Sicherheitskriterien für Daten in der Cloud

April 27, 2020 Sicherheit und Compliance, MOVEit

Lokale Rechenzentren im Vergleich zur Cloud: Welche Umgebung bietet mehr Datensicherheit?

Führungskräfte aus der Wirtschaft scheuen manchmal davor zurück, sensible Daten in der Cloud zu speichern. Sie befürchten, die Kontrolle über die Sicherheit der Daten zu verlieren. Es scheint auch bequemer zu sein, den Flur zu einem lokalen Rechenzentrum entlangzugehen und die physischen Systeme, auf denen die Daten gespeichert sind, visuell erfassen zu können.

Letztlich hängt die Sicherheit, die die Cloud im Vergleich zu einem lokalen Rechenzentrum bietet, von den Menschen, den Prozessen und den Technologien ab, die eingesetzt werden. Mit dem richtigen Fachwissen und unter Anwendung von Best Practices, aktueller Hardware und Software, kann jede der beiden Umgebungen den notwendigen Schutz für die digitalen Ressourcen Ihres Unternehmens bieten.

In den meisten Fällen sind Ihre Daten in der Cloud sicherer, wenn Sie für die Verwaltung Ihrer Cloud-Umgebung mit einem führenden Anbieter von Cloud-Plattformen und einem externen Berater zusammenarbeiten. Die führenden Anbieter von Cloud-Plattformen bieten Endanwender-Authentifizierungs- und Identitätsmanagementdienste sowie Verschlüsselung für aus der Cloud heruntergeladene Daten, um höchste Sicherheitsstandards zu gewährleisten.

Nachteile der lokalen Datenspeicherung

In der Cloud sind Ihre Sicherheitsausgaben wahrscheinlich geringer und der Aufwand zur Aufrechterhaltung Ihrer Sicherheitsvorkehrungen effizienter. Das liegt daran, dass Sie entweder IT-Sicherheitsexperten einstellen müssen, wenn Sie Ihre Daten lokal aufbewahren, oder sich auf Ihr IT-Systemadministratorteam verlassen müssen. Ersteres bringt die Zahlung hoher Gehälter und Sozialleistungskosten mit sich. Bei der zweiten Option gehen Sie das Risiko ein, Ihr IT-Team übermäßig zu belasten und sich auf allgemeine IT-Sachverständige zu verlassen, die sich möglicherweise nicht gut mit Sicherheitsfragen auskennen.

Auch die internen IT-Ressourcen sind durch ihre geringe Auslastung beeinträchtigt. Sie beschäftigen sich und arbeiten nur mit Ihrer IT-Infrastruktur. Externe Cloud-Experten hingegen arbeiten mit einer Vielzahl von Kunden aus verschiedenen Branchen. Dadurch verfügen sie über eine viel umfassendere Perspektive auf Best Practices und Prozesse, die sich kontinuierlich weiterentwickeln müssen, um mit allen cyberkriminellen Aktivitäten Schritt halten zu können, die mit der Zeit immer ausgefeilter werden. Das ist eine Perspektive, die interne Teams einfach schwer erlangen können.

Bei der lokalen Speicherung von Daten müssen Sie auch in Sicherheitstools investieren und diese müssen von Ihnen regelmäßig gepatcht und aktualisiert werden. Das erhöht Ihre Kosten noch weiter und man kann leicht den Überblick darüber verlieren, ob ein Tool eine Aktualisierung erfordert – was wiederum bedeutet, dass das Tool nicht immer mit optimaler Kapazität arbeitet.

Ein weiterer Aspekt der Datensicherheit, der eine Herausforderung für interne Teams darstellen kann, ist die Möglichkeit, auf Informationen zu externen Bedrohungen zuzugreifen und diese zu verarbeiten. Es reicht nicht aus, strenge interne Sicherheitsvorkehrungen zu treffen, man sollte auch über die versteckten Bedrohungen Bescheid wissen, die sich möglicherweise bald konkret auf Ihre Sicherheitsvorkehrungen auswirken könnten. Das Problem ist, dass es viele externe Quellen gibt, die überwacht werden müssen und dass die Synchronisierung aller von ihnen erzeugten Bedrohungsinformationen mit Ihren internen Tools spezielles Fachwissen und Technologien für das Bedrohungsmanagement erfordern.

Wenn öffentliche Cloud-Umgebungen keine Option sind

Für Unternehmen, die mit sensiblen Daten umgehen, wie z. B. im Finanz- und Gesundheitssektor, ist die Speicherung von Daten in öffentlichen Cloud-Umgebungen möglicherweise keine Option oder durch Vorschriften verboten. Und wenn Sie bei dem Gedanken daran, dass Ihre Daten irgendwo außerhalb Ihres physischen Gebäudes gespeichert sind, keine Ruhe finden, ist die Nutzung einer öffentlichen Cloud für Sie schlichtweg nicht lohnenswert.

Eine mögliche Alternative besteht darin, eine private Cloud in Ihrem lokalen Rechenzentrum einzurichten. Sie können auch eine virtuelle private Cloud-Umgebung in Betracht ziehen, die von einer gemeinsam genutzten Rechenzentrumseinrichtung angeboten wird. Beide Ansätze bieten Ihnen eine hybride Umgebung, die möglicherweise die beste Alternativlösung für lokale Rechenzentren ohne Internetanschluss ist.

Schützen Sie sich selbst vor Strafen - Leitfaden für IT-Spezialisten zur Informationssicherheit und Compliance >>

In der Cloud werden Sicherheitsvorkehrungen nicht automatisch getroffen

Die führenden Cloud-Anbieter können Ihnen zwar bei der Bewältigung all dieser Herausforderungen helfen, aber es geht nicht nur darum, ihre Dienste in Anspruch zu nehmen und dann davon auszugehen, dass damit alle Herausforderungen in Bezug auf die Sicherheit gelöst werden. Genau wie bei einem internen Rechenzentrum sollten Sie Ihren Cloud-Anbieter sorgfältig prüfen und die Mitarbeiter, Prozesse und Technologien bewerten, die dieser Anbieter zur Verfügung stellt. Nur so können Sie sicherstellen, dass ein Cloud-Anbieter ausreichend auf Ihre Sicherheitsbelange eingeht.

Es ist oft eine gute Idee, mit einem externen Cloud-Sicherheitsberater zusammenzuarbeiten. Obwohl die führenden Anbieter von Cloud-Plattformen wie AWS, Azure und Google Zugang zu allen erforderlichen Sicherheitstools bieten, konfigurieren sie nicht automatisch Ihre Umgebung für die Nutzung dieser Tools. Sie müssen wissen, wie man sie aktiviert, wie man sie überwacht und wie man die Dienste im Laufe der Zeit verwaltet. In diesem Zusammenhang ist ein Berater oder ein Anbieter von in der Cloud verwalteten Diensten essenziell.

Sie verfügen möglicherweise über Ressourcen, die in der Lage sind, Cloud-Sicherheitstools zu überwachen und zu verwalten, aber auch in diesem Fall ist es in der Regel besser, auf einen externen Partner mit umfassender Erfahrung über Best Practices im Bereich Sicherheit zu vertrauen. Es ist besser, Ihr internes Team einzusetzen, um sicherzustellen, dass die Anwendungen ordnungsgemäß funktionieren und um Endanwendern zu helfen, die technischen Support benötigen.

Die gemeinsame Verantwortung für das Cloud-Sicherheitsmodell verstehen

Bei der Speicherung von Daten in der Cloud ist es auch sehr wichtig, das Modell der gemeinsamen Verantwortung für die Cloudsicherheit zu verstehen. Cloud-Anbieter ergreifen Maßnahmen zum Schutz der Hardwareinfrastruktur der Umgebungen, allerdings sind Sie für die Sicherheit Ihrer Daten und Anwendungen verantwortlich. Stellen Sie außerdem sicher, dass Sie alle Drittanbieter ermitteln, die Zugang zu bestimmten Diensten in Ihrer Cloud-Umgebung haben oder diese bereitstellen.

Ihr Cloud-Anbieter kann beispielsweise auf einen externen Virenschutzanbieter zurückgreifen oder Sie können eine Unternehmensanwendung in einer Cloud-Umgebung ausführen, die vom Anwendungsanbieter vermittelt, aber von einer gemeinsam genutzten Einrichtung gehostet wird. Es ist wichtig, alle Beteiligten und ihre Rolle beim Schutz Ihrer Cloud-Umgebung die Sicherheitskontrollen, für die die jeweilige Entität verantwortlich ist, zu ermitteln und herauszufinden, ob es Sicherheitslücken gibt, die ein Risiko für Ihre Umgebung darstellen. Anschließend muss ein Projektplan für den Verantwortlichen erstellt werden, damit diese Lücken geschlossen werden und sichergestellt wird, dass Ihre Cloud-Sicherheitsvorkehrungen den relevanten Vorschriften entsprechen.

Eine häufige Herausforderung, der sich viele Unternehmen gegenübersehen, wenn es um die gemeinsame Verantwortung geht, ist die mangelnde Transparenz der Sicherheitskontrollen, die Cloud-Anbieter eingeführt haben – sie geben diese Informationen nicht immer an ihre Kunden weiter. Im Idealfall sollten Sie mit Ihrem Cloud-Anbieter eine Matrix der gemeinsamen Verantwortung erstellen, wodurch Klarheit in Bezug auf die gesamten Verantwortlichkeiten für die Sicherheitskontrolle geschaffen und definiert wird, welche zu 100% einer Entität gehören und welche auf mehrere Einheiten aufgeteilt sind.

All das unterstreicht einmal mehr die Bedeutung der Menschen, Prozesse und der Technologien, die zum Schutz Ihrer Daten und anderer digitaler Ressourcen eingesetzt werden. Unabhängig davon, ob sich Ihre Daten vor Ort, in der Cloud oder in beiden Umgebungen befinden, sollten Sie sicherstellen, dass Sie das nötige Fachwissen sowie die erforderlichen Best Practices und die führenden Sicherheitstools nutzen.

Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.