adrian_ilie825 - Fotolia
Bei der Cloud-Adaption die Sicherheit nicht vergessen
Vermutlich wird die Cloud-Nutzung die On-Premises-Ansätze in Unternehmen in Bälde als meist genutzte Lösung verdrängen. Dabei darf die Sicherheit nicht auf der Strecke bleiben.
Im Rahmen der Cloud Survey 2019 untersucht das Ponemon Institute zur Einschätzung von IT-Experten zum Thema Cloud. Insgesamt wurden über 3.300 IT-Fachkräfte weltweit befragt – auch aus Deutschland. Die Ergebnisse verdeutlichen, dass die Rechenwolke in fast allen Bereichen zur wichtigsten Technologie herangereift ist, aber gleichzeitig die Sicherheitsmechanismen nicht mit der raschen Adaption von Cloud-Technologie mithalten können.
Für die Cloud sprechen unter anderem weniger gebundenes Kapital, schnelleres Deployment und effizientere Geschäftsprozesse. Laut der Untersuchung sind aktuell 48 Prozent aller Firmendaten in Cloud-Umgebungen gespeichert. 90 Prozent aller Unternehmen sind sich sicher, dass die Wichtigkeit von Cloud Computing in den nächsten zwei Jahren weiter wächst. Das bedeutet, dass in wenigen Monaten die Rechenwolke wahrscheinlich klassische On-Premises-Ansätze als meistgenutzte Lösung verdrängt.
Haupttreiber sind SaaS-Angebote (Software as a Service): Bereits 81 Prozent aller Befragten geben an, dass sie Applikationen wie SalesForce, Office 365 oder Google Docs im Geschäftsalltag einsetzen. Aber auch Plattform- und Infrastrukturservices werden immer beliebter.
Im Durchschnitt nutzt ein Unternehmen drei verschiedene Cloud Provider parallel. Ungefähr die Hälfte aller Organisationen (48 Prozent) sieht sich als Multi-Cloud-User. Zusätzlich muss man bedenken, dass sich fast die Hälfte aller Organisationen (46 Prozent) nicht sicher ist, welche Cloud Services sie genau im Einsatz haben.
Dies liegt vor allem daran, dass die Infrastruktur nicht mehr zentral durch IT-Verantwortliche verwaltet werden muss. Dienste können per Knopfdruck gestartet werden – von unterschiedlichen Fachabteilungen aus. Der Anteil von Cloud Services, die nicht von der IT-Abteilungen ausgerollt wurden, ist seit dem Jahr 2016 auf heute 54 Prozent gewachsen. Nur noch 36 Prozent aller IT-Budgets werden durch die IT-Abteilungen verwaltet.
Absicherung ist schwieriger als zuvor
Neben der wachsenden Menge an involvierten Akteuren und Informationen sagen 70 Prozent der Experten, dass die Umsetzung von Datenschutzvorgaben durch die Nutzung von Cloud-Ressourcen wesentlich komplexer wird. Grundsätzlich ist die Bereitschaft zur Verbesserung des Schutzniveaus aber gewachsen: 72 Prozent geben an, dass sie hier ein hohes Commitment sehen, während es im Jahr 2015 noch zehn Prozent weniger waren.
Compliance und die Durchsetzung von Richtlinien sind aber besonders wichtig, da vor allem Kundendaten und Finanzinformationen laut der Studie in der Cloud gespeichert werden. Aus diesem Grund haben 68 Prozent der Unternehmen einen „Security First-Approach“ adaptiert beziehungsweise arbeiten an dessen Umsetzung.
Essentielle Mechanismen sind hierbei Kryptografie und ein passendes Key-Management. Zudem sollten alle User-Zugriffe durch Multifaktor-Authentifizierung abgesichert werden. Alle Teile einer Sicherheitsstrategie müssen dann mit dem Cloud-Anbieter abgestimmt werden, besonders wichtig ist die Frage der Verantwortung.
Nur 31 Prozent aller Firmen sehen sich selbst an erster Stelle bei der Pflicht zum Datenschutz, 35 Prozent dagegen den Cloud-Provider. Führungsetagen dürfen die Verantwortung für die Sicherheit aber nicht abschieben, sondern sollten mit Sicherheitsexperten zusammenarbeiten, um höchstmöglichen Schutz zu gewährleisten.
„Bei der Auswahl eines Dienstleisters sollte man aber nicht allein auf den Cloud-Provider, sondern sich zusätzlich auf Sicherheitsexperten verlassen. Sonst machen sich Führungsetagen abhängig und haben zudem ein Vertrauensproblem.“
Armin Simon, Thales
Obwohl Sicherheit immer mehr an Wichtigkeit für IT-Experten gewinnt, ist die Lage in der Praxis ernüchternd. 46 Prozent aller Daten sind auf ihrem Weg in die Cloud nicht verschlüsselt. Nur 43 Prozent werden durch kryptografische Maßnahmen samt passender Schlüsselverwaltung gesichert.
Etwas mehr als die Hälfte (53 Prozent) der Unternehmen, die auf Verschlüsselung setzen, hat die Hoheit über die Keys, 16 Prozent haben hier eine dritte Partei involviert. 20 Prozent treten die Schlüsselhoheit an den Cloud-Anbieter ab.
Es ist sicherlich ein Problem, dass immer noch so viele Daten unverschlüsselt in die Cloud wandern. Allerdings ist Verschlüsselung kein Freifahrtschein, im Gegenteil: Durch die Abgabe der Schlüsselhoheit an Dritte oder den Cloud-Anbieter kann der Sicherheitsvorteil durch Kryptografie schwinden oder sogar komplett zur Nichte gemacht werden.
Es ist durchaus sinnvoll, auf Dienstleister als Partner zurückzugreifen, dennoch sollte dieser unabhängig sein, so dass zum Beispiel jederzeit ein Anbieterwechsel möglich ist. Hat der Cloud-Provider eine tragende Rolle bei den eingesetzten Sicherheitsmechanismen, ist dies nicht immer der Fall.
Einen ähnlichen Effekt auf die Security hat eine unzureichende Zugangskontrolle, etwa durch schwache Passwörter, über die sich Angreifer leicht Zutritt verschaffen können. Stattdessen sollten Unternehmen auf Multifaktor-Authentifizierung setzen. Die besten Tools sind machtlos, wenn Kriminelle Zugriff auf Nutzerdaten bekommen und leichtes Spiel beim Missbrauch von User Credentials haben.
Fazit
Die Sicherheitsstrategie muss sich deshalb über alle Apps, Speicherorte und Prozesse erstrecken – unabhängig davon, wer Services in die IT-Umgebung einbringt. Gerade wegen der veränderten Bedrohungslage ist es wichtig, bei der Sicherheit keine Kompromisse einzugehen. Bewährte Mechanismen wie durchgehende starke Verschlüsselung und Authentifizierung büßen bei richtiger Implementierung in der Cloud nichts von ihrer Schutzwirkung ein und sind wirksame Mittel gegen Datenschutzverletzungen.
Dennoch muss die Umsetzung von Sicherheitsvorkehrungen angepasst werden, denn nicht alle Prozesse aus der On-Premises-Welt lassen sich problemlos auf die Cloud übertragen. Services sind eine Möglichkeit – besonders dann, wenn Firmen flexibel bleiben möchten. Bei der Auswahl eines Dienstleisters sollte man aber nicht allein auf den Cloud-Provider, sondern sich zusätzlich auf Sicherheitsexperten verlassen. Sonst machen sich Führungsetagen abhängig und haben zudem ein Vertrauensproblem.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
