V-Hub by Vodafone BusinessCloud & HostingCloudCloud-Security: Alles zum Thema Sicherheit in der Datenwolke
Linien vernetzen durch Logos symbolisierte IT-Themen. Eines der Elemente zeigt ein Schloss, dass sich auf den Fingertipp einer Person öffnet.
Cloud & Hosting

Cloud-Security: Alles zum Thema Sicherheit in der Datenwolke

Portrait von Ulrich SchmitzUlrich Schmitz
31.03.2023
17 Min.

    Nutzt Ihr Unternehmen bereits Cloud-Services? Dann ist das Thema Cloud-Security für Sie von besonderer Bedeutung. Wie der Name bereits suggeriert, widmet sich Cloud-Security der Sicherung von Cloud-Computing-Systemen. Als Fachgebiet der Cyber-Sicherheit umfasst dies eine Vielzahl von Einzelmaßnahmen. Sie sollen vor Risiken wie Datenverlust, unrechtmäßigem Zugriff und dem Ausfall der Cloud-Services schützen. Zusätzlich gewährleistet Cloud-Security auch die Einhaltung der gesetzlichen Datenschutzbestimmungen. Was Sie dazu wissen müssen, lesen Sie hier.

    Nach Angaben des Branchenverbands Bitkom nutzten im vergangenen Jahr 84 Prozent aller deutschen Unternehmen Cloud-Services. Gleichzeitig arbeiten immer mehr Arbeitnehmer:innen im Homeoffice und greifen von dort auf die Unternehmens-Cloud zu. Cloud-Sicherheit ist nicht zuletzt dadurch zu einem großen IT-Thema und einer zentralen Disziplin der geschäftlichen IT-Sicherheit geworden.

    Doch was bedeutet Cloud-Sicherheit konkret? Wie schützen Sie Ihre Unternehmensdaten in der Datenwolke und wie sehen passende Cloud-Security-Lösungen für Unternehmen aus? Wir erklären es Ihnen in diesem Artikel.

    Inhaltsverzeichnis

    Was ist Cloud-Security?Wie sicher sind Cloud-Services?Wie funktioniert Cloud-Security?Passende Cloud-Security-Lösungen für Unternehmen

    Was ist Cloud-Security?

    Beim Thema Cloud-Sicherheit denken viele Nutzer:innen zuerst an die Datensicherheit in der Cloud. Doch zur Cloud-Sicherheit (oder englisch: Cloud-Security) gehört mehr: Cloud-Sicherheit umfasst Verfahren und Technologien zur Abwehr externer und interner Bedrohungen der Unternehmenssicherheit. Dazu gehört ein breites Spektrum an Richtlinien, Technologien, Anwendungen und Kontrollprozessen.
    Sämtliche Maßnahmen dienen dabei dem Schutz von Daten, Anwendungen, Diensten (Cloud-Services) und der Infrastruktur innerhalb des Cloud-Computings. Einige der wichtigsten Punkte einer funktionierenden Cloud-Security sind:
    Abhörsicherheit: Bei der Wahl eines Cloud-Anbieters sollten Unternehmen unbedingt darauf achten, ob der Anbieter auch Serverstandorte außerhalb der EU beziehungsweise in den USA unterhält. Existieren Cloud-Server in den USA, so erhält die US-Regierung durch den „CLOUD Act” auf Anfrage Zugang zu gespeicherten Daten in der Cloud. Die Weitergabe von personenbezogenen Daten an US-Behörden im Rahmen des CLOUD-Act widerspricht den Regelungen, wie sie in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind. Dies kann für Unternehmen zu Problemen führen, da nach Artikel 82 der DSGVO das Recht besteht, in so einem Fall gegen den Verantwortlichen sowie Auftragsdatenverarbeiter vorzugehen. Die Wahl eines Cloud-Anbieters ist daher immer eng mit dem Datenschutzbeauftragten des Unternehmens abzustimmen.
    Zugangskontrolle: Strukturierte Nutzer-Hierarchien regeln jederzeit, wer Zugriff auf welche Daten hat. Welche Daten können Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen einsehen? Auf welche sensiblen, sicherheitsrelevanten Daten und Prozesse kann ausschließlich die IT oder die Geschäftsführung zugreifen? Gibt es persönliche Daten von Kund:innen oder Mitarbeiter:innen, die gemäß DSGVO nur einem bestimmten Nutzerkreis offenstehen?
    Cyber-Sicherheit: Cloud-Security bedeutet auch Schutz gegen Veränderung und Sabotage. Das umfasst das Einbringen von Schadsoftware wie Würmern oder Viren ebenso wie die räuberische Verschlüsselung von Daten, um „Lösegeld“ zu fordern (Ransomware). Aber auch die unbemerkte und gezielte Kompromittierung von Unternehmensdaten kann hier Thema sein. Dabei gewährleisten Services wie Cloud-Application-Security die entsprechende Applikationssicherheit.
    Rechtliche Aspekte am Standort: Sicherheit ist immer auch im Kontext des physischen Datenstandortes zu sehen. Es ist stets zu prüfen, ob die jeweils gewählte Cloud den örtlichen Datenschutzgesetzen und -verordnungen entspricht. So kann etwa das Archivieren von bestimmten personenbezogenen Daten in einem Land legal, in einem anderen hingegen verboten sein. Auch der Einsatz von Verschlüsselungsverfahren ist nicht in allen Ländern erlaubt beziehungsweise je nach Einsatzzweck reguliert.
    24/7-Verfügbarkeit: Der Zugriff auf Unternehmensdaten muss rund um die Uhr gewährleistet sein. Eine sichere Cloud bedeutet auch die Ausfall-Sicherheit aller beteiligten Systeme und Netze.
    Die Instrumente der Cloud-Security dienen in erster Linie zur Absicherung der gespeicherten Daten und Anwendungen sowie der Cloud-Umgebungen an sich. Auch der lokale Arbeitsplatz zum Zugriff auf die Cloud sowie alle mit der Cloud-Architektur in Verbindung stehenden IT-Komponenten sind daher zu schützen.
    Die in der Cloud abgelegten Daten befinden sich häufig nicht im direkten Einflussbereich der Dateneigentümer:innen. Public- oder Hybrid-Cloud-Lösungen sind im Unterschied zu reinen Private-Cloud-Lösungen zudem über das öffentliche Internet erreichbar.
    Junge Frau am Laptop nutzt Cloud-Services

    Whitepaper: Cloud Security

    Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

    • Veränderte Sicherheitsarchitekturen
    • Neue Verantwortlichkeiten
    • Studien, Insights und Praxisbeispiele
    • Zero Trust & Co. als Sicherheitsmodelle

    Wie sicher sind Cloud-Services?

    Um herauszufinden, wie sicher die Nutzung von Cloud-Diensten (englisch: Cloud-Services) ist und welche Form der Cloud-Security sich für Ihr Unternehmen eignet, sollten Sie die verschiedenen Arten von Cloud-Services kennen. Dies umfasst sowohl die Frage der Zugänglichkeit von Daten aus dem öffentlichen oder privaten Raum als auch die Eigentumsverhältnisse in Bezug auf die bereitgestellte Cloud-Umgebung und deren Komponenten.
    Dabei stellt sich die Frage, wie sicher Cloud-Dienste tatsächlich sind. Grundsätzlich ist ein Cloud-Service immer die Leistung eines externen Anbieters. Dieser stellt Ihrem Unternehmen die Infrastruktur zur Verfügung, um darauf Ihre Daten und Programme zu hosten. Dies umfasst neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicher sowie Frameworks zur Virtualisierung von Computer-Eigenschaften.
    Vorteil: Durch einen Cloud-Service entfallen für Ihr Unternehmen teure Investitionen in Hardware und Netzwerkinfrastruktur sowie laufende Kosten für regelmäßige Upgrades bzw. Updates und Personalkosten für Wartung.
    Bei den Cloud-Services gibt es drei unterschiedliche Typen:
    • Software-as-a-Service (SaaS): Anwendungen die auf den Servern eines externen Anbieters laufen (wie Microsoft 365 Business, Google Workspace, Slack oder Cisco WebEx). Herausforderungen in punkto Sicherheit bestehen in der Komplexität und der wachsenden Zahl von Cloud-Anwendungen bei diesem Anwendungstyp.
    • Platform-as-a-Service (PaaS): Möglichkeit zur Entwicklung eigener Anwendungen; Auf den Servern des Anbieters, in denen Sie eigene Anwendungen, Daten, Netzwerke und Berechtigungen speichern und verwalten können. Bekannte Beispiele dafür sind die Google App Engine und Microsoft Azure. Die Einbindung von Drittanbietern in die Netzwerkstrukturen und mangelhafte geschützte Programmierschnittstellen können Sicherheitslücken verursachen.
    • Infrastructure-as-a-Service (IaaS): Hardware- und Netzwerkanbindung durch Cloud-Anbieter, auf denen Sie nahezu Ihre komplette EDV unterbringen können, inklusive der Betriebssysteme. Die Anbieter verwalten dabei lediglich den zentralen Cloud-Dienst, während Sie alle Anwendungen, Daten und Laufzeiten selbst administrieren. Für die Sicherheit von Software und Daten sind somit Sie und nicht die Anbieter zuständig. Beispiele sind die Google Compute Engine (GCE) und Amazon Web Services (AWS). Die komplette Verlagerung der Infrastruktur in die Cloud benötigt in Unternehmen angepasste Strategien für deren Sicherheit.
    SaaS, PaaS und IaaS im hierarchischen Vergleich
    Ohne Infrastruktur und Plattform keine Software: Der Zusammenhang zwischen SaaS, PaaS und IaaS ist von hierarchischer Natur.

    Cloud-Infrastruktur und das Thema Sicherheit

    Die verschiedenen Cloud-Umgebungen decken unterschiedliche Anwendungsszenarien ab. Cloud Security muss dabei die Besonderheiten im Public-, Private- und Hybrid-Cloud-Umfeld berücksichtigen. Folgendes sollten Sie je nach Cloud-Umgebung bedenken:
    • Public-Cloud: Diese Form der Cloud ist über das Internet zugänglich. Die Services stehen bedarfsgerecht nicht einzelnen Organisationen, sondern allen registrierten Anwender:innen mit jeweils eigenen Workspaces zur Verfügung. In Public-Clouds können Sie Rechenleistung, Infrastruktur, Speicher oder Anwendungen mieten. Die Fixkosten sind für Sie je nach Leistungsumfang gut kalkulierbar. Investitionen in eigene Infrastruktur oder Software sind nicht notwendig. Beim Thema Cyber-Sicherheit sind Sie hier jedoch grundsätzlich auf die vertrauliche Behandlung der übermittelten Daten durch den Dienstanbieter und dessen Sicherheitsmechanismen angewiesen. Ihr Unternehmen hat also nahezu keine Kontrolle über die gespeicherten Daten.
    • Private-Cloud: Als Gegenstück zur Public-Cloud stellt dieser Cloud-Service seine Infrastruktur ausschließlich für eine einzelne Organisation zur Verfügung. Sie ist ohne die korrekten Zugangsdaten nicht über das Internet erreichbar und bietet damit mehr Kontrolle und Sicherheit. Die Private-Cloud kann auf eigenen oder externen Servern gehostet werden, für die modellabhängige Kosten anfallen. Eine Private-Cloud ist eine gute Lösung, wenn Sie strenge Datenschutzvorgaben erfüllen müssen.
    • Hybrid-Cloud: Diese Cloud-Lösung vereint die Vorteile von Public- und Private-Cloud. So können Sie sensible Daten, die besonderen rechtlichen Bestimmungen unterliegen, im abgegrenzten Bereich der privaten Cloud speichern. Der öffentlich zugängliche Teil der Hybrid-Cloud integriert hingegen die unkritischen Geschäftsprozesse und -daten. Gewöhnlich administriert ein externer Dienstleister eine Hybrid-Cloud-Umgebung, sodass Sie kein Inhouse-Personal binden müssen. Diese Lösung gilt häufig als idealer Kompromiss zwischen Anbieterunabhängigkeit, Flexibilität und Sicherheitsaspekten.
    • Multi-Cloud: Die Kombinationslösung mehrerer Cloud-Dienste versammelt unter dem Begriff Multi-Cloud nach eigenem Bedarf zusammengestellte Public- und Private-Clouds unter einem gemeinsamen Dach. Sie können so die Angebote verschiedener Cloud-Anbieter parallel nutzen und sind dabei nicht an einen einzelnen Provider gebunden. Innerhalb dieser Struktur können Sie Daten zwischen den verschiedenen Clouds verschieben und externen Partner:innen oder Kund:innen einfacher Zugriff gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln sie in einer zentralen Managementkonsole.
    Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

    Risikofreies Cloud-Computing: Vodafone Total Cloud Security

    Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

    Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

    Mehr zu Vodafone Total Cloud Security

    ISO 27018 und BSI C5 als Sicherheitsstandards

    Innerhalb dieser unterschiedlichen Cloud-Infrastrukturen sorgen Standards wie die ISO 27018 und der Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für einheitliche und sichere Strukturen. Die ISO 27018 regelt den Umgang mit personenbezogenen Daten in einer Cloud. Der BSI-Kriterienkatalog C5 beschreibt die technischen und organisatorischen Maßnahmen zur Sicherheit in der Cloud.

    Einfache Regeln für die Cloud-Sicherheit

    Cloud-Datenschutz unterscheidet sich von den Anforderungen für herkömmlichen IT-Umgebungen in Unternehmen. Ein paar grundsätzliche Regeln und Tipps helfen dabei, sich in Sachen Cloud-Datenschutz zu orientieren:
    Geteilte Verantwortung: Im Gegensatz zu privaten Rechenzentren ist in der Public-Cloud der Anbieter für die Datensicherheit verantwortlich.
    Zugriffsmanagement: In heterogenen Umgebungen ist ein sicheres Zugriffsmanagement (IAM) entscheidend dafür, kritische Unternehmenssysteme vor unbefugtem Zugriff zu schützen.
    Verschlüsselung: Ein wesentlicher Aspekt zum Schutz der Daten in einer Cloud ist eine effektive Verschlüsselung.
    Endpunktsicherheit: Cloud-Dienste führen dazu, dass Zugriffe vermehrt über Browser und persönliche Geräte erfolgen. Diese entsprechend abzusichern, gehört zu den Aufgaben einer Cloud-Security.
    Schulung und Qualifikation: Professioneller Umgang mit den Cloud-Anwendungen sowie eine Sensibilisierung für Anomalien und Malware-Gefahren sind die Basis einer funktionierenden Cloud-Sicherheit im Unternehmen.
    Grafische Darstellung unterschiedlicher IT-Themen im Unternehmen, deren Anbindung an die Cloud-Security Liniengrafiken mit Verknüpfungspunkten symbolisieren.
    Grafische Darstellung unterschiedlicher IT-Themen im Unternehmen, deren Anbindung an die Cloud-Security Liniengrafiken mit Verknüpfungspunkten symbolisieren.

    Wie funktioniert Cloud-Security?

    Mechanismen der sogenannten Cloud-Security sollen die Nutzung der Cloud absichern. Dabei stehen vier Bereiche im Mittelpunkt:
    1. Datenwiederherstellung bei Datenverlust
    2. Schutz vor Datendiebstahl
    3. Verhinderung von Datenlecks
    4. Sicherung bei Systemkompromittierung
    Besondere Tools sollen für die Sicherheit der Cloud sorgen, indem sie den Zugang und die Sichtbarkeit der Daten regulieren. Während des Transfers sind VPNs (Virtuelle Private Netzwerke) für den Datenschutz zuständig – vor allem bei den Cloud-Modellen abseits der Public-Cloud.
    Ergänzend kommen Steuerungsstrategien zur Prävention, Erkennung und Beseitigung von Bedrohungen für die Cloud hinzu. Diese beinhalten sowohl die internen Abwehrmechanismen einer Cloud-Umgebung als auch die besondere Schulung des Nutzerverhaltens. Daneben spielen die technischen Wiederherstellungsmaßnahmen im Falle eines Datenverlustes (Cloud-Disaster-Recovery) eine wichtige Rolle. Weitere Fail-safe-Systeme garantieren einen unterbrechungsfreien Betrieb, überwachen Back-ups und sorgen für die Anleitung von Mitarbeiter:innen im Fall einer notwendigen Datenwiederherstellung.
    Achtung: Bei der Planung einer Unternehmens-Cloud sollten Sie vor allem die Gesetzeslage prüfen. Der Schutz von Daten und Benutzerinformationen ist in vielen Staaten mittlerweile klar reguliert. Fallen die von Ihnen verarbeiteten Daten beispielsweise unter die Bestimmungen der DSGVO, stellen Sie sicher, dass der von Ihnen gewählte Cloud-Anbieter für eine entsprechende Verwahrung und Verschlüsselung der Daten sorgt.
    Arbeiten am Tablet im Gegenlicht

    Vodafone Cloud-Backup für Microsoft 365

    Als Cloud-Native-Lösung sichert das Vodafone Cloud-Backup für Microsoft 365 zuverlässig Ihre Office-Daten vor alltäglichen Risiken. Denn jeder Datenverlust kostet Sie wertvolle Zeit und somit Geld. Ihre Vorteile im Überblick:

    • Backup für alle Microsoft 365-Anwendungen
    • Einfache Suche & schnelle Wiederherstellung
    • Compliance-konform und sicher

    Die Rolle der Cloud Security Alliance (CSA)

    Um die Sicherheit von Clouds zu überprüfen, entstand im Jahr 2008 die „Cloud Security Alliance“ (CSA). Dabei handelt es sich um einen gemeinnützigen Zusammenschluss von global agierenden Unternehmen, der die Absicherung von Cloud-Umgebungen anhand von Best-Practice-Beispielen kontrolliert. Die Einhaltung und Entwicklung verbindlicher Sicherheitsstandards bei Cloud-Services sind ein wichtiges Ziel der CSA.
    Durch die Schulung von Anwender:innen sowie die Beratung von Softwarefirmen sollen zusätzliches Know-How und Bewusstsein für die wichtigsten Aspekte der Cloud-Security vermittelt werden. Zu diesem Zweck bietet die CSA ein Toolkit an, was die Sicherheit von Public- und Private-Clouds überprüfen kann.

    Was ist Security-as-a-Service?

    Die Angebote der Cloud Security Alliance fallen bereits unter den Begriff Security-as-a-Service (SECaaS). Durch diesen Service externer Dienstleister können Sie beispielsweise den Datenverkehr von und zu einer Cloud überwachen und analysieren. Des Weiteren können Sie so Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren. Interne Sicherheitsvorkehrungen können Sie auf diese Weise auch auf externe Cloud-Umgebungen anwenden.
    Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen und Policies verwalten, was Ihnen zusätzlich Aufwand und somit im Verhältnis Kosten spart.

    Passende Cloud-Security-Lösungen für Unternehmen

    Cloud-Security unterscheidet zwischen verschiedenen Sicherheitslösungen, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:
    • Hybride Cloud-Sicherheitslösungen: Die Verlagerung der EDV in eine Hybrid-Cloud bringt für Unternehmen den Vorteil, die Vorzüge von Private- und Public-Cloud miteinander zu kombinieren. Für eine durchgängige Sicherheit aller Plattformen und Endgeräte, die mit der Cloud kommunizieren, sind verschiedene Maßnahmen notwendig. Bei Hybrid-Cloud-Lösungen verwendete Methoden können den Sicherheitsstandard für Unternehmen deutlich erhöhen. Dazu gehören zum Beispiel Mikrosegmentierung, die Vereinfachung von Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen sowie ein Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter.
    • Sicherheitslösungen für kleine und mittlere Unternehmen (KMU): Auch KMU nutzen immer häufiger Cloud-Computing, benötigen aber meist keine komplexe Cloud-Architektur. Für den besten Schutz sensibler Daten bietet die Private-Cloud eine gute Basis. Dort sollten Sie ausschließlich verschlüsselte Unternehmensdaten speichern. Gesetzesvorgaben und Compliance-Richtlinien können Sie auf diese Art gut und kostengünstig erfüllen. Die Cloud kann zudem ausschließlich für denjenigen Bereiche und Mitarbeiter:innen des Unternehmens zugänglich sein, die sie auch tatsächlich benötigen. In diesem Zusammenhang empfiehlt sich zudem die gewissenhafte Sicherung von Zugangsdaten zur Cloud auf Unternehmensrechnern und mobilen Endgeräten. Das beugt unbefugtem Zugriff auf die Cloud vor.
    • Cloud-Sicherheitslösungen für große Unternehmen: Große, global agierende Unternehmen stehen vor besonderen Herausforderungen hinsichtlich der Sicherheit ihrer Cloud-Architektur. Sie benötigen häufig eine Public-Cloud für eine einheitliche Zugänglichkeit durch Geschäftspartner und Kund:innen, unterliegen gleichzeitig aber möglicherweise unterschiedlich strengen Richtlinien hinsichtlich des Datenschutzes (beispielsweise in der EU und den USA). Was bereits für KMU gilt, ist hier für multiple und komplexe Hybrid-Cloud-Lösungen in einer ganzheitlichen Sicherheitsstrategie zu erfassen. Dabei legen speziell geschulte IT-Mitarbeiter:innen Cloud-Security-Standards und Richtlinien fest und setzen diese um. Alternativ lassen sich externe Expert:innen in den Prozess mit einbeziehen.
    Das Bild zeigt eine Hand unter einer symbolischen Wolke

    Flexibel, skalierbar und sicher: Vodafone Cloud- und Hosting-Services

    Sie suchen Cloud-Lösungen, die sich individuell und flexibel entsprechend Ihrer Business-Anforderungen anpassen lassen?

    Bei der Sie bei Bedarf alle Services aus einer Hand erhalten und sich über Performance und Datensicherheit keine Gedanken machen müssen?

    Gerne helfen wir Ihnen bei der Auswahl der passenden Cloud & Hosting Services für Ihr Unternehmen und unterstützen Sie mit Informationen, worauf es anderen Unternehmen bei der Auswahl eines passendens Cloud-Anbieters ankommt. 

    Mehr Informationen zu Cloud & Hosting Services

    Warum ist Cloud-Sicherheit wichtig?

    Die Speicherung geschäftlicher und privater Daten hat sich seit der Jahrtausendwende grundlegend gewandelt: Während Unternehmen ihre Daten in der Vergangenheit nahezu ausschließlich lokal gespeichert haben, befinden sie diese heute zu einem großen Teil in der Cloud.
    So wandern immer mehr Daten jedweder Art in die Cloud. Doch mit der Ansammlung sehr vieler Daten an einem Ort oder bei einem Anbieter steigt die Gefahr von Angriffen und/oder massiver Datenverluste: Große Datenmengen sind für Cyberkriminelle attraktiver als kleine, fragmentierte Datenbestände. Aus diesem Grund suchen diese gezielt nach Schwachstellen in der Cloud-Architektur. Anbieter wie Anwender:innen stehen also gleichermaßen in der Pflicht, für die Sicherheit der Daten in der Cloud zu sorgen.
    Heutige IT besteht gewöhnlich aus einer Kombination lokaler Komponenten (stationäre Rechner, Notebooks, Server usw.) sowie der IT einer Cloud-Umgebung (intern oder extern). Beide Architekturen sind meist miteinander verwoben und stehen in komplexen Verhältnissen zueinander – erst recht, wenn mehrere Cloud-Arten verknüpft werden.
    Die IT-Security steht somit vor besonderen Herausforderungen, um die Sicherheit der Daten und den Schutz vor Angriffen zu gewährleisten. Folgende Sicherheitsvorkehrungen sollten dabei obligatorisch sein:
    • Firewalls: Schirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen für Barrieren innerhalb hybrider Architekturen.
    • Antivirensoftware: Scannt nach Viren und beseitigt sie.
    • Schutz vor Ransomware: Software zur Abwehr vor Schadprogrammen, die das System kapern und die Daten dem Unternehmenszugriff entziehen (Mal- und Ransomware).
    • 2-Faktor-Authentifizierung: Zusätzlicher Identitätsnachweis von Nutzer:innen durch zwei voneinander unabhängige Prüfverfahren.
    Das Foto zeigt eine Frau mit Smartphone

    Ihr Weg in die Cloud

    Cloud-Lösungen sind entscheidend für die digitale Transformation. Mit unserem ausführlichen Leitfaden erwerben Sie das notwendige Wissen für die Migration auf moderne(re) Systeme. 

    • Die wesentlichen Migrationsschritte im Überblick
    • Spannende Fallbeispiele
    • Aktuelle Studienergebnisse
    Jetzt kostenlos downloaden

    Einfache Tipps zur Verbesserung der Cloud-Sicherheit

    Cloud-Dienste sind mit Risiken verbunden, wenn Sie sie nicht ordnungsgemäß sichern. Machen Sie es Cyberkriminellen also nicht allzu leicht, an die Daten Ihres Unternehmens zu gelangen. Mit den folgenden Tipps sorgen Sie für größtmögliche Sicherheit in der Cloud.

    1. Wählen Sie ein sicheres Passwort

    Wenn Sie die üblichen Regeln für sichere Passwörter und die Vorgaben des Anbieters ernst nehmen, ist dies der erste Schritt zur Verbesserung Ihrer Datensicherheit.
    Achten Sie darauf, dass Sie und Ihre Mitarbeiter:innen sichere Kennwörter erstellen und alle paar Monate Erinnerungen aktivieren, um diese regelmäßig zu ändern. Um ein sicheres Passwort zu erstellen, sollten Sie auf eine Kombination aus Buchstaben – sowohl Groß- als auch Kleinbuchstaben – und Zahlen setzen. Es ist am besten, mehr als 8 Zeichen zu wählen und sich nicht auf persönliche Informationen wie Geburtstage zu beziehen. Machen Sie es niemandem zu leicht, Ihre Zugangsdaten anhand Ihrer Lebensdaten zu erraten.
    Zusätzlich zu einem sicheren Passwort können Sie einen Schritt weiter gehen und eine Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsebene hinzufügen. Dadurch kombinieren Sie etwas, das Sie kennen (Ihr Passwort), mit etwas, das Sie besitzen (etwa Ihrem Smartphone, das einen Code generiert).

    2. Halten Sie Ihre Antivirensoftware stets aktuell

    Nach der Erstellung eines soliden Kennworts nebst Zwei-Faktor-Authentifizierung ist es für den Schutz Ihrer Daten von entscheidender Bedeutung, dass Sie Ihre Antivirensoftware stets aktuell halten. Diese sollte idealerweise einmal am Tag automatisch nach Updates suchen. Es ist jedoch ebenso wichtig, das Sicherheitssystem Ihres Computers regelmäßig manuell zu überprüfen. Nur so stellen Sie sicher, dass Sie gegen zukünftige Viren-Angriffe weitgehend abgesichert sind.
    Vergessen Sie darüber hinaus nicht, das neueste Update Ihres Betriebssystems auf Ihrem Rechner und Mobilgerät zu installieren und dieses ebenfalls aktuell zu halten. Diese Patches sind für die Sicherheit Ihres digitalen Lebens von entscheidender Bedeutung.

    3. Sichern Sie Ihre Daten

    Obwohl die Wahrscheinlichkeit, dass Ihr Cloud-Anbieter Ihre Daten „verliert“, sehr gering ist, besteht die Möglichkeit menschlicher Fehler oder eines kriminellen Angriffs. Daher ist es immer eine gute Idee, ein Daten-Back-up zu erstellen.
    Eine besonders sichere und elegante Lösung ist die sogenannte Cloud-zu-Cloud-Sicherung (C2C). C2C-Sicherung bedeutet, dass Sie stellt dies Unternehmen vor besondere Herausforderungen. Zusätzlich müssen Unternehmen mit Geldstrafen rechnen, sollten sie nicht die geeigneten Maßnahmen zum Schutz von Kundendaten ergreifen.
    Vermeiden Sie es also, vertrauliche Informationen in der Cloud zu speichern (beispielsweise Kopien der persönlichen Daten von Mitarbeiter:innen). Wenn Sie Kundendaten in einem SaaS-basierten Cloud-Dienst speichern, stellen Sie sicher, dass Sie auf seriöse Anbieter vertrauen. Ergreifen Sie außerdem zusätzliche Maßnahmen, um diese Informationen zu schützen, etwa durch die Beschränkung der Anzahl an Personen, die darauf Zugriff haben.

    5. Verschlüsselung ist unerlässlich

    Vertrauen Sie nur auf Cloud-Anbieter, die Ihre Daten verschlüsseln, vorzugsweise sowohl lokal (auf Ihrem Computer) als auch in der Cloud – dies bietet Ihnen eine zusätzliche Sicherheitsebene.
    Wenn Sie vertrauliche Informationen in die Cloud hochladen, müssen Sie diese Daten zunächst selbst verschlüsseln, indem Sie einen Verschlüsselungssoftware-Anbieter wie AxCrypt und Folder Lock verwenden, der Ihnen einen eindeutigen Schlüssel zur Verfügung stellt.

    6. Testen Sie Ihre Sicherheitsmaßnahmen

    Kontrollieren Sie regelmäßig, wer auf die Plattformen zugreifen kann, die Ihr Unternehmen verwendet und stellen Sie sicher, dass Sie Regeln zum Hochladen von Daten in die Cloud festlegen. Darüber hinaus ist die Schulung der Mitarbeiter:innen in Bezug auf grundlegende Cybersicherheit von entscheidender Bedeutung.
    Wenn Sie all diese Maßnahmen getroffen haben, stellen Sie sicher, dass Sie diese ausgiebig testen, um Schwachstellen in Ihrem Datenschutzkonzept zu identifizieren.

    Welche Cloud ist DSGVO-konform? Gesetzliche Anforderungen an die Cloud-Sicherheit?

    Um die Sicherheit einer Cloud zu gewährleisten, stehen Unternehmen bzw. Anwender:innen selbst in der Verantwortung, müssen aber einen Teil ihrer Handlungsmöglichkeiten an den Anbieter des Cloud-Services abgeben. Um Risiken im Rahmen der Corporate Governance zu minimieren und den dauerhaften Support für eine Cloud-Architektur zu garantieren, sind die Details der Datenverarbeitung in einem Data-Processing-Agreement (DPA) festgelegt. Dieses ist rechtlich bindend und beinhaltet Regularien wie die EU-Datenschutz-Grundverordnung (DSGVO), den amerikanischen „Health Insurance Portability and Accountability Act“ (HIPAA) oder den internationalen „Payment Card Industry Data Security Standard“ (PCI DSS).
    Nicht zu vernachlässigen ist in diesem Zusammenhang das „Recht auf Vergessenwerden“: Dieses liefert klare Vorgaben, wenn Kund:innen einen Cloud-Anbieter verlassen möchten. Das kann beispielsweise dann der Fall sein, wenn Ihr Unternehmen den Provider wechseln oder die in der Cloud gehosteten Daten in die eigene IT-Architektur übertragen möchte.
    Solch einen Exit-Prozess sollten Sie bereits vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter vereinbaren. Darunter fallen unter anderem Garantien für die Löschung von Back-ups und Logs nach festgelegten Zeiträumen, aber auch das Recht auf die restlose und vollständige Löschung sämtlicher Daten.

    Das Wichtigste zu Cloud-Security im Überblick

    Wenn Sie in Ihrem Unternehmen die Vorteile einer Cloud nutzen möchten, sollten Sie im Rahmen Ihrer Cloud-Security-Überlegungen folgende Punkte beachten:
    • Bedürfnisse: Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zu internen Zwecken oder sind Sie auf umfangreiche Public- oder Hybrid-Cloud-Lösungen zur Kundenkommunikation angewiesen?
    • Verantwortung: Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und dem Cloud-Anbieter aufgeteilt? Diese werden im CSA und gegebenenfalls in Service-Level-Agreements festgelegt.
    • Sicherheit: Für die Cloud-Security sollte definiert sein, welche Sicherheitsstandards eingehalten werden und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese zur bereits bestehenden Infrastruktur?
    • Externe Expertise: Neben der Aufteilung der Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und dem Anbieter empfiehlt sich das Hinzuziehen von externen oder internen Expert:innen.
    Portrait von Ulrich SchmitzUlrich Schmitz
    31.03.2023
      # Tags:CloudDigitalSicherheit
      Das könnte Sie auch interessieren:
      Unified Communication
      Jetzt anmelden Vodafone Business UC mit RingCentral

      Jetzt anmelden: Vodafone Business UC mit RingCentral

      Eine Telefonanlage ist die Grundlage Ihrer Unternehmenskommunikation. Finden Sie die passende Cloud-Telefonanlage für Ihr Unternehmen und profitieren Sie in Zukunft von effizienter Kommunikation. Im Vergleich zu einem klassischen Festnetz-Anschluss bietet eine cloud-basierte Telefonanlage (auch VoIP Telefonanlage genannt) maximale Flexibilität.

      Zur Online-Session
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4512

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort