Clouds werden heutzutage in fast allen Bereichen von fast jedem verwendet. Täglich werden unzählige Daten darüber gespeichert und mit anderen geteilt. Doch wie sieht es eigentlich mit der Cloud Sicherheit aus? Bietet die Cloud ausreichend Schutz für unsere Daten? Sind unsere Daten dort wirklich gut aufgehoben? Wir gehen dieser Frage auf den Grund und zeigen Dir 10 Schwachstellen einer Cloud und geben Dir Tipps, wie Du sie umgehen kannst!
Unterschiedliche Arten von Cloud Computing
Bei Cloud Computing werden Computerressourcen wie beispielsweise Server, Speicher, Datenbanken und Netzwerke über das Internet für Endanwender bereitgestellt. Dabei gibt es verschiedene Varianten, die sich darin unterscheiden, wie viele Aufgaben von dem jeweiligen Cloud-Anbieter übernommen werden und welche der Firma überlassen sind.
- Infrastructure-as-a-Service (IaaS)
- Platform-as-a-Service (PaaS)
- Software-as-a-Service (SaaS)
Je nach Variante entstehen unterschiedliche Risiken und Schwachstellen für die Cloud Sicherheit, die vor der Auswahl evaluiert werden sollten.
IaaS (Infrastructure-as-a-Service)
Hierbei handelt es sich um einen Ansatz, bei dem der Cloud-Anbieter Teile der Cloud-Struktur wie die Hardware (Server, Netzbetrieb und Datenspeicher) besitzt und verwaltet. Das Unternehmen kümmert sich um einen Großteil seiner Anwendungen und Daten selbst. Dazu zählen beispielsweise Betriebssysteme, installierte Applikationen und Datenbanken. Außerdem können je nach Bedarf Ressourcen wie Rechenleistung dazugekauft werden. Das ist etwa für Online-Shops relevant, die zur Weihnachtszeit mehr Rechenkapazität benötigen. Dieses Servicemodell bietet dadurch mehr Flexibilität und Kontrolle als andere, ist jedoch gleichzeitig aufwändig zu verwalten. Ein Beispiel für IaaS ist der Amazon Web Service.
PaaS (Platform–as-a-Service)
Der Cloud-Anbieter stellt die grundlegende Cloud-Struktur (Netzwerk, Server, Betriebssystem etc.) und das Unternehmen kann frei über Applikationen und Anwendungen verfügen. Diese Form eignet sich vor allem für Entwickler, die ihre Dienste, Daten, Benutzerzugriffe individuell verwalten und installieren möchten. Dieser Service bedeutet weniger Aufwand für das IT-Team des Unternehmens, da die Grundlagen der Cloud vom Anbieter gestellt werden, ermöglicht aber gleichzeitig Flexibilität und Skalierbarkeit. Beispiele dafür sind Google App Engine oder Microsoft Azure.
SaaS (Software-as-a-Service)
Diese Form des Cloud Computings ist am ehesten für Privatkunden geeignet, weil der Cloud-Anbieter alle wesentlichen Applikationen für den Nutzenden bereitstellt und die Anwendungen, die Laufzeit, die Middleware, die Daten und das Betriebssystem verwaltet. Der Nutzende kann dann mittels eines internetfähigen Endgerätes auf ausgewählte Bereiche zugreifen und diese nutzen. Dadurch bietet es für den Endnutzer den meisten Support und ist die einfachste Bereitstellungsmethode. Bekannte Beispiele für SaaS Clouds sind Google Drive oder Dropbox.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Cloud Sicherheit: 10 Schwachstellen und wie Du sie behebst
Clouds gelten allgemein als relativ sicher und werden tagtäglich in den unterschiedlichsten Bereichen verwendet. Trotzdem sollten einige Schwachstellen und Risiken bedacht werden, damit gerade Unternehmen sensible Daten schützen können und die Cloud Sicherheit gewährleistet wird.
1. Sicherheitsmängel der technischen Infrastruktur
Ein grundlegendes Risiko im Zusammenhang mit der Cloud Sicherheit ist ein fehlendes oder unzureichendes Sicherheitskonzept der IT. Dabei kann es zu Sicherheitsmängeln in allen verschiedenen Bereichen kommen. Auslöser für Sicherheitsprobleme können beispielsweise lückenhafte Zutrittsprotokolle, ein missbräuchlicher Umgang mit der Datensicherung oder die mangelhafte Löschung defekter Speichermedien sein.
Bevor ein Cloud-Dienst eingeführt wird, sollte zum Schutz der Daten ein umfassendes Konzept erstellt werden, was sämtliche Cloud Sicherheitsrisiken und Probleme sowie deren Prävention und Lösung beinhaltet. Außerdem ist es ratsam, die Mitarbeitenden der IT auf Schwachstellen einer Cloud zu sensibilisieren, damit die Daten sicher sind und es erst gar nicht zu einem Datenverlust oder anderen Schäden kommt.
2. Compliance Anforderungen gefährden die Cloud Sicherheit
Wenn ein Unternehmen ein Cloud-System einführen möchte, müssen die Compliance-Anforderungen eingehalten werden. Dabei handelt es sich um Vorschriften und Richtlinien rund um den Datenschutz, die Aufbewahrung der Daten, Informationssicherheit und Verfügbarkeit. Ein Beispiel dafür ist die DSGVO, die in Europa die Speicherung und Verarbeitung personenbezogener Daten regelt. Es ist wichtig, dass das Unternehmen darauf achtet, wo der Firmensitz des Cloud-Anbieters liegt und in welchem Land dessen Server stehen. Das hat den Grund, dass in anderen Ländern andere Rechte in Bezug auf die Verarbeitung von Daten gelten, die vom Unternehmen allerdings eingehalten werden müssen. Dadurch wird gewährleistet, dass die Daten sicher sind.
Vor der Implementierung eines Cloud-Systems sollten sich Kunden zum Schutz der Daten unbedingt über die geltenden Gesetze und Richtlinien informieren. Es kann auch helfen, sich durch die Hilfe eines Anwalts abzusichern, um Verstöße zu vermeiden.
3. Zugriffsmanagement
Da es sich bei der Cloud um eine outgesourcte Anwendung handelt, die teilweise von einem Drittanbieter betrieben wird, ist es nicht möglich, sie wie ein lokales System abzusichern. Nur, weil Zugriffsberechtigungen an Mitarbeitende vergeben werden, heißt es noch lange nicht, dass andere keinen Zugriff auf die Daten haben. Aus diesem Grund ist es umso wichtiger, die Zugriffe so präzise wie möglich festzulegen, um die Cloud Sicherheit zu erhöhen und die Daten zu schützen.
Dies lässt sich ganz einfach mithilfe eines IAM-Systems regeln, was direkt in ein Cloud-System angebunden werden kann. Darüber lassen sich kleinteilige Berechtigungen für Ordner und Bereiche innerhalb der Cloud festlegen. So wird vermieden, dass unbefugte Personen Zugriff auf sensible Informationen haben und diese absichtlich oder unabsichtlich an Dritte weitergeben. Vor allem größere Unternehmen mit komplexen Strukturen und vielen Abteilungen und Projekten schützen ihre Daten mithilfe der Zugriffsberechtigung mittels IAM.
4. Insider Bedrohung
Die Sicherheit der Cloud kann nicht nur von außen, sondern auch von innen gefährdet werden. Häufig passieren Mitarbeitenden Fehler, die Cloud Sicherheitsrisiken darstellen. Dabei könnte es sich beispielsweise um einen Link zu einem Ordner in der Cloud handeln, den ein Teamkollege fälschlicherweise an eine externe Person schickt. Diese sollte allerdings nicht auf den gesamten Ordner, sondern nur auf ein Dokument Zugriff haben. Die externe Person könnte nun die geteilten Daten missbrauchen. Solche Fehler passieren in der Regel nicht böswillig, doch sie stellen trotzdem ein Risiko dar.
Fehler der Mitarbeitenden können z.B. mit einer gründlichen Trainingsphase vor der Einführung eines Cloud-Systems vermieden werden. Hilfreich sind auch regelmäßige Schulungen, in denen das Bewusstsein für die Sicherheit der Daten geschaffen wird und die Konsequenzen fehlerhaften Handelns aufgezeigt werden. Nach der Einführung ist es außerdem ratsam, ein gutes Support-Systems einzurichten, das bei Fragen und Problemen zur Seite steht.
5. Fehlerhafte Konfiguration der Cloud-Dienste
Ein weiteres Sicherheitsrisiko stellen falsch konfigurierte Cloud-Dienste dar. Bei der steigenden Komplexität können Einstellungen schnell falsch gesetzt werden. Das könnte dazu führen, dass firmeninterne Daten aus Versehen öffentlich zugänglich sind und somit manipuliert oder gelöscht werden können.
Ursache dafür ist häufig die Beibehaltung der Standardeinstellung. Die Einstellungen sollten deshalb vor Inbetriebnahme der Cloud gründlich überprüft und angepasst werden. Dabei sollte auch darauf geachtet werden, dass die Rechte für den Zugriff richtig verteilt sind und vertrauliche Informationen verschlüsselt werden. So kann garantiert werden, dass die Informationen sicher verwaltet werden.
6. Abhängigkeit vom Cloud-Anbieter
Wenn Unternehmen gewisse Dienste an einen Cloud-Anbieter outsourcen, begeben sie sich in eine Abhängigkeit. Clouds bieten viele Vorteile und erleichtern den Arbeitsalltag enorm, allerdings sollten sich Kunden im Klaren sein, dass sie auf die Zuverlässigkeit des Anbieters angewiesen sind. Problematisch wird es beispielsweise, wenn die vereinbarten Leistungen gar nicht oder nicht angemessen erbracht werden. Das hat Auswirkungen auf das Unternehmen und den Cloud-Anbieter. Das Unternehmen kann dann z.B. seine Arbeit nicht ausführen, weil es nicht auf wichtige Daten und Informationen zugreifen kann. Der Anbieter muss mit Beschwerden oder einer Vertragskündigung rechnen. Besonders heikel ist die Lage, wenn Anwendungen nur von einem speziellen Anbieter ausgeführt werden. Dadurch macht sich das Unternehmen erpressbar, da es auf den einen Anbieter angewiesen ist.
Aus diesem Grund ist es ratsam, die Cloud-Dienste sorgfältig auszuwählen und immer eine Alternativlösung parat zu haben. Um bei einem Ausfall nicht eingeschränkt zu sein, können Daten in verschiedenen Clouds von unterschiedlichen Anbietern gesichert werden. Auch sollte vermieden werden, von spezialisierten Unternehmen abhängig zu sein, um den Schutz der Daten zu wahren.
7. Fehlende Transparenz hinsichtlich der Datenhaltung
In der Regel liegt die Datensicherung in der Hand des Providers, also in dessen Verantwortungsbereichs. Aus diesem Grund ist oft nicht ersichtlich, ob die Daten wirklich erfolgreich gesichert sind. Ein weiteres Problem geht mit der Löschung der Daten einher. Es kann häufig nicht kontrolliert werden, ob der Provider alle Daten und Informationen ordnungsgemäß löscht, wenn er dazu von seinen Kunden beauftragt wird.
Vor allem für private Kunden kann ein Blick in die AGBs des Cloud-Anbieters helfen, in denen festgehalten wird, wie der Provider mit den Daten umgeht. Unternehmen sollten sich bereits bei der Verhandlung mit einem neuen Anbieter die ordnungsgemäße Sicherung und den Schutz der Daten zusagen lassen und auch den Fall der Datenlöschung klären. Letztendlich müssen Nutzende allerdings auf die Zuverlässigkeit der Cloud-Dienste vertrauen.
8. Verlust der Übersichtlichkeit
Vor allem in großen Unternehmen existieren unzählige Endgeräte wie Desktop-Rechner, Laptops, Tablets und Smartphones, die auf Cloud-Dienste zugreifen. Des Weiteren gibt es viele verschiedene Abteilungen und Mitarbeitenden, die unterschiedliche Bereiche der Cloud nutzen. Das stellt ein Risiko für die Cloud Sicherheit dar. Da geht schnell der Überblick verloren, was Sicherheitslücken begünstigt. Komplexer wird es noch, wenn das Unternehmen verschiedene Firmenstandorte hat und mehrere unterschiedliche Cloudsysteme nutzt.
Hilfreich sind da vor allem Identity und Access Management Systeme. Dort können beispielsweise die Zugriffsrechte jedes Mitarbeitenden genau erfasst, vergeben und wieder entzogen werden. Dadurch wird festgehalten, wer welche Daten und Systeme verwendet, wodurch Fehler leicht ermittelt werden können. Außerdem sollten auch alle Endgeräte, mit denen auf die Cloud zugegriffen wird, in Datenbanken registriert und regelmäßig geupdatet werden. Dadurch behält die IT den Überblick und es wird vermieden, dass Malware in die Cloud eingeschleust wird. So kann der Schutz der Daten gewährleistet werden.
9. Risiken durch APIs
APIs (Application Programming Interface) sind einfach gesagt Schnittstellen, die dafür sorgen, dass Anwendungen miteinander kommunizieren können. Sie sind der Code, der beispielsweise Zugangspunkte für Server regelt. In Cloud-Systemen sind sie deshalb für den Datenaustausch und die Datenverwaltung wichtig. Wenn nun APIs fehlerhaft oder schlecht gesichert sind, stellen sie ein großes Sicherheitsrisiko dar. Cyberkriminelle verschaffen sich dadurch leicht Zugriff zu den Daten der Cloud und können diese manipulieren.
Es ist wichtig, APIs von vorneherein gut zu sichern, um zu vermeiden, dass Hacker sich darüber Zutritt verschaffen. Dies kann beispielsweise mittels Autorisierung und Authentifizierung geschehen. So wird sichergestellt, dass API-Anfragen von legitimierten Quellen stammen und die angeforderten Daten nur an berechtigte Clients übermittelt werden.
10. Schatten IT
Von Schatten-IT ist die Rede, wenn gewisse Dienste, Anwendungen oder Geräte ohne die Zustimmung oder das Wissen der IT verwendet werden. Dieser Fall ist beispielsweise gegeben, wenn Mitarbeitende über ihre privaten Geräte auf die Firmen-Cloud zugreifen. Das ist gefährlich für die Cloud Sicherheit, weil das Gerät nicht von der IT-Abteilung auf mögliche Schadsoftware überprüft werden konnte. Dadurch kann es passieren, dass Malware auf dem Smartphone befinden, die dann Schaden in der Cloud anrichten. Ebenfalls gefährlich ist es, sich über ein öffentliches WLAN in die Cloud anzumelden. Denn so haben Hacker leichten Zugriff auf firmeninterne Daten.
Um solche Cloud Sicherheitsrisiken zu vermeiden, sollte regelmäßig kontrolliert werden, über welche Geräte die Cloud verwendet wird. Außerdem sollten Mitarbeitende ausdrücklich auf die Gefahren hingewiesen werden und angehalten werden, nur mit registrierten Geräten über sichere Netzwerke auf die Cloud des Unternehmens zuzugreifen.
Cloud Sicherheit – Allgemeine Tipps
Einige der eben genannten Cloud Sicherheitsrisiken lassen sich in der Regel relativ leicht vermeiden, weshalb die Cloud nach wie vor eine sichere und angenehme Methode ist, Daten und Informationen zu speichern und mit anderen zu teilen. Es gibt aber noch weitere Möglichkeiten, etwas für die Cloud Sicherheit zu tun:
- Sichere Passwörter verwenden
- Multi-Faktor-Authentifizierung
- Daten in der Cloud verschlüsseln
- Nicht über Apps auf dem Smartphone zugreifen
- Daten möglichst nicht nur per Link freigeben
- Regelmäßig Back-ups durchführen
Die Sicherheit Deiner Daten ist uns wichtig!
Die Cloud ist seit einigen Jahren ein sehr beliebtes System, um Daten zu sichern und mit anderen zu teilen. Häufig tritt allerdings die Cloud Sicherheit in den Hintergrund. Oft vertrauen wir dem Anbieter blind, indem wir teils sehr sensible Daten in einer Cloud ablegen, ohne eigentlich zu wissen, wie sicher sie dort aufgehoben sind. Dieser Artikel hat gezeigt, dass die Cloud einige Schwachstellen und Risiken aufweist und wir teilweise nicht viel Mitspracherecht bezüglich der Datensicherheit bei Cloud-Anbietern haben. Allerdings sind wir nicht vollkommen machtlos und können im Kleinen selbst etwas für die Sicherheit unserer Daten tun.
Unternehmen stehen in einer anderen Verantwortung als Privatpersonen und haben andere Anforderungen und Bedürfnisse gegenüber der Cloud Sicherheit. Aus diesem Grund sollten sie sich Unternehmen proaktiv um die Sicherheit ihrer Daten bemühen. Dabei unterstützen wir Dich! Mithilfe cloudbasierter IAM-Lösungen kannst Du die Zugriffsrechte Deiner Clouds sicher und effizient verwalten, damit Du immer den Überblick behältst!
