Cloud-Security – Wie sicher sind Ihre Daten?

05. Juni 2019 Michał Brygidyn

Laut einer Studie von KPMG ist die Anzahl deutscher Unternehmen in der Cloud jüngst stark gestiegen: inzwischen nutzt jede dritte Firma Cloud-Services. Das Thema Sicherheit steht dabei nach wie vor im Mittelpunkt. Trotz überwiegend positiver Erfahrungen von Cloud-Anwendern bleiben bei Nicht-Nutzern hartnäckige Zweifel daran bestehen, ob die Sicherheitsrisiken der Cloud ihre Vorteile nicht überschatten.

Der folgende Artikel soll Licht auf die Frage werfen, wie es um den Datenschutz bestellt ist und was für Sicherheitsvorkehrungen es zur Vermeidung von Datenverlusten gibt.

Daten in die Obhut Fremder zu geben klingt instinktiv eher nach einer Schnapsidee als nach einem klugem Einfall. Denn wer hat wann Zugriff auf die Daten? Wie werden diese verschlüsselt? Und in wie fern ist das Ganze gesetzlich geregelt?

Einer Studie von KPMG zufolge ist die Angst vor unberechtigtem Zugriff auf sensible Unternehmensdaten eines der Hauptanliegen deutscher Unternehmen, die noch nicht in der Cloud sind. Aber auch für Firmen, die die Cloud bereits nutzen, bleibt das Thema von Bedeutung.

Es gibt inzwischen eine Reihe wirksamer Maßnahmen, die Cloud-Anbieter und -Anwender treffen können, um sich optimal abzusichern. Dabei soll zum einen der Datenschutz gewährleistet und zum anderen Serverausfälle vermieden werden. Also geht es hier nicht nur um Datenschutz, sondern auch um Datensicherheit.
Werfen wir im Folgenden einen Blick auf die gängigsten Sicherheitsmaßnahmen, um einen Überblick im Wirrwarr der Cloud-Welt zu erlangen.

Geteilte Verantwortung

Die Verantwortung für Datensicherheit liegt bei den Kunden und dem Anbieter.

Es wird dabei zwischen „Sicherheit der Cloud“ (Englisch: Security of the Cloud) und „Sicherheit in der Cloud“ (Security in the Cloud) unterschieden. Die Sicherheit der Cloud wird durch die Cloud-Infrastruktur bestimmt, wie z.B. Hardware, Software, Netzwerk und Räumlichkeiten der Provider.

Sicherheit in der Cloud hingegen umfasst das IT-Sicherheitsmanagement des Kunden, also Apps, Updates, Firewall-Einstellungen und Zugangskontrollen.

Effektive Datensicherheit bedarf des uneingeschränkten Engagements des Anbieters und des Nutzers. Letzterer ist zum Beispiel für die Wahl der Verschlüsselungsvariante zuständig, auf Basis dessen Daten gesendet und gespeichert werden.

Datenverschlüsselung

Die Kommunikation zwischen dem lokalen Rechner, Tablet oder Smartphone und den Servern des Cloud-Providers läuft in der Regel verschlüsselt. Das geschieht meistens mittels einer Technik namens Transport Layer Security (TLS) und sichert den eigentlichen Datenverkehr. TLS verschlüsselt die Kommunikation zwischen zwei Stationen, d.h. Absender- und Empfängergerät erstellen bei jedem Transfer einen Einweg-Schlüssel. Diese Methode gilt als sicher und DSGVO-konform.

Die größte potentielle Schwachstelle liegt hier bei den Zertifikaten und Zertifizierungsstellen. Diese sind häufig Angriffsziele von Hackern und könnten kompromittiert sein. Wichtig ist also, dass die Zertifizierungsstellen anerkannt sind und die Implementierung von TLS tiefgreifenden und regelmäßigen Prüfungen unterzogen wird.

Für die langfristige Datenspeicherung wird eine andere Art der Verschlüsselung angewandt, bei der ein geheimer Schlüssel (oder Key) zur Entschlüsselung benötigt wird. Das soll verhindern, dass ein unbefugter Systemzugriff zu einem Datenleck ausartet, indem die Daten nur für denjenigen lesbar sind, der auch den Key hält. Es gibt drei unterschiedliche Varianten dieser Verschlüsselungsmethode.

Doch nicht nur alle guten Dinge sind drei. Bevor wir zu den drei Verschlüsselungsvarianten kommen, werfen wir einen Blick auf die drei „üblichen Verdächtigen“, von denen ein unbefugter Zugriff stammen kann:

• Mitarbeiter des eigenen Unternehmens (Erstpartei)
• Mitarbeiter des Service-Anbieters (Zweitpartei)
• Person von außen (Drittpartei)

Die folgenden Verschlüsselungsmethoden bieten ein unterschiedliches Maß an Sicherheit gegen unsere mutmaßlichen Täter und unterscheiden sich auch in ihrer Umsetzung.

1. Server-Side Encryption mit Key auf dem Server

Der Anbieter verschlüsselt die Daten und hält den Schlüssel – Encryption und Key liegen beide in der Hand des Cloud-Anbieters. Dort arbeiten Menschen, die wir nicht unbedingt kennen, und die Gefahr eines unbefugten Zugriffs durch eben diese Partei bestünde durchaus, wenn das dementsprechende Sicherheitsmaßnahmen nicht verhindern würden.

Diese wären da streng getrennte Befugnisse, Multi-Faktor-Authentisierung, Überwachungssysteme und regelmäßige Prüfungen durch unabhängige Stellen. Es ist hier wichtig, sich im Voraus zu informieren, welche Vorkehrungen der Cloud-Anbieter getroffen hat.

Den Schutz vor Missbrauch durch Erstparteien muss der Anwender dabei selber managen.

2. Server-Side Encryption mit Key auf dem Client

Der Anbieter verschlüsselt die Daten und der Anwender hält den Schlüssel. Diese Variante gilt allgemein als sicherer, da die auf Seite des Anbieters verschlüsselten Daten durch diesen nicht gelesen werden können, weil der Schlüssel beim Anwender selbst liegt. Eingriffe durch Zweit- und Drittparteien sind also „besser“ geschützt.

Besser steht hier in Anführungsstrichen, weil es immer noch zu unbefugten Zugriffen durch Drittparteien kommen kann: Ihre Daten sind nur so sicher wie der Zugang zu den eigenen Räumlichkeiten und der eigenen Hardware.

Hier ist zum Schutze vor Zugriffen durch Erstparteien ein effektives internes IT-Sicherheitsmanagement ebenfalls notwendig.

3. Client-Side Encryption

Bei dieser Variante verschlüsselt der Anwender die Daten und hat alleinig den Schlüssel, der es ihm erlaubt, die Daten auch wieder zu entschlüsseln. Sie gilt zwar als sicherste Methode zum Schutz gegen Eingriffe durch Zweit- oder Drittparteien.

Diese können ohne den Key die Informationen nicht entschlüsseln. Die Methode erlaubt aus technischen Gründen nicht dieselbe Flexibilität in der Cloud. Und da sie in ihrer Umsetzung sehr umständlich ist, ziehen viele Unternehmen immer noch die serverseitige Verschlüsselung vor.

Unbefugter Zugriff durch Erstparteien ist auch bei dieser Variante durch ein effektives internes IT- Sicherheitsmanagement zu vermeiden.

Rechenzentren

Ebenfalls ausschlaggebend für den Datenschutz ist der Standort des Rechenzentrums. Ein in Deutschland ansässiges Zentrum, selbst wenn es von ausländischen Betreibern geführt wird, muss der Europäischen Datenschutzgrundverordnung (DSGVO) und den in Deutschland geltenden Regeln entsprechend strenge Vorschriften einhalten.

Große Anbieter wie AWS, Google und Microsoft haben Standorte in verschiedenen Ländern. AWS zum Beispiel hostet in 21 AWS-Regionen und 64 sogenannten „Availability Zones“. Fragen Sie nach und legen Sie vertraglich fest, wo genau Ihre Daten gespeichert werden.

Was die Informationssicherheit angeht, sind die Räumlichkeiten selber ausschlaggebend.

Das Gebäude, in dem sich die Server befinden, sollte so sicher sein wie Dagobert Ducks Geldspeicher. Es muss also extrem hohe Anforderungen erfüllen. Sicherheitszonen, Video- und Wärmeüberwachung, Betonwände, die Stürme und Bombenangriffe aushalten müssen… und am besten gleich alles in doppelter Ausführung, dann das hält bekanntlich besser. Damit kein Panzerknacker drankommen kann!

Rechenzentren sind in der Regel auch vor Bränden, Blitzeinschlägen und Überschwemmungen gesichert. Stromausfälle – die häufigste Ursache von Unterbrechungen – werden durch redundante Auslegung aller wichtigen Systeme und eine doppelt gesicherte Stromversorgung vermieden.

Der Sicherheitsperimeter

Die Sicherheit eines Rechenzentrums fängt bei seinem Perimeter an. Hier beschränken in der Regel eine Reihe von Sicherheitsmaßnahmen schon mal den physischen Zugang zum Gelände: Sicherheitspersonal, Zäune, Video- und Wärmekameras sowie Bewegungsmelder sind hier im Spiel.

Zugangsgenehmigungen werden ausschließlich an Personen erteilt, die einen nachvollziehbaren beruflichen Grund für den Aufenthalt im Zentrum haben. Besucher bekommen einen Ausweis, der eine Multi-Faktor-Authentifizierung erfordert und auf den Zugang zu bestimmten Bereichen beschränkt ist.

Die Infrastruktur

Ein weiterer wichtiger Sicherheitsaspekt ist die Infrastruktur des Gebäudes, in dem die Server liegen, sowie aller damit verbundenen Geräte und Systeme. Dazu gehören z.B. Notstromgeneratoren, Heizung, Lüftung, Kühlung und Brandschutzsysteme. Auch hier wird der physische Zugang erst erteilt, wenn ein triftiger Grund vorhanden ist.

Wartungsarbeiten werden regelmäßig durchgeführt, um die volle Funktionsfähigkeit der Maschinen und Systeme zu gewährleisten. Alle wichtigen Anschlüsse sind gewöhnlicherweise in redundanter Ausführung doppelt und dreifach gesichert, sodass der Normalbetrieb auch im Notfall weiter läuft.

Das Datenlager

Der Kernbereich eines Rechenzentrums sind die Serverräume, in denen die Daten aufbewahrt werden. Dieser stellt die dritte Sicherheitszone dar, die wie die beiden ersten durch eine Zugangsbegrenzung, eine strenge Trennung der Berechtigungen sowie flächendeckender Videoüberwachung gekennzeichnet ist. Darüber hinaus stellen Systemprotokolle und Klimakontrolle sicher, dass auf Serverebene alles im grünen Bereich bleibt.

Auch hier kommt eine Multi-Faktor-Autorisierung ins Spiel, die potentiellen digitalen und physischen Eindringlingen einen Strich durch die Rechnung macht. Speichergeräte, auf denen Kundendaten lagern, werden vom Betreiber durch klar definierte Verfahren gehandhabt: Installation, Betrieb und Terminierung erfolgen nach strengen Vorschriften.

Diese Verfahren und Systeme werden jährlich durch externe Prüfstellen geprüft. In der Regel sind diese Prüfungen sehr gründlich und decken mehrere Tausende Punkte ab. Im nächsten Abschnitt schauen wir uns einige der anerkannten Zertifizierungen an.

Zertifizierungen

Während vor einigen Jahren die Cloud für viele noch ein vom Nebel umwobener Begriff war, sehen wir heute die fortschreitende Normierung der Sicherheitsaspekte von Cloud-Computing auf nationaler und internationaler Ebene. Das gilt für den Datenschutz wie für die Informationssicherheit.

In dieser Hinsicht lassen sich seriöse Cloud-Anbieter freiwillig regelmäßigen Prüfungen unterziehen. Diese Audits nehmen zahlreiche Aspekte in Augenschein und sollen sicherstellen, dass Standort, Systeme und Sicherheit vollständig regelkonform sind.

Nehmen Sie daher die Zertifizierungen Ihrer potentiellen Cloud-Anbieter genau unter die Lupe, bevor Sie sich für einen Provider entscheiden.

Es gibt zahlreiche Standards, auf Basis dessen die Audits durchgeführt werden: Die folgenden Beispiele genießen ein hohes Ansehen, sind international gültig und widmen sich in vollem Umfang der Informationssicherheit.

ISO 27001 auf Basis von IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Zertifizierungen an, die in Form von den BSI-Standards 200-1 bis 200-3 Informationssicherheits-Managementsysteme in unterschiedlichem Umfang abdecken.

Diese Zertifizierungen können erst nach der Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditoren vergeben werden. ISO 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen und gemeinnützigen Organisationen.

PCI DSS

PCI DSS steht für Payment Card Industry Data Security Standard und wurde 2016 vom PCI Security Standrads Council zur Sicherung von Kreditkartenzahlungen im Internet veröffentlicht. Ein Audit erfolgt über einen Qualified Security Assessor (QSA), einen Internal Security Assessor (ISA) oder, bei kleineren Unternehmen, einen Selbstbewertungsfragebogen.

HIPAA

Auch bekannt als der U.S. Health Insurance Portability and Accountability Act, wurde dieser Standard ursprünglich für Unternehmen im Gesundheitswesen entwickelt, um Patientendaten zu schützen.
Hauptmerkmale sind hier der Fokus auf Multi-Faktor-Authentifizierung, unterschiedliche Zugriffsebenen sowie ein umfassender Schutz der Patientendaten in allen Stadien (at-Rest, in-Transit und in-Use).

C5

Das BSI hat weiterhin einen Anforderungskatalog namens Cloud Computing Compliance Controls Catalogue (kurz C5) veröffentlicht. Nebst der beeindruckend langen Alliteration im Titel unterscheidet sich der deutsche Standard von den anderen Standards darin, dass auch sogenannte Umfeld-Parameter mit einbegriffen sind. Diese geben Auskunft über Datenstandort, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen. All die guten Dinge also.

Den Nachweis, dass ein Cloud-Anbieter die Anforderungen des Katalogs einhält, liefert der SOC 2-Bericht. Dieser Bericht gründet auf dem international anerkannten Test-Standard des ISAE 3000, welcher von Wirtschaftsprüfern benutzt wird. Das Testat wird von einem Wirtschaftsprüfer erteilt und wirkt über rein vertragliche Zusicherungen hinaus.

Die drei großen Anbieter AWS, Google und Microsoft zum Beispiel haben das C5-Testat.

EU-Standards

Repräsentanten von Cloud-Anbietern und Nutzern arbeiten gemeinsam an einem europaweiten Regelwerk, das in Zeiten steigender Akzeptanz und Nutzung der Cloud einen Europäischen Standard einläuten wird, der zu mehr Transparenz und Sicherheit führen soll.

Im Zuge dieser EU-weiten Initiative zur Normierung von Interoperabilität und Datensicherheit haben zwei Arbeitsgruppen im November 2018 jeweils einen Code of Conduct (CoC) verabschiedet, die beide am 25. Mai 2019 in Kraft treten werden.

Die European Cloud Provider Certification Group (CSP Cert) beschäftigt sich in ihrem CoC mit einem Framework für Cyber-Security. Dazu gehören Neuerungen im Bereich PaaS (Platform as a Service), die Erstellung eines gemeinsamen Marktplatzes mit globalem API-Katalog sowie die Erstellung von Strukturen auf Grundlage von Open Source.

Der zweite CoC, der SaaS Code of Conduct for Public Consultation, betrifft Software as a Service und wird von der Arbeitsgruppe „Cloud Switching and Porting Data“ (SWIPO) entwickelt. Er soll das Management von Cloud Switching und Data Porting im Interesse der Anwender erleichtern und so einen systematischen, globalen und agilen Ansatz für Cloud-Dienste erschaffen.

Die CoC erscheinen im November 2019 auch als App, und im Mai 2020 wird eine Datenschutzverordnung für Unternehmen angepeilt. Diese Entwicklungen deuten darauf hin, dass die Standardisierung der Cloud-Dienste im vollen Gange ist und dass dabei die Informationssicherheit und der Datenschutz an vorderster Stelle liegen.

Fazit

Je länger die Cloud ihren Siegeszug weiterführt, umso mehr steigern sich die Sicherheitsbedenken. Und das ist gut so. Denn nur so können Datenlecks in Zukunft vermieden werden.

In diesem Sinne sind vergangene Sicherheitslücken nicht nur als ein Scheitern der zuständigen Parteien zu betrachten, sondern auch als Erfahrungen, aus denen man wertvolle Erkenntnisse ziehen konnte.

Es ist empfehlenswert, sich etablierte Anbieter auszusuchen. Denn diese verfügen über langjährige Erfahrung und solide Geschäftsmodelle, auf Basis dessen eine starke „Sicherheit der Cloud“ gewährleistet werden kann.

Heute ziehen Industrie, Regierung und die Europäische Union verstärkt an einem Strang, um so in Zukunft ein solides Fundament für die Cloud zu schaffen.

Denn diese gilt inzwischen im heutigen Marktumfeld als überlebenswichtig: Hohe Skalierbarkeit, beträchtliche Kosteneinsparungen und Innovation sind dabei die attraktivsten Vorteile dieser Technologie. Anwender und Anbieter müssen gemeinsam darauf achten, dass die Sicherheitsaspekte dabei stets im Vordergrund bleiben.

Geschäftsperspektive

Bei der Wahl Ihres Cloud-Providers sollten Sie als Cloud-Anwender die genannten Aspekte mit einbeziehen: Einigen Sie sich auf die Art der Datenverschlüsselung; fragen Sie nach, wo der Standort des Rechenzentrums ist, in dem Ihre Daten gespeichert sind und vergewissern Sie sich, dass der Cloud-Anbieter die richtigen Zertifizierungen hat. Das ist dann schon die halbe Miete, und Sie können sich auf das innovieren in der Cloud konzentrieren.

Unsere Empfehlungen