Linien vernetzen durch Logos symbolisierte IT-Themen. Eines der Elemente zeigt ein Schloss, dass sich auf den Fingertipp einer Person öffnet.
Cloud & Hosting

Cloud-Security: Alles zum Thema Sicherheit in der Datenwolke

Von Software aus der Cloud über das regelmäßige Cloudbackup bis hin zu virtuellen Servern via Datenwolke: Cloud-Services sind inzwischen unverzichtbares Arbeitsmittel in den meisten deutschen Unternehmen. Doch nicht jede Firmencloud ist ausreichend gegen Cyberattacken und Datenverlust geschützt. Erfahren Sie hier, was Sie zum Thema Cloud-Security unbedingt beachten sollten, damit Ihre Daten möglichst sicher sind.

Cloud-Services bieten handfeste Vorteile für Unternehmen, beispielsweise preisgünstigen und jederzeit erweiterbaren Speicherplatz. Mithilfe der Cloud können Sie viele Anwendungen inzwischen ohne lästiges Installieren direkt online ausführen. Auch der Aufwand für regelmäßige Software-Updates fällt damit weg.

Nach Erhebungen der Wirtschaftsprüfungsgesellschaft KPMG nutzen inzwischen 97 Prozent aller deutschen Unternehmen mit mindestens 50 Beschäftigten das Cloud-Computing und sparen dadurch Zeit und Geld. Doch jede neue Technologie birgt auch Risiken. Daher sollten Sie Ihre Unternehmens-Cloud sorgfältig gegen Datendiebstahl, Datenverlust und einige andere Gefahren schützen.

Wie Sie beispielsweise Ihre Inhalte besonders sicher und dabei kostengünstig in einer Multi-Cloud verwahren oder was die Cloud Security Alliance mit der Sicherheit Ihrer Daten zu tun hat, lesen Sie in diesem Artikel über Cloud-Security.

Inhaltsverzeichnis

Was ist Cloud-Security?

Der Begriff Cloud-Security oder Cloud-Sicherheit beschreibt zwei Dinge:
  • das IT-Unternehmensziel, Daten in einer Firmencloud jederzeit sicher zu verwahren und dabei für alle autorisierten Nutzer:innen gut erreichbar zu machen
  • die Summe aller Maßnahmen und Protokolle, um dieses Ziel dauerhaft umzusetzen.
Zugangskontrolle: Strukturierte Hierarchien regeln, wer Zugriff auf welche Daten hat.
Welche Informationen können Mitarbeiter:innen, Kund:innen und Geschäftspartner:innen einsehen? Auf welche sensiblen, sicherheitsrelevanten Daten und Prozesse können ausschließlich die IT-Abteilung oder die Geschäftsführung zugreifen? Gibt es persönliche Daten von Kund:innen oder Mitarbeiter:innen, die gemäß Datenschutz-Grundverordnung (DSGVO) nur einem eingeschränkten Nutzerkreis offenstehen?
Cyber-Sicherheit: Cloud-Security bedeutet außerdem Schutz vor Datenmanipulation und Sabotage. Hierunter fällt es beispielsweise, wenn Kriminelle Schadsoftware wie Würmer oder Viren einschleusen; Daten verschlüsseln, um Lösegeld zu fordern (Ransomware); und Unternehmensdaten verfälschen. Hier schaffen Services wie eine Cloud-Application-Security die notwendige Sicherheit.
Gut gelaunter Mann mit einem Headset vor einem Notebook.

Microsoft Azure: Back-up, SharePoint und Virtual Desktops

Sichern und archivieren Sie wertvolle Daten jetzt noch einfacher.

Mit Single-Sign-on für IT-Anwendungen und SharePoint-Integration stellen Sie Desktop-Anwendungen jetzt noch schneller bereit.

Und mit dem Azure Virtual Desktop konzentrieren Sie sich auf Strategie und Management – statt um die Verwaltung Ihrer Infrastruktur.

Compliance und Datenschutz: Sicherheit ist immer auch im Kontext des physischen Datenstandortes zu betrachten. Unternehmen müssen prüfen, ob die jeweils gewählte Cloud den örtlichen Datenschutzgesetzen und -verordnungen entspricht. So kann es etwa in einem Land legal, in einem anderen hingegen verboten sein, bestimmte personenbezogene Daten zu archivieren. Bestimmte Verschlüsselungsverfahren sind nicht in allen Ländern erlaubt, beziehungsweise je nach Einsatzzweck und -ort reguliert.
Bei der Wahl eines Cloud-Anbieters sollten Sie insbesondere prüfen, ob Ihr Anbieter Serverstandorte in den USA unterhält. Denn dort erhalten Behörden von Cloud-Anbietern auf Anfrage Zugang zu allen dort gespeicherten Daten. Rechtliche Grundlage hierfür ist der sogenannte „CLOUD Act”. Eine solche Weitergabe von personenbezogenen Daten an US-Behörden widerspricht allerdings aus europäischer Sicht der Datenschutz-Grundverordnung (DSGVO). Die Speicherung persönlicher Daten in den USA kann für Unternehmen aus der EU daher schwerwiegende Folgen haben (Artikel 82 DSGVO).
24/7-Verfügbarkeit: Zu einer zuverlässigen Cloud gehört auch die Ausfallsicherheit aller beteiligten Systeme und Netze. Sogenannte Downtimes aufgrund von laufenden Updates oder technischen Problemen sollten so kurz wie möglich ausfallen.
Eine Mindestverfügbarkeit von 99,9 Prozent (maximal neun Stunden Stillstand pro Jahr) ist heute bereits Standard bei vielen Anbietern. Gegen Aufpreis sind auch 99,99 Prozent und in seltenen Fällen sogar 99,999 Prozent möglich.
Sicherheit der erweiterten Infrastruktur: Cloud-Security beinhaltet nicht nur die gespeicherten Daten und Anwendungen innerhalb Ihrer Cloud-Umgebung. Teile eines Cloud-Security-Konzeptes sind auch der lokale Arbeitsplatz mit Zugriff auf die Cloud, dessen Netzwerkanbindung sowie alle weiteren IT-Komponenten, die mit der Cloud-Architektur in Verbindung stehen.
Sind alle Arbeitsplätze sicher und schnell mit der Cloud verbunden? Gibt es ein zuverlässiges Rechtemanagement? Werden vertrauliche Daten aus der Cloud auf dem Transportweg möglicherweise in unsicheren Umgebungen zwischengespeichert oder wird dies wirksam verhindert?
Junge Frau am Laptop nutzt Cloud-Services

Whitepaper: Cloud Security

Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

  • Veränderte Sicherheitsarchitekturen
  • Neue Verantwortlichkeiten
  • Studien, Insights und Praxisbeispiele
  • Zero Trust & Co. als Sicherheitsmodelle
Jetzt downloaden

Welche Cloud-Services gibt es und wie sicher sind sie?

Für das Cloud-Computing haben sich verschiedene Cloudformate und Servicemodelle entwickelt, die sich nach Art und Umfang zum Teil erheblich unterscheiden.
In der Regel mieten Sie bei einem externen Dienstleister ein bestimmtes Leistungspaket an. Ihr Anbieter stellt Ihrem Unternehmen beispielsweise eine Cloudinfrastruktur zur Verfügung, auf der Sie Ihre Daten und Programme hosten. Dieses Paket umfasst auf Wunsch neben der Netzwerkinfrastruktur unter anderem Datenserver und -speicher sowie Frameworks zur Virtualisierung von Computereigenschaften.
Größere Unternehmen errichten manchmal auch ihre eigene Cloud auf eigener Hardware am jeweiligen Unternehmensstandort. Die interne IT-Abteilung, kann dann diese Cloud einrichten und betreiben – aber auch ein externer Dienstleister, als sogenannte „On-Premises“-Lösung mit externem Cloud-Management.
Vorteil: Indem Sie eine Cloud nutzen, reduzieren Sie für Ihr Unternehmen Komplexität und Kosten – so beispielsweise den laufenden Aufwand für regelmäßige Upgrades und Updates sowie die Personalkosten für Betrieb und Wartung.
Bei den Cloud-Services gibt es drei besonders häufig genutzte Typen, die sich nach dem Umfang der vom Cloudanbieter jeweils bereitgestellten und administrierten Software unterscheiden:

Infrastructure-as-a-Service (IaaS)

Hier mieten Sie lediglich die Hardware- und Netzwerkanbindung bei Ihrem Cloud-Anbieter. Darauf installieren Sie dann Ihre eigene Software, inklusive aller Betriebssysteme und der Middleware. Ihr Anbieter verwaltet den zentralen Cloud-Dienst, während Sie Anwendungen, gespeicherte Daten und Laufzeiten dauerhaft selbst administrieren und überwachen.
Für die Sicherheit von Software und Daten sind somit Sie und nicht Ihr Anbieter zuständig. Beispiele sind die Google Compute Engine (GCE) und Amazon Web Services (AWS). Unter Gesichtspunkten der Cloud-Security müssen Sie also auch auf regelmäßige Softwareupdates achten und Firewalls und Antivirensoftware gegebenenfalls selbst installieren.

Platform-as-a-Service (PaaS)

Hier installieren Sie Ihre eigenen Anwendungen auf bereits fertig konfigurierten virtuellen Servern Ihres Cloudanbieters. Beispiele dafür sind die Google App Engine und Microsoft Azure. Sie sind zuständig für Ihre eigenen Anwendungen, Daten, Netzwerke und Berechtigungen und somit auch für deren Schutz.
Ihr Dienstleister hält seine Betriebssysteme auf den bereitgestellten Plattformen aktuell und übernimmt dabei für Sie viele Basisaufgaben der Cloud-Security. Gefahren: Wenn Sie Drittanbieter fehlerhaft in Ihre Netzwerkstrukturen einbinden und Programmierschnittstellen mangelhaft schützen, können Sicherheitslücken entstehen.

Software-as-a-Service (SaaS)

Bei diesem Cloud-Servicemodell nutzen Sie vorinstallierte Business-Anwendungen, die Ihr Cloudanbieter für Sie auf seinen eigenen Servern bereitstellt. Die dahinter liegende Hardware sowie deren Betriebssysteme und Middleware sind für Sie nicht sichtbar. Beispiele hierfür sind Microsoft 365 Business, Google Workspace, Slack und Cisco WebEx.
Hier liegt der Hauptanteil der Cloud-Security-Aufgaben beim Cloudanbieter. Trotzdem sind Sie weiterhin für die Sicherheit Ihrer Daten zuständig, die Sie mit diesen Anwendungen erzeugen und bearbeiten. Ein Nachteil von SaaS: Sie haben wenig Einfluss darauf, wo Ihre Daten während der Bearbeitung zwischengespeichert werden. Unter Gesichtspunkten der DSGVO kann dies ein Problem sein.
SaaS, PaaS und IaaS im hierarchischen Vergleich
Ohne Infrastruktur und Plattform keine Software: Der Zusammenhang zwischen SaaS, PaaS und IaaS ist von hierarchischer Natur.
Noch vergleichsweise neu sind die Cloud-Services Function-as-a-Service (FaaS) und Artifical-Intelligence-as-a-Service (AIaaS). Mit FaaS nutzen Sie keine vollständige Software, sondern lediglich einzelne Funktionen aus der Cloud, beispielsweise einen Sprache-zu-Text-Konverter für Ihren Kundenchat oder ein Online-Übersetzungstool. Bekannte FaaS-Angebote sind AWS Lambda von Amazon, Google Cloud Functions von Alphabet und die Azure Functions von Microsoft.
Mit AIaaS nutzen Sie künstliche Intelligenz aus der Cloud, die Sie je nach Anbieter auch automatisiert über eine Schnittstelle in vorhandene Anwendungen aus Ihrem Software-Portfolio einbinden können. Es handelt sich bei AIaaS streng genommen um eine Unterart von FaaS. Für FaaS wie für AIaaS gelten ähnliche Sicherheitsregeln wie bei SaaS: Auch hier sollten Sie unbedingt einen zuverlässigen, etablierten Anbieter auswählen und auf DSGVO-Konformität achten, sobald auch persönliche Daten verarbeitet werden.

Cloud-Infrastruktur und das Thema Sicherheit

Neben den genannten Cloud-Services gibt es auch noch unterschiedliche Cloudmodelle, die Sie untereinander kombinieren können. Auch hier sollten Sie wieder die daraus jeweils resultierenden Risiken für die Cloud-Security kennen.
Diese Modelle gibt es:

Public-Cloud

Viele Kunden nutzen eine Public-Cloud gemeinsam. Sie funktioniert wie ein Hotel für Daten, indem alle Nutzer jeweils ein einzelnes Zimmer für ihren individuellen Cloudbedarf anmieten. Dieser persönliche Bereich in der Public-Cloud ist nur per Passwort von den Bereichen anderer Kunden getrennt.
In einer Public-Cloud können Sie je nach Anbieter Rechenleistung, Infrastruktur, Speicher oder einzelne Anwendungen mieten. Die Fixkosten sind in der Regel gut kalkulierbar und vergleichsweise günstig, da hier viele Kunden dieselben Ressourcen nutzen, was die Public-Cloud sehr wirtschaftlich macht.
Beim Thema Cyber-Sicherheit sind Sie weitgehend auf ihren Dienstanbieter und dessen vorinstallierte Sicherheitsmechanismen angewiesen. Darüber hinaus können Sie Ihre Daten noch einmal zusätzlich per Verschlüsselung sichern. Ihr Unternehmen hat aber insgesamt nur wenig Einfluss auf die dortige Cyber-Security.

Private-Cloud

Als Gegenstück zur Public-Cloud stellt die Private-Cloud exklusive Infrastruktur nur für einen einzelnen Kunden zur Verfügung. Eine Private-Cloud kann je nach Kundenwunsch über das Internet erreichbar sein. Sie kann aber auch direkt an Ihr internes Firmennetz angebunden sein. Sie können die Daten wahlweise auf Ihren eigenen Servern hosten, aber auch auf externer Hardware, die Sie bei einem Dienstleister in dessen Rechenzentrum anmieten.
Insgesamt bietet Ihnen die Private-Cloud deutlich mehr Kontrolle und Sicherheit. Sie ist daher eine gute Lösung, um einen besonders hohen und maßgeschneiderten Datenschutzstandard zu realisieren, der genau zu Ihren Anforderungen und Firmenstandards passt.

Hybrid-Cloud

Mit einer Hybrid-Cloud kombinieren Sie eine Public- mit einer Private-Cloud. Sensible Daten mit hohem Schutzbedarf speichern Sie beispielsweise im abgegrenzten Hochsicherheitsbereich der privaten Cloud. Den öffentlich Public-Cloud-Teil der Hybrid-Cloud nutzen Sie für weniger kritische Geschäftsprozesse und -daten.
Gewöhnlich administriert ein externer Dienstleister eine solche Hybrid-Cloud-Umgebung, sodass Sie kein Inhouse-Personal binden. Diese Lösung ist ein guter Kompromiss aus Wirtschaftlichkeit, Anbieterunabhängigkeit, Flexibilität und Datensicherheit.

Multi-Cloud

Mit der Multi-Cloud verbinden Sie ganz nach Ihrem Bedarf mehrere Public- und Private-Clouds unterschiedlicher Anbieter zu einer großen Firmencloud. Dabei wählen Sie die Einzelkomponenten bedarfsgerecht aus: Von einem Anbieter nehmen Sie beispielsweise eine günstige PaaS-Cloud, von einem zweiten Anbieter eine SaaS-Cloud mit Ihrer bevorzugten Business-Software und beim dritten Anbieter buchen Sie eine Private-Cloud mit besonders hohem Schutzstandard und guter Erreichbarkeit.
Mit der Multi-Cloud sind Sie nicht an einen Provider gebunden und kombinieren die besten am Markt verfügbaren Cloudprodukte. Innerhalb Ihrer Cloud können Sie jederzeit Daten zwischen den einzelnen Teil-Clouds verschieben und beispielsweise externen Partner:innen oder Kund:innen Zugriff darauf gewähren. Auf diese Weise passen Sie die Services flexibel an Ihre Bedürfnisse an und bündeln deren Verwaltung in einer zentralen Managementkonsole.

ISO 27018 und BSI C5 als Sicherheitsstandards

Innerhalb dieser unterschiedlichen Cloud-Infrastrukturen sorgen Standards für einheitliche und sichere Strukturen – wie die ISO 27018 und der Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die ISO 27018 regelt den Umgang mit personenbezogenen Daten in einer Cloud. Der BSI-Kriterienkatalog C5 beschreibt die technischen und organisatorischen Maßnahmen zur Sicherheit in der Cloud.

Einfache Regeln für die Cloud-Sicherheit

Cloud-Datenschutz unterscheidet sich von den Anforderungen für herkömmlichen IT-Umgebungen in Unternehmen. Ein paar grundsätzliche Regeln und Tipps helfen dabei, sich in Sachen Cloud-Datenschutz zu orientieren:
Geteilte Verantwortung: Im Gegensatz zu privaten Rechenzentren ist in der Public-Cloud der Anbieter für die Datensicherheit verantwortlich.
Zugriffsmanagement: In heterogenen Umgebungen ist ein sicheres Zugriffsmanagement (Identity & Access Management, IAM) entscheidend dafür, kritische Unternehmenssysteme vor unbefugtem Zugriff zu schützen.
Verschlüsselung: Um Daten in einer Cloud zu schützen, ist eine effektive Verschlüsselung wichtig.
Endpunktsicherheit: Cloud-Dienste führen dazu, dass Zugriffe vermehrt über Browser und persönliche Geräte erfolgen. Diese entsprechend abzusichern, gehört zu den Aufgaben von Cloud-Security.
Schulung und Qualifikation: Basis für eine funktionierende Cloud-Sicherheit im Unternehmen ist, dass Mitarbeitende professionell mit den Cloud-Anwendungen umgehen und für Anomalien und Malware-Gefahren sensibilisiert sind.
Grafische Darstellung unterschiedlicher IT-Themen im Unternehmen, deren Anbindung an die Cloud-Security Liniengrafiken mit Verknüpfungspunkten symbolisieren.
Grafische Darstellung unterschiedlicher IT-Themen im Unternehmen, deren Anbindung an die Cloud-Security Liniengrafiken mit Verknüpfungspunkten symbolisieren.

Was sind die wichtigsten Vorteile einer sicheren Cloud?

Richtig konfiguriert bietet eine Firmencloud die gleiche Sicherheit wie On-Premises-Lösungen. Dabei ist eine Cloud in der Regel deutlich wirtschaftlicher, besser skalierbar und auch noch leichter an neue Technologien anzupassen. Letzteres können beispielsweise sein:
Business-Software aus der Cloud in die eigene Cloud integrieren: Hierbei mieten Sie günstig Softwarepakete für jeden Ihrer Arbeitsplätze, behalten Ihre Daten dabei aber stets in Ihrer eigenen Private Cloud und haben somit die volle Kontrolle darüber.
Künstliche Intelligenzund andere FaaS-Dienste einfach einbinden: Mit einer agilen Unternehmenscloud haben Sie immer die benötigte Rechenleistung, um alle KI-Funktionen verzögerungsfrei zu nutzen, etwa über entsprechende Programmierschnittstellen wie die ChatGPT API. Das ist beispielsweise dann praktisch, wenn nach einem Produktlaunch besonders viele Anfragen von Kund:innen bei Ihnen eingehen und Ihr KI-gestützter Kundenchat stärker ausgelastet ist.
Neue Sicherheitstechnologien unternehmensweit integrieren: Per Fernwartung, beispielsweise von aktualisierten Firewalls mit künstlicher Intelligenz und optimierter Stateful Packet Inspection (SPI), können Sie Sicherheitstechnologien schnell einrichten. Sie müssen diese also nicht mehr auf allen Endgeräten einzeln installieren, sondern starten sie in der Cloud direkt aus virtuellen Softwarecontainern.

Herausforderungen von Cloud-Security

Frühere IT-Lösungen arbeiteten oft mit einem zentralen Rechenzentrum auf dem Unternehmensgelände und vielen Endgeräten, die logisch darum herum in Büros und Produktion angeordnet waren. Es gab enge Grenzen, um diese zu erweitern oder von außen zu erreichen.
Aus dem einst starren Ethernet-basierten Firmennetzwerk mit homogenen, Windows-basierten Arbeitsplätzen und zentralen Servern ist inzwischen vielerorts ein lebendiges und konvergentes Firmennetzwerk geworden. Dieses Netzwerk ändert seine Struktur permanent – beispielsweise, indem es temporär VPN-Verbindungen aufbaut; oder durch lokale Campus-, Mikro- und Ad-Hoc-Netzwerke, die es ganz nach Bedarf einbinden und wieder ersetzen kann.
Cloud und Edge Computing schaffen hierfür auf Firmenseite die notwendige Dateninfrastruktur für diese sich verändernden Datenverkehre. Die Anforderungen an die Cloud-Sicherheit sind auch deshalb deutlich höher, weil immer mehr unterschiedliche Prozesse, Endgeräte und Netze auf Ihre Infrastruktur zugreifen.
Dadurch sind allerdings auch Cyberattacken von Hacker:innen schwerer zu identifizieren. Angriffe tarnen sich beispielsweise als Kundenanfragen über das Chat-Interface auf Ihrer Webseite und versuchen hierüber Schadcode in Ihre Firmencloud einzuschmuggeln. Oder die Angreifer:innen nutzen künstliche Intelligenz und automatisierte Angriffsprogramme, um sich wie Unternehmensmitarbeiter:innen über ein Virtuelles Privates Netzwerk (VPN) oder das Firmen-WLAN einer Zweigstelle einzuwählen. Dabei testen sie mit hohem Tempo alle komprimierten Passwörter aus, die sie im Darknet finden.
Es reicht also nicht mehr aus, Firmennetze allein mittels eines dedizierten Firewall-Servers am einzigen Internetzugangspunkt im Rechenzentrum des Unternehmens zu schützen. Cloud-Security muss hierüber hinausgehen und Unternehmensdaten in jede Richtung und gegen alle nur denkbaren Angriffsvektoren schützen.

Wie funktioniert Cloud-Security?

Mechanismen der sogenannten Cloud-Security sollen die Nutzung der Cloud absichern. Dabei stehen vier Bereiche im Mittelpunkt:
  1. Bei Datenverlust Daten wiederherstellen
  2. Vor Datendiebstahl schützen
  3. Datenlecks verhindern
  4. Bei Systemkompromittierung Daten sichern
Besondere Tools sollen die Cloud sichern, indem sie regulieren, wie sichtbar die Daten sind und wer darauf zugreifen kann. Während des Transfers sind Virtuelle Private Netzwerke (VPNs) für den Datenschutz zuständig – vor allem bei den Cloud-Modellen abseits der Public-Cloud.
Ergänzend kommen Steuerungsstrategien hinzu, um Bedrohungen für die Cloud zu verhindern, zu erkennen und zu beseitigen. Diese beinhalten die internen Abwehrmechanismen einer Cloud-Umgebung, setzen aber auch voraus, dass die Nutzer:innen geschult werden. Daneben spielen die technischen Wiederherstellungsmaßnahmen im Falle eines Datenverlustes (Cloud-Disaster-Recovery) eine wichtige Rolle. Weitere Fail-safe-Systeme garantieren einen unterbrechungsfreien Betrieb, überwachen Back-ups und sorgen dafür, dass Mitarbeiter:innen im Fall einer notwendigen Datenwiederherstellung entsprechend angeleitet werden.
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Die Rolle der Cloud Security Alliance (CSA)

Um die Sicherheit von Clouds zu überprüfen, entstand im Jahr 2008 die „Cloud Security Alliance“ (CSA). Dabei handelt es sich um einen gemeinnützigen Zusammenschluss von global agierenden Unternehmen, der die Absicherung von Cloud-Umgebungen mithilfe von Best-Practice-Beispielen unterstützt. Wichtige Ziele der CSA sind außerdem, verbindliche Sicherheitsstandards für Cloud-Services zu entwickeln und diese einzuhalten.
Die CSA schult außerdem Anwender:innen und berät Softwarefirmen, um zusätzliches Know-How zu vermitteln und das Bewusstsein für die wichtigsten Aspekte der Cloud-Security zu schärfen. Zu diesem Zweck bietet die CSA ein Toolkit an, das die Sicherheit von Public- und Private-Clouds überprüfen kann.

Was ist Security-as-a-Service?

Die Angebote der Cloud Security Alliance fallen bereits unter den Begriff Security-as-a-Service (SECaaS). Mit diesem Service externer Dienstleister können Sie beispielsweise Ihren Datenverkehr von und zu Ihrer Cloud überwachen und analysieren. Des Weiteren können Sie damit Malware-Analysen durchführen und den Datenabfluss nach Bedarf reglementieren. Interne Sicherheitsvorkehrungen können Sie auf diese Weise auch auf externe Cloud-Umgebungen anwenden.
Anbieter von SECaaS übernehmen sowohl die Implementierung als auch die Wartung von Sicherheitslösungen für die komplette Cloud-Umgebung von Unternehmen. Die Anbieter können unabhängig von der Errichtung der Cloud-Infrastruktur deren Administration übernehmen und die Einhaltung Ihrer IT-Sicherheitsrichtlinien überwachen, was Ihnen zusätzlich Aufwand und somit auch Kosten spart.
Im Hintergrund ein Mensch im dunklen Anzug. Er streckt seine Hand nach vorne. Darüber schwebt als Icon ein Vorhängeschloss. Daneben Computersymbole. In deren ein Mensch mit Kapuze
Nicht nur Rechenleistung, Serverplatz und Software gibt es in der Cloud. Mit Security-as-a-Service buchen Sie auch Sicherheit für Ihre Datenwolke als Cloudservice bei Ihrem Anbieter.

Passende Cloud-Security-Lösungen für Unternehmen

Cloud-Security unterscheidet zwischen verschiedenen Sicherheitslösungen, die für unterschiedliche Unternehmensgrößen empfehlenswert sind:

Hybride Cloud-Sicherheitslösungen

Wenn Sie EDV in eine Hybrid-Cloud verlagern, kombinieren Sie die sicherheitstechnischen Vorzüge von Private- und Public-Cloud. Dazu gehören zum Beispiel
  • mögliche Mikrosegmentierung
  • Sicherheitsrichtlinien auf Grundlage identitätsbasierter Lösungen
  • dauerhaftes Echtzeit-Monitoring der Cloud-Umgebung durch spezialisierte externe Anbieter

Sicherheitslösungen für kleine und mittlere Unternehmen (KMU)

Auch KMU nutzen immer häufiger Cloud-Computing, benötigen hierbei aber meist keine so komplexe Cloud-Architektur wie große multinationale Firmen. Für den Schutz besonders sensibler Daten – darunter beispielsweise Adressen und Bankverbindungen Ihrer Kund:innen oder persönliche Daten Ihrer Mitarbeiter:innen – bietet die Private-Cloud eine gute Basis. Dennoch sollten Sie solche Daten ausschließlich verschlüsselt speichern.
Aktuelle Gesetzesvorgaben und Compliance-Richtlinien können Sie auf diese Art gut und kostengünstig erfüllen. Die Sicherheitsbereiche Ihrer Cloud mit persönlichen Daten können Sie exklusiv für jene Abteilungen und Mitarbeiter:innen zugänglich machen, die auch operativ mit diesen Daten arbeiten, etwa Ihre Personalabteilung oder Ihre Buchhaltung. Ergänzend sollten Sie den Zugang zu diesen Daten besonders schützen, beispielsweise über eine Zwei-Faktor-Authentifizierung.

Cloud-Sicherheitslösungen für große Unternehmen

Große, global agierende Unternehmen stehen vor besonderen Herausforderungen hinsichtlich der Sicherheit ihrer Cloud-Architektur. Sie benötigen häufig eine Public-Cloud, um Zugänge für Geschäftspartner und Kund:innen zu schaffen. Gleichzeitig müssen Sie Datenschutzrichtlinien in unterschiedlichen Rechtsräumen umsetzen (beispielsweise in der EU und den USA).
Was bereits für KMU gilt, ist hier für multiple und komplexe Hybrid-Cloud-Lösungen in einer ganzheitlichen Sicherheitsstrategie zu erfassen. Dabei legen speziell geschulte IT-Mitarbeiter:innen Cloud-Security-Standards und Richtlinien fest und setzen diese um. Alternativ werden externe Expert:innen konsultiert.

Warum ist Cloud-Sicherheit wichtig?

Die Art wie geschäftliche Daten verarbeitet und gespeichert werden, hat sich seit der Jahrtausendwende grundlegend gewandelt: Während Unternehmen ihre Daten in der Vergangenheit nahezu ausschließlich lokal in eigenen Rechenzentren verwahrt haben, befinden sich Firmendaten heute oft ganz oder zumindest in großen Teilen in der Cloud. Gleichzeitig wachsen die verarbeiteten Datenvolumina insgesamt schnell an. Datenhungrige Services wie Künstliche Intelligenz und Big Data Analytics haben diese Entwicklung zuletzt noch einmal beschleunigt.
Wenn sich sehr viele Daten an einem Ort oder bei einem Anbieter sammeln, steigt die Gefahr von Cyberangriffen und/oder massiven Datenverlusten: Große Datenmengen sind für Cyberkriminelle attraktiver als kleine, fragmentierte Datenbestände. Aus diesem Grund suchen Angreifer:innen gezielt nach Schwachstellen in der Cloud-Architektur. Cloudanbieter und cloud-nutzende Unternehmen stehen damit gleichermaßen in der Pflicht, für die Sicherheit der dort gespeicherten Daten zu sorgen.
Heutige IT besteht gewöhnlich aus einer Kombination sehr unterschiedlicher lokaler Komponenten, etwa stationäre Rechner, Notebooks, Server usw. Immer mehr Mitarbeitende greifen dabei über ihre eigenen Endgeräte auf die Firmen-Cloud zu – Stichwort: Bring your own Device (BYOD).
Dem steht eine interne oder externe Cloud-Umgebung gegenüber, die über möglichst viele Netze schnell und einfach erreichbar sein soll. Die IT-Security steht somit vor besonderen Herausforderungen, um die Datensicherheit und den Schutz vor Angriffen zu gewährleisten. Folgende Sicherheitswerkzeuge sollten daher für alle Unternehmen obligatorisch sein, die Cloud-Dienste nutzen:
  • Firewalls
    schirmen lokale Netzwerke sowie die Cloud „nach außen“ ab und sorgen für Barrieren innerhalb hybrider Architekturen.
  • Antivirensoftware
    scannt nach Viren und beseitigt sie.
  • Schutz vor Ransomware
    liefert Software zur Abwehr vor Schadprogrammen, die das System kapern und Informationen stehlen oder durch Verschlüsselung unbenutzbar machen (Mal- und Ransomware).
  • 2-Faktor-Authentifizierung
    erfordert einen zusätzlichen Identitätsnachweis von Nutzer:innen durch zwei voneinander unabhängige Prüfverfahren.
Arbeiten am Tablet im Gegenlicht

Jetzt informieren: Vodafone Cloud-Backup für Microsoft 365

Als Cloud-Native-Lösung sichert das Vodafone Cloud-Backup für Microsoft 365 zuverlässig Ihre Office-Daten vor alltäglichen Risiken. Denn jeder Datenverlust kostet Sie wertvolle Zeit und somit Geld. Ihre Vorteile im Überblick:

  • Back-up für alle Microsoft 365-Anwendungen
  • Einfache Suche & schnelle Wiederherstellung
  • Compliance-konform und sicher
Jetzt mehr erfahren

Wie Sie Ihre Cloud absichern

Wenn Sie in Ihrem Unternehmen die Vorteile einer Cloud nutzen möchten, sollten Sie im Rahmen Ihrer Cloud-Security-Überlegungen folgende Punkte beachten:
  • Bedürfnisse:
    Was genau benötigt Ihr Unternehmen? Brauchen Sie lediglich das abgeschlossene System einer Private Cloud zur internen Verwendung oder sind Sie auf umfangreiche Public- oder Hybrid-Cloud-Lösungen angewiesen, etwa für die Kommunikation mit Ihren Kund:innen? Wie sollen alle Zugriffe auf Ihre Cloud und deren einzelne Bereiche behandelt werden? Ist dabei vielleicht eine Zero-Trust-Strategie sinnvoll?
  • Verantwortung:
    Wie sind die Verantwortlichkeiten zwischen Ihrem Unternehmen als Kunden und Ihrem Cloud-Anbieter aufgeteilt? Alle Verantwortlichkeiten sollten lückenlos im Cybersecurity Assessment (CSA) und den Service-Level-Agreements (SLA) beschrieben sein.
  • Sicherheit:
    Für Ihre Cloud-Security sollten Sie genau definieren, welche Sicherheitsstandards bei Ihnen eingehalten werden sollen und somit in die Cloud-Umgebung implementiert werden müssen. Passt diese Umgebung auch zu Ihrer bereits bestehenden Infrastruktur?
  • Externe Expertise:
    Neben der Aufteilung der Zuständigkeiten zwischen der IT-Abteilung Ihres Unternehmens und Ihrem Cloud-Anbieter empfiehlt es sich möglicherweise, externe oder interne Expert:innen hinzuzuziehen.
Eine Frau steht in einem Gebäude vor einem unscharfen, dunklen Hintergrund. In der Hand hält sie ein Smartphone, auf dem sie etwas tippt.
Immer mehr Beschäftigte greifen heute mit eigenen Mobile Devices auf die Datencloud des Arbeitgebers zu – oft über eine unsichere Verbindung und ohne jeglichen Malwareschutz auf dem privaten Smartphone. Kann Ihre Cloud solche Zugriffe sicher bedienen?

Einfache Tipps, um die Cloud-Sicherheit zu verbessern

Machen Sie es Cyberkriminellen möglichst schwer, an die Daten Ihres Unternehmens zu gelangen. Mit den folgenden Tipps sorgen Sie für größtmögliche Sicherheit in Ihrer Cloud.

1. Wählen Sie ein sicheres Passwort

Wenn Sie die üblichen Regeln für sichere Passwörter und die Vorgaben des Anbieters ernst nehmen, ist dies der erste Schritt, um Ihre Datensicherheit zu verbessern.
Achten Sie darauf, dass Sie und Ihre Mitarbeiter:innen sichere Kennwörter erstellen. Lassen Sie sich von der Software regelmäßig daran erinnern lassen, diese Kennwörter zu ändern. Um ein sicheres Passwort zu erstellen, sollten Sie auf eine Kombination aus Buchstaben – sowohl Groß- als auch Kleinbuchstaben –, Zahlen und Sonderzeichen setzen. Kennwörter sollten mindesten 8 Zeichen lang sein und sich nicht auf persönliche Informationen wie Geburtstage beziehen. Machen Sie es niemandem zu leicht, Ihre Zugangsdaten anhand Ihrer Lebensdaten zu erraten.
Zusätzlich zu einem sicheren Passwort können Sie einen Schritt weiter gehen und eine Zwei-Faktor-Authentifizierung als ergänzende Sicherheitsebene hinzufügen. Dadurch kombinieren Sie etwas, das Sie kennen (Ihr Passwort), mit etwas, das Sie besitzen (etwa Ihrem Smartphone, das einen temporären Zugangscode generiert).

2. Halten Sie Ihre Antivirensoftware stets aktuell

Sie haben ein solides Kennwort nebst Zwei-Faktor-Authentifizierung erstellt? Für den Schutz Ihrer Daten ist es außerdem von entscheidender Bedeutung, dass Sie Ihre Antivirensoftware stets aktuell halten. Diese sollte idealerweise einmal am Tag automatisch nach Updates suchen.
Es ist jedoch ebenso wichtig, dass Sie das Sicherheitssystem Ihres Computers regelmäßig manuell überprüfen. Nur so stellen Sie sicher, dass Sie gegen zukünftige Virenangriffe weitgehend abgesichert sind.
Vergessen Sie darüber hinaus nicht, stets das neueste Update Ihres Betriebssystems auf Ihrem Rechner und Mobilgerät zu installieren. Diese Patches sind für die Sicherheit Ihres digitalen Lebens unerlässlich.

3. Sichern Sie Ihre Daten

Die Wahrscheinlichkeit, dass Ihr Cloud-Anbieter Ihre Daten „verliert“, ist sehr gering. Dennoch besteht die Möglichkeit, dass Menschen Fehler machen oder Kriminelle angreifen. Daher ist es immer eine gute Idee, ein Daten-Back-up zu erstellen.
Eine besonders sichere und elegante Lösung ist die sogenannte Cloud-zu-Cloud-Sicherung - auch Cloud-to-Cloud-Backup (C2C) genannt. Sicherung per C2C bedeutet, dass Sie die Daten aus der Cloud, mit der Sie dauerhaft arbeiten fortlaufend in eine zweite Cloud sichern – idealerweise als identische Datenstruktur und in eine Cloud, die örtlich und logisch von Ihrer Produktiv-Cloud getrennt ist.
So können Sie bei einem Ausfall Ihrer ersten Cloud unterbrechungsfrei mit der zweiten Cloud weiterarbeiten.

4. Speichern Sie persönliche Daten nicht in einer unsicheren Hersteller-Cloud

Viele SaaS-basierte Anwendungen sichern heute standardmäßig alle ihre Daten in der Cloud des jeweiligen Softwareherstellers. Doch Vorsicht: Wenn Sie mit einer solchen SaaS-Anwendung persönliche Daten Ihrer Kund:innen oder Mitarbeiter:innen bearbeiten und dann unverschlüsselt in der Hersteller-Cloud in einem sogenannten „unsicheren Drittland“ ablegen, verstoßen Sie damit gegen den europäischen Datenschutz.
Stellen Sie daher sicher, dass alle persönlichen Daten, die Sie mit SaaS-Applikationen verarbeiten, ausschließlich in Ihrer Unternehmenscloud gespeichert werden.
Ergreifen Sie außerdem zusätzliche Maßnahmen, um persönliche Informationen in der Cloud besonders zu schützen, etwa durch eine besonders strikte Beschränkung der Anzahl an Personen, die darauf Zugriff haben und eine Protokollierung jedes Zugriffs auf diese Datenbestände.

5. Verschlüsselung ist unerlässlich

Vertrauen Sie nur auf Cloud-Anbieter, die Ihre Daten verschlüsseln, vorzugsweise sowohl lokal auf Ihrem Computer als auch in der Cloud – dies bietet Ihnen eine zusätzliche Sicherheitsebene.
Wenn Sie vertrauliche Informationen in die Cloud hochladen, müssen Sie diese Daten zunächst selbst verschlüsseln, indem Sie einen Verschlüsselungssoftware-Anbieter wie AxCrypt oder Folder Lock verwenden, der Ihnen einen eindeutigen Schlüssel zur Verfügung stellt.

6. Testen Sie Ihre Sicherheitsmaßnahmen

Kontrollieren Sie regelmäßig, wer auf die Plattformen zugreifen kann, die Ihr Unternehmen verwendet. Stellen Sie außerdem sicher, dass Sie für das Hochladen von Daten in die Cloud verbindliche Regeln festlegen. Schulen Sie Ihre Mitarbeiter:innen regelmäßig zum Thema Cybersicherheit.
Wenn Sie alle hier genannten Maßnahmen getroffen haben, überprüfen Sie Ihr Datenschutzkonzept auch im laufenden Betrieb regelmäßig auf Schwachstellen, beispielsweise durch sogenannte Pentests. So finden Sie heraus, ob alle Sicherheitsrichtlinien sorgfältig und konsequent umgesetzt werden oder ob eventuell sogar neue Sicherheitslücken entstanden sind, die Ihnen bisher noch nicht bekannt waren. Ein Datenschutzkonzept ist ein lebendes Dokument, das Sie auf Basis gesammelter Erfahrungen regelmäßig fortschreiben und weiterentwickeln müssen.

DSGVO & Datenschutz: Sichere Daten in der Cloud

Um die Sicherheit einer Cloud zu gewährleisten, stehen Unternehmen und Anwender:innen selbst in der Verantwortung, müssen aber einen Teil ihrer Handlungsmöglichkeiten an den Anbieter des Cloud-Services abgeben.
Um Risiken im Rahmen der Corporate Governance zu minimieren und den dauerhaften Support für eine Cloud-Architektur zu garantieren, sind die Details der Datenverarbeitung in einem Data-Processing-Agreement (DPA) festgelegt. Dieses ist rechtlich bindend und beinhaltet Regularien wie die Datenschutz-Grundverordnung (DSGVO), den amerikanischen „Health Insurance Portability and Accountability Act“ (HIPAA) oder den internationalen „Payment Card Industry Data Security Standard“ (PCI DSS).
Nicht zu vernachlässigen ist in diesem Zusammenhang das „Recht auf Vergessenwerden“: Dieses liefert klare Vorgaben, wenn Kund:innen einen Cloud-Anbieter verlassen möchten. Das kann beispielsweise dann der Fall sein, wenn Ihr Unternehmen den Provider wechselt oder die in der Cloud gehosteten Daten in die eigene IT-Architektur übertragen möchte.
Solch einen Exit-Prozess sollten Sie bereits vor dem Abschluss eines Vertrags mit einem Cloud-Anbieter vereinbaren. Darunter fallen unter anderem Garantien, Back-ups und Logs nach festgelegten Zeiträumen zu löschen; aber auch das Recht darauf, dass sämtliche Daten vollständig gelöscht werden.

Das Wichtigste zu Cloud-Security im Überblick

  • Cloud-Security beschreibt alle Maßnahmen, mit denen Sie die Daten in Ihrer Firmencloud gegen Verlust, unerlaubte Zugriffe oder Manipulation durch Dritte schützen.
  • Da jede Unternehmenscloud andere Anforderungen erfüllen muss, sollte auch die Cloud-Security auf die jeweilige Firmencloud zugeschnitten sein. Eine Private-Cloud auf IaaS-Basis muss anders gesichert werden als eine Multicloud mit unterschiedlichen Teil-Clouds und Cloudmodellen.
  • Abhängig vom Cloudstandort müssen Unternehmen auch die Datenschutzstandards im jeweiligen Land beachten. Hierbei kann es zu ungewollten Datenschutzverstößen kommen, wenn am Unternehmenssitz und Hosting-Standort der Cloud unterschiedliche Regelungen gelten.
  • Organisationen wie die Cloud Security Alliance (CSA) geben Ihnen Empfehlungen und Werkzeuge an die Hand, um die Sicherheit unterschiedlicher Clouds und Cloudanbieter jederzeit zu prüfen.
  • Mittels Security-as-a-Service können Sie den Schutz Ihrer Firmencloud als Dienstleistung bei einem externen Anbieter beauftragen.
  • Mit wenigen einfachen Maßnahmen wie einer durchgängigen Verschlüsselung erhöhen Sie zusätzlich die Sicherheit Ihrer Firmencloud.
Das könnte Sie auch interessieren:
Cloud & Hosting
Ein dreidimensionales Symbol eines Schlosses mit der Aufschrift „Security“ befindet sich auf einem Computerchip. Von dessen Seiten gehen orange leuchtende Linien in alle Richtungen ab.

Cloud-Access-Security-Broker: Cloud-Sicherheit auf höchstem Niveau

Cloud-Computing ist für viele Firmen ein essenzieller Teil der Geschäftsprozesse und kann sämtliche Unternehmensbereiche umfassen. Doch die in der Cloud angesiedelten Services und Geschäftsdaten stellen ein verlockendes Ziel für Kriminelle dar. Eine gute Cybersicherheit ist aus diesem Grund unabdingbar. „Cloud-Access-Security-Broker” (CASB) fügen Ihrer Cyber Security eine zusätzliche Schutzschicht hinzu. Datendiebstahl kann für Unternehmen verheerend sein. Laut der Studie „Wirtschaftsschutz 2024“ des Branchenverbands Bitkom sind 81 Prozent der deutschen Unternehmen in den vergangenen Monaten Ziel von Datendiebstahl und digitaler Industriespionage geworden. Geschäftsprozesse, die auf der Cloud basieren und gleichzeitig dezentral organisiert sind, erfordern eine konstante Überwachung. Cloud-Access-Security-Broker nehmen dabei eine wichtige Rolle ein. Was genau ist ein Cloud-Access-Security-Broker? Und welche Funktion kann diese Anwendung im Zuge der Cybersicherheit Ihres Unternehmens erfüllen? Das erfahren Sie in diesem Artikel.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort