Cloud Computing ist in vielen Bereichen bereits zum Standard avanciert, doch wie steht es um die Cloud-Sicherheit in Unternehmen?
Sowohl in mittelständischen als auch in großen Unternehmen wird zunehmend auf Cloud-Dienste zurückgegriffen: Bereits im Jahr 2017 nutzten laut einer Umfrage von Bitkom* zwei Drittel aller deutschen Unternehmen Cloud Computing. Die einfache Integrierbarkeit in bestehende Systeme (zumeist im Self-Service), niedrige Anschaffungskosten, bidirektionale Skalierbarkeit und mobile Verfügbarkeit sind die wesentlichen Vorteile, die eine Zunahme der Cloud-Nutzung in Unternehmen weiter antreiben. Bei den befragten Unternehmen kommt hierbei die Private Cloud deutlich häufiger zum Einsatz als die Public Cloud.
Insbesondere Bedenken in Bezug auf die Datensicherheit sind ein Hauptgrund, warum viele Unternehmen noch zögern, die Cloud zu nutzen. Zu den größten Vorbehalten gehört die Sorge vor unberechtigtem Zugriff auf sensible Unternehmensdaten und dass Daten in der Cloud verloren gehen könnten. Auch eine möglicherweise unklare Rechtslage bezüglich der Verarbeitung personenbezogener Daten kann zu Verunsicherung führen. Wir geben Tipps, wie Cloud Computing in Ihrem Unternehmen sicher und einfach gelingen kann.
Bestandsaufnahme: Wo nutzen Unternehmen bereits Cloud-Technologie?
Cloud-Lösungen für Unternehmen sind mittlerweile für eine Vielzahl unterschiedlicher Anwendungen erhältlich. Die Angebotspalette erstreckt sich von einfachen Kommunikationstools über Office-Anwendungen bis hin zu komplexen ERP-Lösungen in der Cloud. Einige Anwendungen sind bereits so etabliert, dass sie überhaupt nicht als “Cloud”-Dienst wahrgenommen werden.
- E-Mail
Anstelle von eigenen E-Mail-Servern können einfach “fremde” Server für E-Mail-Dienste nahezu so genutzt werden, als stünde der Server in der eigenen IT-Infrastruktur. Entsprechende Hosting-Angebote sind von zahlreichen Dienstleistern verfügbar und werden von vielen kleinen Unternehmen bereits seit Jahren genutzt. Die Palette reicht von einfachen Cloud-Services, die bereits in Webhosting-Paketen enthalten sind, bis hin zu professionellen, sicheren Cloud-Lösungen wie “Exchange Online” für große Unternehmen.
- Datei- und Dokumentenaustausch
Dateien und Dokumente können in einem sicheren Cloud-Speicher zentral abgelegt und Zugriffsrechte einzelnen Nutzern zugewiesen werden. Dies ist grundsätzlich effizienter, als verschiedene Versionen beispielsweise per E-Mail zu versenden oder auf einem Speichermedium zu transportieren, und sicherer, als externen Nutzern den Zugriff auf die Daten direkt im eigenen Unternehmen zu gewähren.
- Kommunikation
Schnell zu kommunizieren und Informationen online auszutauschen, ist einfach, komfortabel und kostensparend. Unternehmensinterne Konferenzsysteme, Telefonie, Unified Communications bzw. Messenger waren in der Vergangenheit insbesondere für kleinere Unternehmen aufgrund der zu hohen Investitions- und Betriebskosten nicht rentabel. Cloud-basierte Lösungen, die integrierte Sprach-, Video-, Präsenz- und Chatdienste für unterschiedliche Endpunkte, Geräte und Anwendungen bieten, eröffnen neue, sichere Möglichkeiten der Kommunikation – gerade für KMU.
- Tools für Zusammenarbeit
Aktuelle Kollaborationstools ermöglichen eine neue Art der Zusammenarbeit in Teams oder auch direkt mit Kunden. Die Einsatzgebiete sind vielfältig. Beispielsweise erhält die Projektarbeit in Gruppen mit cloudbasierten Tools zum Taskmanagement und Dokumenten- bzw. Filesharing hilfreiche Unterstützung.
- Temporäre oder permanente Rechenressourcen
Wo bisher zusätzliche Rechenressourcen nur durch den Aufbau meist teurer Hardware realisiert werden konnten, gehen Unternehmen mittlerweile immer mehr dazu über, Lastspitzen mit temporären Rechenkapazitäten aus der Cloud auszugleichen. Auch langfristig setzen immer mehr Unternehmen auf Cloud-Rechenressourcen.
- Bestandsverwaltung (Lagerverwaltung), Warenwirtschaft (ERP), Finanzbuchhaltung (Hauptbuch, Lieferanten, Kunden), Personalwirtschafts-Software, Kunden- und Kontaktverwaltung (CRM), Branchenspezifische Anwendungen
Gerade in diesen Anwendungsbereichen bieten viele Lösungsanbieter ihre Produkte und Services auch in der Cloud an. Hier zeigen sich besonders die Vorteile von Cloud Computing, unter anderem flexible Zu- und Abbuchung von Lizenzen und damit Kostenvorteile, professionelle Bereitstellung der für die Anwendung notwendigen Rechenkapazitäten, regelmäßige Wartung und Updates sowie Zugriff von jedem Standort aus. Sollen personenbezogene Daten jeglicher Art in der Cloud gespeichert und/oder verarbeitet werden, ist es ein Muss, den entsprechenden Geschäftsvorgang samt der Daten einer genauen Datenschutz- und Sicherheitsanalyse zu unterziehen.
- Website / Online-Shop
Gerade kleine und mittlere Unternehmen nutzen heutzutage bereits Lösungen für ihr Internetangebot, die extern bereitgestellt werden. Die Anschaffung und der Betrieb eigener Server für eine Website oder einen Webshop sind für Kleinunternehmer in der Regel zu aufwendig und nicht rentabel. Auch hier spricht die einfache Skalierbarkeit und die Möglichkeit, Leistungsspitzen durch Cloud-Rechenressourcen abzufangen, für das Cloud Computing.
Was tun Anbieter für die Cloud-Sicherheit und was müssen Kunden bzw. Nutzer beachten?
Innerhalb dieser genannten Dienste bzw. Anwendungen werden Informationen unterschiedlichster Art von externen Anbietern gespeichert und verarbeitet. Hierunter fallen natürlich auch sensible und vertrauliche Daten. Wenn es um die Auslagerung von Teilen der IT-Infrastruktur eines Unternehmens in den Zuständigkeitsbereich eines Cloud-Anbieters geht, müssen zum Schutz dieser Daten hohe Sicherheitsanforderungen erfüllt sein. Dieser Schutz muss sowohl den Datenschutz als auch die Datensicherheit umfassen.
- Datenschutz beinhaltet den Schutz der Daten durch die Verschwiegenheit aller Beteiligten. Das betrifft vor allem personenbezogene Daten von Mitarbeitern, Geschäftspartnern, Lieferanten und Kunden sowie vertrauliche Unternehmensinformationen oder Geschäftsgeheimnisse.
- Datensicherheit beinhaltet die Gewährleistung des Datenschutzes durch eine fehlerfreie Absicherung aller technologischen Vorgänge zur Erfassung, Speicherung, Verarbeitung und Übertragung der Daten. Hierzu gehören unter anderem der Schutz der Hardware, der Übertragungswege und der Schutz des Rechenzentrums selbst.
Die IT-Sicherheit gehört bei den professionellen Cloud-Betreibern zum festen Bestandteil des Business. Hiervon können insbesondere Start-ups und kleine Unternehmen profitieren: Sie können zu niedrigen Kosten sichere Server-Architekturen mieten und sofort nutzen. Dagegen stehen relativ hohe Investitionskosten und regelmäßiger Wartungsaufwand, wenn Sie eine sichere IT-Infrastruktur selbst aufbauen und betreiben wollen.
Rechtssicherheit beim Datenschutz: Vertragliche Aspekte prüfen
Eine Auslagerung von IT-Bestandteilen in die Cloud sollte immer auf der Grundlage eines sorgfältig verhandelten und geprüften Vertrages mit dem Cloud-Anbieter erfolgen. Hierbei müssen alle rechtlichen, organisatorischen und technischen Details betreffend der Handhabung der Firmendaten berücksichtigt werden. Bedenken Sie, dass Ihr Cloud-Anbieter ein hohes Maß an Kontrolle über Ihre geschäftlichen Daten und möglicherweise über personenbezogene Daten Ihrer Mitarbeiter, Geschäftspartner und Kunden erhält. Wählen Sie daher einen Cloud-Partner, dem Sie aufgrund seiner Erfahrungen und Expertise vertrauen und für den Datenschutz und Sicherheit in der Umsetzung oberste Priorität haben.
Zusätzlich ist es angeraten, sich in puncto Datenschutz und Sicherheit Expertenhilfe zu besorgen, um die Konsequenzen für die Datenübertragung zu identifizieren und um eventuellen rechtlichen Verfehlungen betreffend steuerlichen, handels-, gesellschafts- oder zivilrechtlichen Regelungen vorzubeugen. Die Verträge mit dem Cloud-Anbieter können damit hinsichtlich der Auftragsdatenverarbeitung genau geprüft werden. Dies ist insbesondere angeraten, wenn die Datenspeicherung im Ausland (EWR/Nicht-EU) oder unabhängig vom Speicherort durch ein ausländisches Unternehmen (insbesondere USA) erfolgt.
Wichtig: Die Auslagerung von Teilen Ihrer Unternehmens-IT und Geschäftsbereiche in die Cloud entbindet Unternehmer nicht von Ihrer rechtlichen Verantwortung. Die Unternehmensführung bleibt somit weiterhin dafür verantwortlich, dass die anwendbaren Bestimmungen des deutschen und europäischen Datenschutzrechts auch bei der Verwendung von Cloud-Services gewahrt bleiben.
IT-Sicherheit in allen Cloud Life-Cycle-Phasen gewährleisten
Sobald sensible Daten und Funktionen betroffen sind, ist für die Auslagerung von Anwendungen und Teilen der firmeneigenen IT-Infrastruktur in eine Cloud ein festgelegtes Vorgehen mit garantierter Sicherheit in jeder Phase zwingend erforderlich. Dieser Prozess wird als Life Cycle Prozess Cloud Computing bezeichnet. Er beinhaltet die Phasen Planung, Umsetzung und Migration, Betrieb und Beendigung. Das heißt, die notwendigen Vorgaben und Erwartungen bezüglich Datenschutz und Datensicherheit müssen bereits im Auswahlprozess für ein Cloud-Produkt erarbeitet und definiert, bei der Migration realisiert und im Betrieb fortlaufend überprüft werden. Denken Sie auch daran, in der Vertragsgestaltung und bei der Migration Vorkehrungen zu treffen, um die Daten bei Vertragsbeendigung (und jederzeit) sicher und vollständig extrahieren zu können. Auch ein sicheres Löschen der Daten von den Speichermedien des Cloud-Anbieters muss gewährleistet werden.
Die Einhaltung der klassischen Schutzziele der IT-Sicherheit Verfügbarkeit, Integrität und Vertraulichkeit ist im Rahmen von Cloud-Computing-Architekturen unverzichtbar. Aus diesem Grund muss jeder Cloud-Anbieter dazu die Sicherheit der Rechenzentren, der Daten, der Plattformen, der Übermittlungskanäle sowie der Verwaltung der Daten gewährleisten. Eine wichtige Orientierung für Entscheidungsträger können hierbei Zertifikate bieten.
Zertifikate für Cloud-Anbieter bescheinigen definierte Sicherheitsstandards
Zertifikate und Testate können die angebotene Informationssicherheit eines Cloud-Anbieters kennzeichnen und nachweisen. Allerdings sollte der Cloud-Anwender bzw. der Entscheidungsträger im Unternehmen die Aussagekraft der Zertifikate kennen, um beurteilen zu können, ob dadurch die eigenen Sicherheitsvorgaben eingehalten werden.
Für eine bestimmte Zertifizierung bewirbt sich der Cloud-Anbieter bei einem unabhängigen Prüfdienstleister. Die Prüfung erfolgt dann in dem für das jeweilige Zertifikat geltende Auditschema. Das Prüfungsergebnis wird anschließend in einem standardisierten Format festgehalten und die Prüfung wird in regelmäßigen Abständen wiederholt, um die Zertifizierung aufrecht zu erhalten.
Inzwischen gibt es auf dem Markt einige vertrauensstarke Zertifikate für IT-Sicherheit und auch einige Gütesiegel für Cloud-Angebote. Ein deutschland- oder europaweiter Standard für Cloud-Sicherheitszertifikate ist jedoch noch nicht verfügbar. Je nach erteiltem Zertifikat erfüllt der Cloud-Anbieter also unterschiedliche Anforderungen. Vergleichen Sie hier bei der Auswahl genau, welche Zertifikate zu Ihren Anforderungen passen. Eine Zertifizierung nach ISO/IEC 27001 erfüllt beispielsweise die Anforderungen des internationalen Standards für ein Informationssicherheitsmanagementsystem (ISMS). Jedoch unterscheiden sich diese Anforderungen stark vom Anforderungskatalog des C5-Zertifikats des BSI, dem “Cloud Computing Compliance Controls Catalogue”, welcher sich in erster Linie an professionelle Cloud-Anbieter richtet.
Einheitliche, national und international etablierte Anforderungen und Zertifikate entstehen gerade erst. Einige große Unternehmen, darunter SAP, IBM, Alibaba, Dropbox, Microsoft, Amazon und Google haben sich unterdessen schon Cloud-Produkte über das C5-Testat zertifizieren lassen.
IT-Sicherheit beim Cloud-Benutzer im Unternehmen etablieren
Wenn die Cloud-Anbieter alle Sicherheitskriterien fehlerfrei erfüllen, ist der Cloud-Benutzer letztlich für die Einhaltung der IT-Schutzziele, d. h., für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit seiner Daten, verantwortlich. Die Unternehmensführung bzw. verantwortliche Mitarbeiter müssen entsprechend auch innerhalb ihrer Unternehmen – direkt bei den Cloud-Anwendern – eine Sensibilisierung für Datenschutz und Datensicherheit schaffen.
Was müssen Unternehmen selbst tun, um die Sicherheit bei der Cloud-Nutzung zu verbessern und Risiken zu minimieren?
- IT-Sicherheitsbeauftragter / Compliance-Beauftragter
Nicht nur der Cloud-Anbieter muss Sicherheitsfunktionen implementieren und bereitstellen und dafür entsprechende Sicherheits- bzw. Compliance- und Datenschutzbeauftragte benennen. Auch Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn personenbezogene Daten (z. B. Arbeitnehmerdaten, Kunden- und Interessentendaten) für eine bestimmte Anzahl von Personen einsehbar sind. Das ermöglicht zudem eine sinnvolle Zusammenarbeit mit dem Cloud-Anbieter bzw. eine fundierte Überprüfung und Überwachung der Cloud-Sicherheit.
- Dediziertes Benutzer- und Rollenkonzept für den Zugriff auf Daten
Eine wichtige Basis in der Informationssicherheit sind gesicherte, eindeutig zuordenbare Identitäten mit korrekten Zugriffsrechten. Bei der Migration in eine Cloud sollten Unternehmer darauf achten, dass der Prozess zur Benutzer- und Rechteverwaltung mit allen Rollen vom Cloud-Anbieter klar definiert wurde. Jedem Nutzer sollten durch seine zugewiesene Rolle nur eben so viele Zugriffsrechte auf wichtige Daten erteilt werden, wie dieser auch wirklich für seine Tätigkeiten benötigt.
- Sichere Übertragungswege für vertrauliche Daten (z.B. E-Mail-Verschlüsselung, https, ftps)
Geschäftskritische und vertrauliche Daten sollen immer verschlüsselt übertragen und gespeichert werden. Durch die konsequente Verschlüsselung und die Sicherung mit (elektronischen) Zertifikaten wird ein hoher Schutz vor unberechtigter Einsichtnahme und widerrechtlicher Datennutzung erreicht. Es ist wichtig, dass genau untersucht wird, welche Sicherheitstechnologien für Übertragungen vonnöten sind und wie Daten zusätzlich selbst gesichert werden können. Von den Sicherheitsmechanismen des Cloud-Dienstleisters – beispielsweise einer zentralen Lösung zur E-Mail-Verschlüsselung oder Datenbank-Verschlüsselung – können daher insbesondere kleine und mittelständische Unternehmen profitieren.
- Sicherheit lokaler Endgeräte
Die Geräte, mit denen Sie und Ihre Mitarbeiter auf die Cloud-Anwendungen zugreifen, müssen entsprechend gewartet und sicherheitstechnisch betreut werden, um einen sicheren Zugriff zu gewährleisten. Risiken entstehen bei Angriffen besonders dann, wenn Daten lokal vorgehalten werden. In letzter Konsequenz gilt die Maxime: “Kein sicherer Cloud-Zugriff von einem unsicheren Gerät.” Daher sollten alle Geräte, ganz egal ob Desktop-PC, Notebook, Tablet oder Smartphone, auf einem aktuellen Software-Stand sein. Insbesondere die Nutzung privater Endgeräte und Speichermedien (z. B. USB-Sticks) für den Zugriff auf geschäftliche Daten und Prozesse erfordert eine intensive rechtliche und technische Beratung und Abklärung.
- Sicherheitsmanagement für mobile Endgeräte und Funknetze (z. B. WLAN)
Bisher gehören umfangreiche Sicherheitsvorkehrungen wie Virenscanner, Firewall und Zugriffsschutz auf mobilen Endgeräten wie Tablets und Smartphones noch nicht zum Standard. Wenn Sie und Ihre Mitarbeiter von mobilen Endgeräten, beispielsweise im Außendienst, auf kritische Cloud-Anwendungen und sensible Unternehmensdaten zugreifen, benötigen Sie ein entsprechendes Konzept zum Sicherheitsmanagement.
- Basisschutz der IT-Systeme bereitstellen
Zwar sorgt der Cloud-Anbieter seinerseits für Basisschutzfunktionen wie Antivirensoftware, Firewall und Patchmanagement, dennoch muss auch das cloud-nutzende Unternehmen den notwendigen Basisschutz bereitstellen, um den unberechtigten Zugriff auf Daten über Schwachstellen zu verhindern.
- Umfassende IT-Schutzmaßnahmen
Zusätzlich zu den aufgeführten Cloud-/IT-Sicherheitsmaßnahmen können für Web-Applikationen zusätzliche Schutzmechanismen vonnöten sein. So ist zum Beispiel als Schutz gegen Angriffe aus dem Internet ein Intrusion Prevention System (IPS) vorteilhaft. Um die Systeme Ihrer Anwender vor Webseiten oder E-Mail-Anhängen zu schützen, die Sicherheitsrisiken bergen, sollten u. a. Web- und Dateifilter eingesetzt werden.
- Sichere Cloud-Anmeldung
Es muss für eine sichere Authentifizierung der Anwender am Cloud-Service gesorgt sein. Die Verwendung sicherer Passwörter zur Anmeldung im Cloud-System stellt eine Minimalanforderung dar. Besser ist hingegen eine Zwei-Faktor-Authentifizierung, beispielsweise über Smartcard, Einmalpasswort via SMS oder Zugangstoken – insbesondere bei Nutzern mit Zugriff auf sensible Daten.
- Anwenderschulungen und Sensibilisierung für Sicherheit in der Cloud
Wie bei allen Zugängen aus dem Internet sind natürlich Vorsicht und eine umfassende Absicherung der Anwender hilfreich, um Schäden durch eingeschleuste Schadsoftware oder unberechtigten Zugriff vorzubeugen. regelmäßige Mitarbeiterschulungen sind daher unabdingbar.
Sicherheit im Unternehmen muss einfach sein
Bei Risiken für die IT-Sicherheit denken die meisten Menschen zuerst an gewiefte Cyberkriminelle und Hacker. Oft verlaufen Angriffe aber nach relativ simplen Mustern oder automatisiert ab. Die Attacken sind meist nur erfolgreich, weil vorgeschriebene Sicherheitsmaßnahmen nicht beachten wurden. Umso wichtiger ist es, diese so benutzerfreundlich wie möglich zu gestalten.
Alle Anwender müssen an einem Strang ziehen, um die IT-Sicherheit aufrecht zu erhalten. Gleiches gilt für die Sicherheit und den Datenschutz beim Cloud Computing. Die Unachtsamkeit eines einzelnen Mitarbeiters kann das gesamte IT-Sicherheitskonzept eines Unternehmens untergraben. In den meisten Fällen passieren "Missgeschicke" nicht einmal aus böser Absicht, sondern eher aus Unwissenheit oder Bequemlichkeit. Passwörter werden zu leicht gewählt oder auf einem Zettel notiert; die Verschlüsselung wird deaktiviert, weil der Rechner so langsam ist; E-Mail-Anhänge werden geöffnet; infizierte USB-Sticks angeschlossen, E-Mails von privaten Devices unverschlüsselt versandt und so weiter...
Bei der Entwicklung von IT-Konzepten, die von allen Mitarbeitern gut angenommen und einfach befolgt werden können, muss das System so intuitiv wie möglich sein. Auch sollten Workflows nicht gestört werden. Beziehen Sie Ihre Mitarbeiter in die Entwicklung von Sicherheitsfunktionen ein und passen Sie Prozesse ihren Bedürfnissen an – so begeistern Sie Anwender und erreichen maximales Commitment, was das Unternehmen im Zweifelsfall vor großem Schaden bewahren kann.
Starten Sie mit COSIB sicher in die Cloud
Cloud-Sicherheit ist zweifelsfrei wichtig. Große Anbieter unterziehen sich umfangreichen Zertifizierungsverfahren, um das Vertrauen in ihre Sicherheitsvorkehrungen zu stärken. Die Produkte und Dienstleistungen solcher Partner, z. B. auch SAP, bieten hier alle wichtigen Vorkehrungen, sodass gerade Start-ups und kleinen Unternehmen ein einfacher Einstieg in sicheres Cloud Computing ermöglicht wird.
Sie sind noch in der Gründungsphase Ihres Start-ups?
Oder Sie führen bereits ein mittelständisches Unternehmen?
➜ Lernen Sie jetzt die Vorzüge von SAP Business One in der Cloud kennen.
➜ Finden Sie mit unserem Cloud-o-mat heraus, welche Cloud-Lösung die richtige für Sie ist.
➜ Berechnen Sie sofort und unverbindlich die Gesamtkosten für Ihre SAP Business One Cloud.
Oder mehr Infos zur Cloud
Weiterführende Informationen zu Cloud-Sicherheit