Zahlreiche Unternehmen nutzen Cloud-Angebote wie Microsofts Office365 oder installieren auf Cloud Computing-Plattformen wie AWS eigene Systeme. Administratoren stehen vor der Aufgabe, deren Nutzung im Unternehmen abzusichern.
- Zugriff auf die Cloud nur über virtuelle private Netzwerke (VPN)
- Unterschiedliche Cloud-Dienste erfordern unterschiedliche Sicherheitskonzepte
Unternehmen setzen zunehmend auf Cloud-Dienste. Schon in den letzten Jahren vor der Corona-Pandemie wiesen Untersuchungen ein kontinuierliches Wachstum nach. Inzwischen kommen nur noch sehr wenig Unternehmen ohne Cloud aus. Laut diesjährigem Cloud-Monitor von Bitkom und KPMG sind es lediglich drei Prozent der Unternehmen, die auch zukünftig auf die Cloud verzichten wollen.
Die Untersuchung ergab außerdem, dass Sicherheitsfragen für fast alle Cloud-Kunden das entscheidende Kriterium sind. Doch die IT-Sicherheit hinkt in der Praxis oft hinterher, denn nicht allen ist klar, dass auch das Unternehmen einen Teil der Verantwortung dafür trägt. Worauf es dabei ankommt, zeigen unsere Experten.
Unterschiedliche Cloud-Anwendungen brauchen unterschiedliche Sicherheitskonzepte
Michael Weirich, Projektmanager IT-Sicherheit beim Verband der Internetwirtschaft, eco, rät, nur über ein virtuelles privates Netzwerk (VPN) auf Cloud-Dienste zuzugreifen:
Als erste organisatorische Maßnahme gilt es, den Zugang zu den Cloud-Diensten gesondert zu schützen. Nur über vertrauenswürdige Anbindungen sollte der Zugriff auf die Firmen-Cloud möglich sein. Ein VPN sorgt für eine verschlüsselte Verbindung zwischen den Geräten der Angestellten und dem Firmennetzwerk, das die Cloud-Dienste zur Verfügung stellt.
Den Cloud-Zugang auf Endgeräten von Mitarbeitern müssen Unternehmen durch geeignete Maßnahmen absichern. Hier sollte die Zwei-Faktor-Authentisierung zusätzlich zu einem starken Passwort genutzt werden. Ein Rechtesystem unterstützt das kontrollierte Teilen von Daten und Diensten.
Bei der Auswahl von Cloud-Diensten sollte auf Zertifizierungen sowie Standorte des Anbieters geachtet werden. Ein Beispiel ist die EuroCloud-SaaS-Zertifizierung: Maßstab dieser Zertifizierung sind die deutschen und europäischen Gesetze zum Datenschutz und zur IT-Sicherheit sowie internationale Normen. Die Webseite von Trusted Cloud listet Cloud-Anbieter mit Sicherheitsnachweisen.
Robert Couronné leitet die Themenplattform Cybersecurity bei der Bayerischen Gesellschaft für Innovation und Wissenstransfer, Bayern Innovativ. Er verweist auf die Notwendigkeit unterschiedlicher Sicherheitsmodelle für die verschiedenen Cloud-Angebote:
Zunächst ist wichtig zu unterscheiden, um welche Cloud-Dienste es geht. Native Cloud-Anwendungen wie etwa Office365 können gerade für KMU deutliche Security-Vorteile bieten. Da der Schutz der Cloud-Dienste im eigenen Interesse des Cloud-Anbieters steht, wird dieser professionelle Schutzmaßnahmen einsetzen. Dies betrifft die Sicherheit der Applikationsserver, der Kommunikationsstrecken sowie damit verbundener Benutzerdaten.
Bucht man lediglich „virtuelle Rechner“ in der Cloud und bestückt sie mit eigener Software, so ist man selbst für deren Absicherung verantwortlich, ähnlich wie für Server im eigenen Rechenzentrum. Der Vorteil bleibt dann auf den zusätzlichen Standort beschränkt.
Nutzt man Cloud-Dienste zur Datensicherung, müssen diese hinter einer eigenen Firewall geschützt betrieben werden. Um Ransomware-Attacken vorzubeugen, dürfen diese nicht Teil der eigenen Domain und nicht mit den Zugriffsrechten des Active Directory erreichbar sein. So bieten sie zudem den Vorteil eines zweiten Standorts.
Cloud-Security erfordert spezielles Know-how
Während bestimmte Cloud-Dienste gerade für kleinere Unternehmen deutliche Sicherheitsvorteile bringen können, bleibt es in den meisten Fällen Aufgabe des Unternehmens, Sicherheitsvorkehrungen zu treffen und die Cloud-Nutzung im Unternehmen entsprechend abzusichern. Dazu gehört ein sicherer Zugang über VPN sowie Multi-Faktor-Authentifizierung (MFA), aber auch ein dediziertes Rechtesystem, damit Zugriffsrechte jeweils individuell angepasst werden können und auf das Notwendigste beschränkt sind. Die IT-Fachleute im Unternehmen benötigen jedoch entsprechendes Fachwissen, denn Cloud-Konfigurationen sind häufig fehlerhaft und bilden damit ein Einfallstor für Angreifer.
Autor: Uwe Sievers