adrian_ilie825 - Fotolia
Warum der Umzug in die Cloud ein Security-Konzept erfordert
Wenn Unternehmen Workloads oder Applikationen übereilt in die Cloud umziehen gehen sie Sicherheitsrisiken ein. Um diese zu minimieren, ist eine sorgfältige Planung erforderlich.
Mit ihrer Skalierbarkeit, Flexibilität und Agilität gilt die Cloud als wichtigster Treiber der Digitalisierung. Zudem ermöglicht sie es, Komplexität und Aufwände im IT-Management zu reduzieren. Denn Administratoren müssen sich bei „as-a-Service“-Angeboten nicht mehr selbst um Hardware, Updates oder Patches kümmern. Dadurch wird die IT-Abteilung entlastet – ein wichtiges Argument, gerade in Zeiten des Fachkräftemangels. Keine Frage: Cloud-Modelle sind die Zukunft.
Große Softwarehersteller wie Microsoft versuchen Kunden mit verlockenden Angeboten zur raschen Migration zu bewegen. Doch den Umzug zu überstürzen, ist gefährlich. Denn anders, als die meisten Kunden annehmen, bietet der Cloud Provider eben doch kein Rundum-Sorglos-Paket.
Er übernimmt zwar den Betrieb, Updates und die Absicherung der Cloud-Infrastruktur – Kunden müssen sich aber selbst darum kümmern, wie sie die Nutzung der Services sicher gestalten oder ihre Apps in IaaS-Umgebungen (Infrastructure as a Service) schützen.
Das bringt einige Herausforderungen mit sich. Denn während Applikationen im eigenen Rechenzentrum seit vielen Jahren in eine etablierte, funktionierende Sicherheitsarchitektur eingebettet sind, fehlen in der Cloud oft grundlegende Security-Funktionen.
Ein On-Premises-Exchange-Server ist zum Beispiel mit ausgeklügeltem Virenschutz und Spam-Filter versehen. Man hat Zugangskontrollen und Mobile Device Management etabliert sowie solide Backup-Mechanismen in Betrieb. Bei Exchange Online fehlt all dies zunächst oder ist nur rudimentär vorhanden.
Security-Verantwortliche müssen in der Cloud vergleichbare Sicherheitsfunktionen wie On-Premises aufbauen. Das aber gestaltet sich meist schwieriger als gedacht. Denn viele Security-Tools lassen sich nicht eins zu eins in die Cloud übertragen, sondern müssen adaptiert werden.
Darauf sollten Unternehmen bei der Planung der Cloud-Migration achten
Um Risiken zu minimieren, ist es wichtig, die Migration sorgfältig zu planen und alle Beteiligten an einen Tisch zu holen. Neben den Applikationsverantwortlichen sollten die IT-Sicherheits- und auch die Netzwerkspezialisten eingebunden sein. Die folgenden vier Bereiche sind aus Security-Sicht unbedingt zu berücksichtigen:
Zugangskontrollen
Während On-Premises-Systeme in der Regel durch Firewalls geschützt sind, ist der Zugang zur Cloud zunächst einmal offen oder nur mit statischen Passwörtern abgesichert. Unternehmen müssen also selbst eine Firewall zwischenschalten und genau planen, welche Freischaltungen nötig sind.
Zusätzliche Access-Control-Funktionen sorgen dafür, dass nur berechtigte Nutzer und Applikationen auf Daten zugreifen können. Außerdem empfiehlt es sich, Zwei-Faktor-Authentifizierung einzuführen. Unsichere Passwörter sind schon in On-Premises-Netzwerken gefährlich. In der Cloud aber können sie fatal sein, weil sie Hackern weitreichenden Zugang auf sensible Informationen eröffnen.
Backup
Die Cloud sichert nicht automatisch Daten. Microsoft 365 (vormals Office 365) bietet zwar rudimentäre Backup-Funktionen, diese entsprechen aber nicht den Anforderungen an eine Enterprise-Lösung.
Unternehmen müssen also selbst ein Backup-Konzept entwickeln. Dabei sollten sie zunächst überlegen, wie viel Datensicherheit sie benötigen. Außerdem geht es um die Frage, wo die Backups gespeichert werden sollten – in der Cloud oder On-Premises. Sensible Daten möchte man am Ende vielleicht doch lieber im eigenen Rechenzentrum sichern. Das aber wirkt sich auf die Kosten aus, denn Datentransfers aus der Cloud heraus sind in der Regel erheblich teurer, als solche in die Cloud hinein.
Verfügbarkeit
Die meisten Unternehmen denken beim Thema Cloud automatisch an Hochverfügbarkeit. Doch auch Cloud-Infrastrukturen bauen auf Rechenzentren auf, in denen es zu Ausfällen kommen kann.
„Um Risiken zu minimieren, ist es wichtig, die Migration sorgfältig zu planen und alle Beteiligten an einen Tisch zu holen.“
Wolfgang Kurz, indevis
Tatsächlich gibt es bei Cloud Services verschiedene Verfügbarkeitslevel, die je nach Angebot und SLAs (Service Level Agreement) stark variieren. Die günstigen Einsteigertarife sichern oft weniger Verfügbarkeit zu, als Kunden erwarten und benötigen. Hier sollte man also genau hinsehen. Zudem lassen sich Systeme in der Cloud nicht unbedingt wie im eigenen Rechenzentrum als Cluster betreiben. Dadurch kann es zum Beispiel bei Updates zu Downtimes kommen, mit denen man so nicht gerechnet hätte.
Compliance
Auch Compliance und Datenschutz sind wichtige Aspekte, die Unternehmen vor der Migration in die Cloud prüfen sollten. Manche Vereinbarungen zur Auftragsdatenverarbeitung verbieten es zum Beispiel, Daten in die Cloud zu verlagern – oder erlauben dies nur unter bestimmten Bedingungen. In jedem Fall sollte man seine Kunden über eine geplante Migration informieren. Eine Möglichkeit, sensible Daten zu schützen und auch bei strengen Vorgaben eine Cloud-Nutzung zu ermöglichen, ist Ende-zu-Ende-Verschlüsselung. Dabei sollten Unternehmen unbedingt eine Lösung wählen, bei der sie das Schlüsselmanagement im eigenen Rechenzentrum behalten.
Fazit
Die Cloud richtig abzusichern, erfordert Know-how und Zeit. Viele Unternehmen haben dafür nicht genügend Kapazitäten im eigenen IT-Team. Ein MSSP (Managed Security Service Provider) kann bereits in der Planungsphase unterstützen und ein passendes Security-Konzept für die Cloud Services entwickeln. Hat die Migration bereits stattgefunden, kann er auch nachträglich noch Sicherheitsfunktionen einfügen und zum Beispiel Firewalls oder Access Control installieren und konfigurieren.
Mit einer guten Planung und professioneller Hilfe können Unternehmen sicher in die Cloud starten. Das lohnt sich auch finanziell. Denn durch fehlende Security entstehen versteckte Kosten, die am Ende die Cloud-Nutzung deutlich teurer machen als gedacht – etwa, weil man den Traffic für die Backup-Lösung nicht einkalkuliert hat.
Über den Autor:
Wolfgang Kurz ist CEO und Founder von indevis.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder
