Cloud Security – Sind die Bedenken gerechtfertigt?

Publish date:

Den enormen Vorteilen der Cloud stehen oftmals Bedenken bezüglich der Cloud Security entgegen. Zögerliche Unternehmen sorgen sich um Datenverluste, unsichere Schnittstellen und regulatorische Anforderungen – aber auch zu Recht?

Warum überhaupt über Cloud-Nutzung nachdenken?

Mehr und mehr Unternehmen entscheiden sich für den Schritt in die Cloud. Auch dieses Jahr ist Cloud einer der Top IT-Trends. Laut der Capgemini IT Trends Studie 2019 arbeiten aktuell 63,2% der befragten Unternehmen an der Migration von Anwendungen in die Cloud.

Oftmals versprechen sich die Unternehmen Kostenvorteile. Allerdings sind auch eine verbesserte Verfügbarkeit, erhöhte Agilität, flexible Kapazität und Skalierbarkeit stärker im Fokus. Dabei nutzen Unternehmen einzelne Cloud Services oder folgen einer ganzheitlichen Cloud-Strategie, um alle Vorteile zu realisieren.

Allgemeine Cloud Barrieren

Trotz der Möglichkeit, genannte Vorteile zu erzeugen, sind Verantwortliche in Unternehmen oft noch unsicher, was eine Migration in die Cloud betrifft. Dafür gibt es verschiedenste Gründe, wie z.B. ein wahrgenommener Kontrollverlust, Budget-Herausforderungen, fehlende Expertise innerhalb des Unternehmens, regulatorische Compliance und auch Hindernisse bei der Integration mit der existierenden IT-Landschaft. Doch der ausschlaggebende Aspekt, der die Einführung der Cloud in vielen Unternehmen hemmt, ist die Sorge um die Datensicherheit.

Sind meine Daten in der Cloud sicher?

Der 2019 ISC2 Cloud Security Report zeigt auf, dass Cybersecurity-Verantwortliche weiterhin Bedenken haben. Insbesondere in Bezug auf die Aspekte Datenverlust und Datenschutz vertrauen jeweils 62% und 64% der Befragten der Cloud nicht. Und auch die Risiken einer fehlenden regulatorischen Compliance (39%), der Offenlegung von Zugangsdaten (39%) und dem potenziellen Verlust der Datenhoheit/-kontrolle (35%) werden kritisch gesehen.

Weitere Themen, wie das Risiko eines unberechtigten Zugriffs, dem Mangel an spezialisierten Mitarbeitern, potenziell unsicheren Schnittstellen und einer Infiltration der Cloud durch Malware stellen auch immer wieder Barrieren für die Nutzung dar. Hinzu kommen datenschutzrechtliche Herausforderungen bei der Nutzung von Cloud-Speicher, der sich womöglich in Drittländern* befindet.

Zweifelsohne ist das Thema Cybersecurity in seinen Ausprägungen nicht zu unterschätzen. Und da es sich bei der Cloud um eine dynamische Umgebung handelt, ist es verständlich, dass Unternehmen mit Vorsicht agieren. Dabei sind viele Aspekte der Sicherheit für Cloud-Umgebungen identisch mit denen einer lokalen IT-Architektur. Sicherheitslücken, wie unbefugte Datenoffenlegungen, schwache Zugangskontrollen, Anfälligkeit gegenüber Angriffen sowie Unterbrechungen der Verfügbarkeit betreffen sowohl die traditionelle IT als auch die Cloud. Wichtig ist es, die Unterschiede zu verstehen, um Risiken präventiv zu minimieren.

Bei Nutzung der Cloud teilen sich Unternehmen zusammen mit dem Cloud-Anbieter die Verantwortung für die Datensicherheit. Der Cloud-Anbieter ist für die Data Center Sicherheit verantwortlich. Die gute Nachricht: Oftmals sind die Provider vielfach zertifiziert (siehe Abb. 1), weisen eine extrem hohe technische Sicherheit auf und arbeiten ständig an der Optimierung ihrer Sicherheitsmechanismen. Damit ist die technische Sicherheit der großen Cloud-Anbieter regulären Data Centern weit überlegen.

Cloud Zertifizierung Capgemini Invent
Abb. 1: Auszug aus dem Capgemini Cloud Security Zertifizierungsvergleich – AWS und Azure (Stand: April 2019)

Als Nutzer von IaaS und PaaS haben die Unternehmen die Pflicht, die Applikationssicherheit und Datensicherheit sicherzustellen. Dafür müssen Sie unter anderem gewährleisten, dass sichere APIs entwickelt werden, ein vollständiges Identitäts- und Berechtigungsmanagement definiert ist, ein dynamisches Monitoring besteht und die verschiedenen Security-Aspekte aufeinander abgestimmt sind. Bei SaaS Nutzung übernimmt der Provider mehr Verantwortung für die Applikationssicherheit, die genannten Aspekte müssen aber auch vom nutzenden Unternehmen beachtet werden. Dementsprechend ist es ratsam, diese Maßnahmen für Cloud Security als Bestandteile in eine ganzheitliche Cloud Strategie aufzunehmen.

Eingliederung der Cloud Security in die Cloud Strategie

Bei der Entwicklung einer Cloud Strategie und der damit einhergehenden Business Transformation sind drei Aspekte besonders wichtig: Technologie, Mitarbeiter und Prozesse. Auch in Bezug auf Cloud Security müssen diese beachtet werden und beinhalten beispielsweise Faktoren der technologischen Sicherheit, Prozessdefinition und Mitarbeiterbefähigung.

Der „Future of Technology“ Bereich bei Capgemini Invent beschäftigt sich täglich damit, unternehmensspezifische Cloud Strategien zu entwickeln, um die Vorteile der Cloud maximal effizient und sicher zu nutzen. Das Zusammenspiel der bisherigen Technologien mit neuen Cloud-Technologien (Hybrid- und Multi-Cloud) ist dabei eine der wesentlichen Fragestellungen. Vor diesem Hintergrund und mithilfe unseres Cloud Maturity Assessment analysieren wir die Aspekte Technologie, Mitarbeiter und Prozesse und zeigen Maßnahmen auf, um Cloudpotenziale zu verstehen, zu kommunizieren und zu maximieren.

Fazit

Die Vorsicht vieler Unternehmen in Bezug auf Cloud Security ist nachvollziehbar, da mit der Einführung der Cloud neue Herausforderungen auf sie zukommen. Allerdings liegen die Risiken nicht primär auf Seiten der Cloud-Anbieter, welche in den meisten Fällen höchste Sicherheitsstandards aufweisen. Vielmehr ist es notwendig, dass Unternehmen präventive Maßnahmen einleiten, um Risiken, wie unberechtigte Zugriffe, unsichere Schnittstellen oder mangelnde Cloud-Expertise vorzubeugen. In einer umfassenden Cloud Strategie sollten diese aufeinander abgestimmt werden, damit die Unternehmen die Vorteile der Cloud sicher nutzen können.

 

* Die DS-GVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
  • Vorliegen geeigneter Garantien (Art. 46 DS-GVO) oder
  • Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO).

Wenn Sie sich zu Cloud Security und Cloud Strategie austauschen wollen, kontaktieren Sie die Autoren Daniel Unrau oder Tae Ho Shin. Wir freuen uns auf das Gespräch.

Weitere Posts

Cybersecurity

Security first oder Hauptsache innovativ?

Sebastian Heierhoff
Date icon September 12, 2019

Eine Studie von Capgemini Invent und Studenten der Georg-August-Universität Göttingen zeigt:...

Cloud (de-de)

Capgemini Cloud Maturity Assesment – Teil II

Capgemini Group
Date icon August 26, 2019

Kosteneinsparungen, erhöhte Flexibilität und gesteigerte Automatisierungsgrad – die Cloud...