit der Cloud verbunden? Gibt es ein zuverlässiges Rechtemanagement? Werden vertrauliche Daten aus der Cloud auf dem Transportweg möglicherweise in unsicheren Umgebungen zwischengespeichert? Oder wird dies wirksam verhindert?
Cyber Security für Ihr Business
Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.
Exkurs: Wie sicher ist die Cloud? Fakten und Fiktion
Sie sind sicher schon mit mindestens einer der beiden Aussagen konfrontiert worden:
„Die Cloud ist per se unsicher, um dort Daten und Anwendungen zu speichern.“
“Die Cloud ist absolut sicher und Ihren Daten kann nichts passieren.“
Doch was davon stimmt? Wie so oft gilt es zu differenzieren. Wir stellen einige gängige Behauptungen gegenüber
Fakt: Cloud kann sehr sicher sein. Große Cloud-Anbieter investieren massiv in Sicherheitsinfrastruktur, Zertifizierungen und professionelle Security-Teams. Rechenzentren sind oft besser geschützt als klassische Unternehmensserver.
Fiktion: Daten in der Cloud sind automatisch unsicher. Sicherheitsprobleme entstehen meist nicht durch die Cloud selbst, sondern durch Fehlkonfigurationen, schwache Zugriffsrechte oder mangelnde interne Sicherheitskonzepte.
Fakt: Sicherheit ist eine geteilte Verantwortung. Anbieter sichern die Infrastruktur („Security of the Cloud“). Unternehmen bleiben verantwortlich für Daten, Zugriffe und Konfiguration („Security in the Cloud“).
Fiktion: Ein Cloud-Anbieter übernimmt alle Sicherheitsaufgaben. Ohne eigenes Sicherheitskonzept (z.B. Rechteverwaltung, Back-up, Verschlüsselung) entstehen schnell Risiken.
Fakt: Cloud erhöht die Resilienz. Redundante Systeme und Back-ups können Ausfallsicherheit verbessern. Voraussetzungen sind richtige Nutzung und Konfiguration.
Fiktion: Datenverlust ist in der Cloud ausgeschlossen. Fehlbedienung, Ransomware oder falsche Einstellungen können weiterhin zu Datenverlust führen.
Kurzfazit: Die Cloud ist weder per se sicher noch unsicher. Entscheidend ist, dass Sie als Unternehmen: -
Cloud-Services professionell implementieren
Cloud-Security gewissenhaft betreiben
Ihre Beschäftigten im Hinblick auf Cloud-Computing und damit zusammenhängende Sicherheitsaspekte schulen
Microsoft Defender for Business
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
Welche Cloud-Services gibt es und wie sicher sind sie?
Für das Cloud-Computing haben sich verschiedene Cloudformate und Servicemodelle entwickelt, die sich nach Art und Umfang zum Teil erheblich unterscheiden.
In der Regel mieten Sie bei einem externen Dienstleister ein bestimmtes Leistungspaket an. Ihr Anbieter stellt Ihrem Unternehmen beispielsweise eine Cloudinfrastruktur zur Verfügung, auf der Sie Ihre Daten und Programme hosten. Dieses Paket umfasst auf Wunsch neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicher sowie Frameworks zur Virtualisierung von Computereigenschaften.
Größere Unternehmen errichten manchmal auch ihre eigene Cloud auf eigener Hardware am jeweiligen Unternehmensstandort. Die interne IT-Abteilung, kann dann diese Cloud einrichten und betreiben – aber auch ein externer Dienstleister, als sogenannte „On-Premises“-Lösung mit externem Cloud-Management.
Vorteil: Indem Sie eine Cloud nutzen, reduzieren Sie für Ihr Unternehmen Komplexität und Kosten – so beispielsweise den laufenden Aufwand für regelmäßige Upgrades und Updates sowie die Personalkosten für Betrieb und Wartung.
Bei den Cloud-Services gibt es drei besonders häufig genutzte Typen, die sich nach dem Umfang der vom Cloudanbieter jeweils bereitgestellten und administrierten Software unterscheiden:
Infrastructure-as-a-Service (IaaS)
Hier mieten Sie lediglich die Hardware- und Netzwerkanbindung bei Ihrem Cloud-Anbieter. Darauf installieren Sie dann Ihre eigene Software, inklusive aller Betriebssysteme und der Middleware. Ihr Anbieter verwaltet den zentralen Cloud-Dienst, während Sie Anwendungen, gespeicherte Daten und Laufzeiten dauerhaft selbst administrieren und überwachen.
Für die Sicherheit von Software und Daten sind somit Sie und nicht Ihr Anbieter zuständig. Beispiele sind die Google Compute Engine (GCE) und Amazon Web Services (AWS). Unter Gesichtspunkten der Cloud-Security müssen Sie also auch auf regelmäßige Softwareupdates achten und Firewalls und Antivirensoftware gegebenenfalls selbst installieren.
Platform-as-a-Service (PaaS)
Hier installieren Sie Ihre eigenen Anwendungen auf bereits fertig konfigurierten virtuellen Servern Ihres Cloudanbieters. Beispiele dafür sind die Google App Engine und Microsoft Azure. Sie sind zuständig für Ihre eigenen Anwendungen, Daten, Netzwerke und Berechtigungen und somit auch für deren Schutz.
Ihr Dienstleister hält seine Betriebssysteme auf den bereitgestellten Plattformen aktuell und übernimmt dabei für Sie viele Basisaufgaben der Cloud-Security. Gefahren: Wenn Sie Drittanbieter fehlerhaft in Ihre Netzwerkstrukturen einbinden und Programmierschnittstellen mangelhaft schützen, können Sicherheitslücken entstehen.
Software-as-a-Service (SaaS)
Bei diesem Cloud-Servicemodell nutzen Sie vorinstallierte Business-Anwendungen, die Ihr Cloudanbieter für Sie auf seinen eigenen Servern bereitstellt. Die dahinter liegende Hardware sowie deren Betriebssysteme und Middleware sind für Sie nicht sichtbar. Beispiele hierfür sind Microsoft 365 Business, Google Workspace, Slack und Cisco WebEx.
Hier liegt der Hauptanteil der Cloud-Security-Aufgaben beim Cloudanbieter. Trotzdem sind Sie weiterhin für die Sicherheit Ihrer Daten zuständig, die Sie mit diesen Anwendungen erzeugen und bearbeiten. Ein Nachteil von SaaS: Sie haben wenig Einfluss darauf, wo Ihre Daten während der Bearbeitung zwischengespeichert werden. Unter Gesichtspunkten der DSGVO kann dies ein Problem sein.
Ohne Infrastruktur und Plattform keine Software: Der Zusammenhang zwischen SaaS, PaaS und IaaS ist von hierarchischer Natur.
Noch vergleichsweise neu sind die Cloud-Services Function-as-a-Service (FaaS) und Artifical-Intelligence-as-a-Service (AIaaS).
Mit FaaS nutzen Sie keine vollständige Software, sondern lediglich einzelne Funktionen aus der Cloud, beispielsweise einen Sprache-zu-Text-Konverter für Ihren Kundenchat oder ein Online-Übersetzungstool. Bekannte FaaS-Angebote sind AWS Lambda von Amazon, Google Cloud Functions von Alphabet und die Azure Functions von Microsoft.
Mit AIaaS nutzen Sie künstliche Intelligenz aus der Cloud, die Sie je nach Anbieter auch automatisiert über eine Schnittstelle in vorhandene Anwendungen aus Ihrem Software-Portfolio einbinden können. Es handelt sich bei AIaaS streng genommen um eine Unterart von FaaS.
Für FaaS wie für AIaaS gelten ähnliche Sicherheitsregeln wie bei SaaS: Auch hier sollten Sie unbedingt einen zuverlässigen, etablierten Anbieter auswählen und auf DSGVO-Konformität achten, sobald auch persönliche Daten verarbeitet werden.
Was ist Shared Responsibility?
Ein vorab vereinbartes Shared-Responsibility-Modell regelt, wie die Verantwortung für die Sicherheit in einer Cloud zwischen dem Cloud-Anbieter und dem die Cloud nutzenden Unternehmen aufgeteilt wird. In der Regel gilt:
Der Anbieter ist verantwortlich für:
Die physische Sicherheit der Rechenzentren und Serverräume, in denen die Cloud-Infrastruktur gehostet wird
Die sichere technische Anbindung der Cloud an das Internet oder direkt an das Firmennetz des nutzenden Unternehmens
Die Hardware, auf der die Cloud gehostet wird: also Server, Netzwerk, Datenträger und die darauf je nach Cloud-Service installierte Virtualisierungsebene
Sicherheit und Datenerhalt bei Stromausfällen und Netzwerkstörungen
Das Unternehmen, das die Cloud nutzt, ist verantwortlich für:
Die Sicherheit aller Daten, die in der Cloud gespeichert und verarbeitet werden
Die Benutzerverwaltung und deren Hierarchisierung, inklusive aller Rollen und Passwörter
Je nach gewähltem Cloud-Modell die System-Konfiguration, inklusive: der Betriebssysteme, Netzwerkeinstellungen, Verschlüsselungsprotokolle sowie Software-Firewalls, Antivirenprogramme, etc.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite. Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer Datenschutzerklärung.
Neben den genannten Cloud-Services gibt es auch noch unterschiedliche Cloudmodelle, die Sie untereinander kombinieren können. Auch hier sollten Sie wieder die daraus jeweils resultierenden Risiken für die Cloud-Security kennen.
Diese Modelle gibt es:
Public-Cloud
Viele Kunden nutzen eine Public-Cloud gemeinsam. Sie funktioniert wie ein Hotel für Daten, indem alle Nutzer jeweils ein einzelnes Zimmer für ihren individuellen Cloudbedarf anmieten. Dieser persönliche Bereich in der Public-Cloud ist nur per Passwort von den Bereichen anderer Kunden getrennt.
In einer Public-Cloud können Sie je nach Anbieter Rechenleistung, Infrastruktur, Speicher oder einzelne Anwendungen mieten. Die Fixkosten sind in der Regel gut kalkulierbar und vergleichsweise günstig, da hier viele Kunden dieselben Ressourcen nutzen, was die Public-Cloud sehr wirtschaftlich macht.
Beim Thema Cyber-Sicherheit sind Sie weitgehend auf ihren Dienstanbieter und dessen vorinstallierte Sicherheitsmechanismen angewiesen. Darüber hinaus können Sie Ihre Daten noch einmal zusätzlich per Verschlüsselung sichern. Ihr Unternehmen hat aber insgesamt nur wenig Einfluss auf die dortige Cyber-Security.
Private-Cloud
Als Gegenstück zur Public-Cloud stellt die Private-Cloud exklusive Infrastruktur nur für einen einzelnen Kunden zur Verfügung. Eine Private-Cloud kann je nach Kundenwunsch über das Internet erreichbar sein. Sie kann aber auch direkt an Ihr internes Firmennetz angebunden sein. Sie können die Daten wahlweise auf Ihren eigenen Servern hosten, aber auch auf externer Hardware, die Sie bei einem Dienstleister in dessen Rechenzentrum anmieten.
Insgesamt bietet Ihnen die Private-Cloud deutlich mehr Kontrolle und Sicherheit. Sie ist daher eine gute Lösung, um einen besonders hohen und maßgeschneiderten Datenschutzstandard zu realisieren, der genau zu Ihren Anforderungen und Firmenstandards passt.
Hybrid-Cloud
Mit einer Hybrid-Cloud kombinieren Sie eine Public- mit einer Private-Cloud. Sensible Daten mit hohem Schutzbedarf speichern Sie beispielsweise im abgegrenzten Hochsicherheitsbereich der privaten Cloud. Den öffentlich Public-Cloud-Teil der Hybrid-Cloud nutzen Sie für weniger kritische Geschäftsprozesse und -daten.
Gewöhnlich administriert ein externer Dienstleister eine solche Hybrid-Cloud-Umgebung, sodass Sie kein Inhouse-Personal binden. Diese Lösung ist ein guter Kompromiss aus Wirtschaftlichkeit, Anbieterunabhängigkeit, Flexibilität und Datensicherheit.
Multi-Cloud
Mit der Multi-Cloud verbinden Sie ganz nach Ihrem Bedarf mehrere Public- und Private-Clouds unterschiedlicher Anbieter zu einer großen Firmencloud. Dabei wählen Sie die Einzelkomponenten bedarfsgerecht aus: Von einem Anbieter nehmen Sie beispielsweise eine günstige PaaS-Cloud, von einem zweiten Anbieter eine SaaS-Cloud mit Ihrer bevorzugten Business-Software und beim dritten Anbieter buchen Sie eine Private-Cloud mit besonders hohem Schutzstandard und guter Erreichbarkeit.
Mit der Multi-Cloud sind Sie nicht an einen Provider gebunden und kombinieren die besten am Markt verfügbaren Cloudprodukte. Innerhalb Ihrer Cloud können Sie jederzeit Daten zwischen den einzelnen Teil-Clouds verschieben und beispielsweise externen Partner:innen oder Kund:innen Zugriff darauf gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln deren Verwaltung in einer zentralen Managementkonsole.
ISO 27018 und BSI C5 als Sicherheitsstandards
Innerhalb dieser unterschiedlichen Cloud-Infrastrukturen sorgen Standards für einheitliche und sichere Strukturen – wie die ISO 27018 und der Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die ISO 27018 regelt den Umgang mit personenbezogenen Daten in einer Cloud. Der BSI-Kriterienkatalog C5 beschreibt die technischen und organisatorischen Maßnahmen zur Sicherheit in der Cloud.
Einfache Regeln für die Cloud-Sicherheit
Cloud-Datenschutz unterscheidet sich von den Anforderungen für herkömmlichen IT-Umgebungen in Unternehmen. Ein paar grundsätzliche Regeln und Tipps helfen dabei, sich in Sachen Cloud-Datenschutz zu orientieren:
Geteilte Verantwortung: Im Gegensatz zu privaten Rechenzentren ist in der Public-Cloud der Anbieter für die Datensicherheit verantwortlich.
Zugriffsmanagement: In heterogenen Umgebungen ist ein sicheres Zugriffsmanagement (Identity & Access Management, IAM) entscheidend dafür, kritische Unternehmenssysteme vor unbefugtem Zugriff zu schützen.
Verschlüsselung: Um Daten in einer Cloud zu schützen, ist eine effektive Verschlüsselung wichtig.
Endpunktsicherheit: Cloud-Dienste führen dazu, dass Zugriffe vermehrt über Browser und persönliche Geräte erfolgen. Diese entsprechend abzusichern, gehört zu den Aufgaben von Cloud-Security.
Schulung und Qualifikation: Basis für eine funktionierende Cloud-Sicherheit im Unternehmen ist, dass Mitarbeitende professionell mit den Cloud-Anwendungen umgehen und für Anomalien und Malware-Gefahren sensibilisiert sind.
Grafische Darstellung unterschiedlicher IT-Themen im Unternehmen, deren Anbindung an die Cloud-Security Liniengrafiken mit Verknüpfungspunkten symbolisieren.
Diese Möglichkeiten gibt es noch
Richtig konfiguriert bietet eine Firmen-Cloud die gleiche Sicherheit wie On-Premises-Lösungen. Dabei ist eine Cloud in der Regel deutlich wirtschaftlicher, besser skalierbar und auch noch leichter an neue Technologien anzupassen. Letzteres können beispielsweise sein:
Business-Software aus der Cloud in die eigene Cloud integrieren: Hierbei mieten Sie günstig Softwarepakete für jeden Ihrer Arbeitsplätze, behalten Ihre Daten dabei aber stets in Ihrer eigenen Private Cloud und haben somit die volle Kontrolle darüber.
Künstliche Intelligenz und andere FaaS-Dienste einfach einbinden: Mit einer agilen Unternehmens-Cloud haben Sie immer die benötigte Rechenleistung, um alle KI-Funktionen verzögerungsfrei zu nutzen, etwa über entsprechende Programmierschnittstellen wie die ChatGPT-API. Das ist beispielsweise dann praktisch, wenn nach einem Produktlaunch besonders viele Anfragen von Kund:innen bei Ihnen eingehen und Ihr KI-gestützter Kundenchat stärker ausgelastet ist.
Neue Sicherheitstechnologien unternehmensweit integrieren: Per Fernwartung können Sie Sicherheitstechnologien schnell einrichten, beispielsweise von aktualisierten Firewalls mit künstlicher Intelligenz und optimierter Stateful Packet Inspection (SPI). Sie müssen diese also nicht mehr auf allen Endgeräten einzeln installieren, sondern starten sie in der Cloud direkt aus virtuellen Softwarecontainern.
Vodafone Business Security Services
Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.
Was sind die wichtigsten Vorteile einer sicheren Cloud?
Cloud-Services bieten handfeste Vorteile für Unternehmen, beispielsweise preisgünstigen und jederzeit erweiterbaren Speicherplatz. Mithilfe der Cloud können Sie viele Anwendungen inzwischen ohne lästiges Installieren direkt online ausführen. Auch der Aufwand für regelmäßige Software-Updates fällt damit weg.
Nach Erhebungen der Wirtschaftsprüfungsgesellschaft KPMG nutzen inzwischen 97 Prozent aller deutschen Unternehmen mit mindestens 50 Beschäftigten das Cloud-Computing und sparen dadurch Zeit und Geld. Doch jede neue Technologie birgt auch Risiken. Daher müssen Sie auch Ihre Unternehmens-Cloud sorgfältig gegen Datendiebstahl, Datenverlust und andere Gefahren schützen.
Herausforderungen von Cloud-Security
Frühere IT-Lösungen arbeiteten oft mit einem zentralen Rechenzentrum auf dem Unternehmensgelände und vielen Endgeräten, die logisch darum herum in Büros und Produktion angeordnet waren. Es gab enge Grenzen, um diese zu erweitern oder von außen zu erreichen.
Aus dem einst starren Ethernet-basierten Firmennetzwerk mit homogenen, Windows-basierten Arbeitsplätzen und zentralen Servern ist inzwischen vielerorts ein lebendiges und konvergentes Firmennetzwerk geworden. Dieses Netzwerk ändert seine Struktur permanent – beispielsweise, indem es temporär VPN-Verbindungen aufbaut; oder durch lokale Campus-, Mikro- und Ad-Hoc-Netzwerke, die es ganz nach Bedarf einbinden und wieder ersetzen kann.
Cloud und Edge Computing schaffen hierfür auf Firmenseite die notwendige Dateninfrastruktur für diese sich verändernden Datenverkehre. Die Anforderungen an die Cloud-Sicherheit sind auch deshalb deutlich höher, weil immer mehr unterschiedliche Prozesse, Endgeräte und Netze auf Ihre Infrastruktur zugreifen.
Dadurch sind allerdings auch Cyberattacken von Hacker:innen schwerer zu identifizieren. Angriffe tarnen sich beispielsweise als Kundenanfragen über das Chat-Interface auf Ihrer Webseite und versuchen hierüber Schadcode in Ihre Firmencloud einzuschmuggeln. Oder die Angreifer:innen nutzen künstliche Intelligenz und automatisierte Angriffsprogramme, um sich wie Unternehmensmitarbeiter:innen über ein Virtuelles Privates Netzwerk (VPN) oder das Firmen-WLAN einer Zweigstelle einzuwählen. Dabei testen sie mit hohem Tempo alle komprimierten Passwörter aus, die sie im Darknet finden.
Es reicht also nicht mehr aus, Firmennetze allein mittels eines dedizierten Firewall-Servers am einzigen Internetzugangspunkt im Rechenzentrum des Unternehmens zu schützen. Cloud-Security muss hierüber hinausgehen und Unternehmensdaten in jede Richtung und gegen alle nur denkbaren Angriffsvektoren schützen.
Wie funktioniert Cloud-Security?
Cloud-Security basiert auf fünf Säulen:
Identity and Access Management (IAM): Nutzerkonten sichern alle Anwendungen und Dateiverzeichnisseab. Alle Zugriffe werden außerdem protokolliert.
Verschlüsselung: Alle Datenverkehre innerhalb der Cloud werden verschlüsselt abgewickelt und alle Daten anschließend auch verschlüsselt gespeichert. Sichere Protokolle ersetzen unsichere Anmeldeprotokolle.
Netzwerksicherheit: Der Datenverkehr aus der Cloud heraus wird auf allen Netzwerkebenen überwacht und geschützt.
Monitoring: Intrusion Detection-Anwendungen und weiterer KI-basierter Tools überwachen die gesamte Cloud ständig auf verdächtige Zugriffe.
Back-up: Wichtige Geschäftsdaten werden regelmäßig per Back-up gesichert. Je nach Kritikalität für den Geschäftsbetrieb werden Daten und Anwendungen so gesichert, dass sie auch im laufenden Betrieb wiederhergestellt werden können (Cloud-Disaster-Recovery).
Was ist Security-as-a-Service?
Die Angebote der Cloud Security Alliance fallen bereits unter den Begriff Security-as-a-Service (SECaaS). Mit diesem Service externer Dienstleister können Sie beispielsweise Ihren Datenverkehr von und zu Ihrer Cloud überwachen und analysieren. Des Weiteren können Sie damit Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren.
Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen.
Garantierte Sicherheit: Private-Cloud-Angebote von Vodafone
Legen Sie bei Cloud-Anwendungen Wert auf garantierte Sicherheit? Dann ist die Private Cloud genau die richtige Lösung für Sie. Denn genau das bietet die auf Ihre Ansprüche zugeschnittene IT-Infrastruktur in unserem Tier3+-Rechnzentrum in Frankfurt.
Unsere Private-Cloud-Angebote sind einfach und flexibel skalierbar – passgenau zu Ihrem Business-Bedarf. So ist Ihr Unternehmen allen Anforderungen in einem dynamischen Markt gewachsen und haben dabei stets Ihre Kosten und Ressourcen im Blick.
Cloud-Security unterscheidet zwischen verschiedenen Sicherheitslösungen, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:
Hybride Cloud-Sicherheitslösungen
Wenn Sie EDV in eine Hybrid Cloud verlagern, kombinieren Sie die sicherheitstechnischen Vorzüge von Private- und Public Cloud. Dazu gehören zum Beispiel
Mögliche Mikrosegmentierung
Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen
Dauerhaftes Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter
Sicherheitslösungen für kleine und mittlere Unternehmen (KMU)
Auch KMU nutzen immer häufiger Cloud-Computing. Sie benötigen aber meist keine so komplexe Cloud-Architektur wie große multinationale Firmen, sondern setzen auf flexible Cloud-Lösungen für den Mittelstand.
Für den Schutz besonders sensibler Daten bietet die eine gute Basis. Dazu gehören beispielsweise Adressen und Bankverbindungen von Kund:innen oder persönliche Daten der Mitarbeiter:innen. Solche Daten sollten Sie ausschließlich verschlüsselt speichern. Compliance-Richtlinien erfüllen Sie besonders gut mit einer Sovereign Cloud.
Warum ist Cloud-Sicherheit wichtig?
Während Unternehmen ihre Daten in der Vergangenheit nahezu ausschließlich lokal in eigenen Rechenzentren verwahrt haben, befinden sich Firmendaten heute oft ganz oder zumindest in großen Teilen in der Cloud. Gleichzeitig wachsen die Datenvolumina stetig an. Datenhungrige Services wie Künstliche Intelligenz und Big Data Analytics haben diese Entwicklung zuletzt beschleunigt.
Wenn sich sehr viele Daten an einem Ort oder bei einem Anbieter sammeln, steigt die Gefahr von Cyberangriffen und Datenverlusten: Große Datenmengen sind für Kriminelle attraktiver als kleine. Dabei suchen Angreifer:innen gezielt nach Schwachstellen in der Cloud-Architektur. Cloudanbieter und cloud-nutzende Unternehmen stehen gleichermaßen in der Pflicht, für die Sicherheit der Daten zu sorgen.
Heutige IT besteht aus einer Kombination vieler unterschiedlicher Komponenten, etwa stationäre Rechner, Notebooks, Server usw. Immer mehr Mitarbeitende greifen über ihre eigenen Endgeräte auf die Firmen-Cloud zu – Stichwort: Bring your own Device (BYOD).
Dem steht eine Cloud-Umgebung gegenüber, die über möglichst viele Netze erreichbar sein soll. Die IT-Security steht somit vor vielen Herausforderungen, um Datensicherheit und Schutz vor Angriffen zu gewährleisten.
Folgende Sicherheitswerkzeuge sollten daher für alle Unternehmen obligatorisch sein, die Cloud-Dienste nutzen:
Firewalls: Sieschirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen für Barrieren innerhalb hybrider Architekturen.
Antivirensoftware: Diesescannt alle Systeme nach Viren und beseitigt sie.
Ransomware-Schutz: Spezielle Überwachungsprogramme erkennen rechtzeitig Schadprogramme, die das System kapern und Informationen stehlen oder durch Verschlüsselung unbenutzbar machen (Mal- und Ransomware).
Zwei-Faktor-Authentifizierung: Die doppelte Anmeldung verifiziert die Identität von Nutzer:innen durch zwei voneinander unabhängige Prüfverfahren.
Wie Sie Ihre Cloud absichern
Wenn Sie in Ihrem Unternehmen die Vorteile einer Cloud nutzen möchten, sollten Sie im Rahmen Ihrer Cloud-Security-Überlegungen folgende Punkte beachten:
Bedürfnisse: Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zur internen Verwendung? Oder sind Sie auf umfangreiche Public- oder Hybrid Cloud-Lösungen angewiesen, etwa für die Kommunikation mit Ihren Kund:innen? Wie sollen alle Zugriffe auf Ihre Cloud und deren einzelne Bereiche behandelt werden? Ist dabei vielleicht eine Zero-Trust-Strategie sinnvoll?
Verantwortung: Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und Ihrem Cloud-Anbieter aufgeteilt? Alle Verantwortlichkeiten sollten lückenlos im Cyber Security Assessment (CSA) und den Service-Level-Agreements (SLA) beschrieben sein.
Sicherheit: Für Ihre Cloud-Security sollten Sie genau definieren, welche Sicherheitsstandards bei Ihnen eingehalten werden sollen und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese Umgebung auch zu Ihrer bereits bestehenden Infrastruktur?
Externe Expertise: Verteilen Sie die Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und Ihrem Cloud-Anbieter; und ziehen Sie eventuell zusätzlich externe oder interne Expert:innen hinzu.
DSGVO & Datenschutz: Sichere Daten in der Cloud
Insbesondere KMU stellt der DSGVO-konforme Datenschutz vor große Herausforderungen. Diese Punkte sind dabei besonders wichtig:
Wahl eines sicheren Datenstandortes: Bei vielen Cloud-Produkten ist der tatsächliche Standort der Daten unbekannt. Günstige Public-Clouds können beispielsweise in datenschutzrechtlich unsicheren Ländern liegen oder beliebig auf verschiedene Standorte verteilt sein. Über ein Data-Processing-Agreement (DPA) vereinbaren Sie mit Ihren Cloud-Anbieter einen datenschutzkonformen Speicherort für Ihre Daten.
Data Protection by Design & Default: Bei Datenschutz und Cloud-Security setzt die DSGVO hohe technische Anforderungen. Die Sicherheit persönlicher Daten muss bereits beim Design der Firmen-Cloud und aller darin laufenden Anwendungen von Beginn mitgedacht werden. Maximalen Schutz bietet hier das Prinzip Zero Trust in Kombination mit durchgehender Verschlüsselung und zurückhaltender Rechtevergabe.
Recht auf Vergessenwerden: Der Anspruch auf die Löschung der persönlichen Daten nach einer bestimmten Frist oder nach dem Ende einer Geschäftsbeziehung gehört zu den Grundprinzipien des Datenschutzes. Eine DSGVO-konforme Cloud-Security muss dieses Recht mitberücksichtigen. Bereits gelöschte Daten von Kund:innen dürfen beispielsweise nicht nach einem Datenverlust aus einem älteren Back-up wiederhergestellt werden.
Unser Fazit: Cloud-Security ist essenziell für die Unternehmenssicherheit
Auch in der Cloud müssen Sie Ihre Firmendaten jederzeit schützen und gegen Gefahren wie Datenverlust, Datendiebstahl oder DSGVO-Verstöße bestmöglich absichern.
Wichtige Werkzeuge, mit denen Sie Ihre Daten in der Cloud sicher machen, sind:
Firewalls
Antivirensoftware
Ransomware-Schutz
Zwei-Faktor-Authentifizierung
Ein guter Cloud-Anbieter unterstützt Sie außerdem in allen Fragen der Cyber-Security, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Doch auch die beste Firmen-Cloud ist nur so sicher wie die Prozesse und Schnittstellen, mit denen Sie, Ihre Mitarbeiter:innen und Ihre Kund:innen auf diese Daten zugreifen. Cyber-Security ist eine ganzheitliche Aufgabe, die Sie auf allen Ebenen und innerhalb Ihrer Cloud ebenso wie außerhalb lückenlos umsetzen müssen.
Tipp: Mit einem professionellen Sicherheitskonzept, das alle geschilderten Aspekte der Cloud-Security berücksichtigt, minimieren Sie Risiken und schützen Ihr Unternehmen und Ihren Geschäftsbetrieb bestmöglich.
Cloud-Security: Häufig gestellte Fragen (FAQ)
Cloud-Security beschreibt den Schutz von Daten in einer Cloud und die Summe aller Maßnahmen und Technologien, die zu deren Schutz eingesetzt werden.
Sowohl Cloud-Anbieter wie auch die Kunden dieser Anbieter sind gemeinsam für den Schutz der dort gespeicherten Daten verantwortlich. Entsprechende Verträge regeln hierbei die Zuständigkeiten.
Die DSGVO regelt unter anderem, wo und wie persönliche Daten von Kund:innen, Mitarbeiter:innen oder anderen Personen sicher gespeichert werden dürfen. Daneben kennt sie weitere Schutzrechte, wie das Recht auf Datensparsamkeit oder das „Vergessen der eigenen Daten“ nach dem Ende einer Geschäftsbeziehung. Alle diese Vorgaben der DSGVO müssen bereits beim Entwurf einer Firmen-Cloud mitberücksichtigt werden.
Über entsprechende Dienstleistungsverträge können Sie viele Aufgaben rund um die Cloud-Security auf Ihren Cloud-Anbieter übertragen. Doch Ihre Firmen-Cloud ist nur so sicher wie die Prozesse und Schnittstellen, die in Ihrem Unternehmen auf die Cloud zugreifen. Daher verbleibt ein Teil der Verantwortung für den Schutz Ihrer Cloud-Daten immer auch bei Ihnen.
Cloud-Speicher: So funktioniert die Online-Datenverwaltung
Viele Unternehmen stehen vor einem Problem: Bei einer täglich rasant wachsenden Datenmenge kommen sie bei der Erweiterung ihrer Speicherbestände kaum noch hinterher. Immer größere Serverräume müssen eingerichtet und qualifiziertes Personal angeheuert werden. Das kostet Zeit und viel Geld. Hier bieten externe Cloud-Speicher eine gute Lösung.
Heute lagern viele Unternehmen Daten, Geschäftsprozesse oder sogar ihre Telefonanlagen in cloudbasierte Speichersysteme aus. Auf diese Art nutzen sie konsequent die Vorteile dezentraler Services, um die eigene Produktivität zu steigern und die Datensicherheit zu erhöhen. Hier lesen Sie, was Cloud-Speicher sind, wie sie funktionieren und wie auch Ihr Unternehmen davon profitieren kann.
Wie Sie den für Ihr Unternehmen richtigen Cloud-Speicher-Anbieter finden, erfahren Sie in einem anderen Beitrag hier im V-Hub.
Geschäftsanwendungen laufen immer häufiger in der Cloud. Die Ressourcen dafür stellen Anbieter nicht wie früher auf einzelnen Servern bereit, sondern per Cloud-Hosting in einem Verbund aus virtuellen und physischen Cloud-Servern. Doch was bedeutet das genau?
Unternehmen vernetzen zunehmend Standorte, Homeoffices und mobile Geräte miteinander. Secure-Access-Service-Edge (SASE) stellt Sicherheitsfunktionen direkt im Netzwerk am jeweiligen Bedarfspunkt bereit und ermöglicht so schnellere Reaktionszeiten bei Bedrohungen.
Beim Serverless Computing übernimmt Ihr Cloud-Anbieter das Server-Management und stellt Ihnen Rechenleistung skalierbar zur Verfügung. So können Sie sich ganz auf Software und Programmierung konzentrieren. Wie das funktioniert und was das für Ihr Unternehmen bedeutet, erfahren Sie hier.
Geopolitische Spannungen, strengere regulatorische Vorgaben und steigende Anforderungen an Datenschutz und Transparenz: Für viele Unternehmen ist die Cloud längst mehr als nur eine technologische Infrastrukturentscheidung.
Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.
