Sind Ihre Daten in der Cloud sicherer?

Ihre Daten können in der Cloud durchaus sicher sein, aber Outsourcing der Sicherheitsmaßnahmen schützt Sie nicht davor, selbst für Datensicherheit zu sorgen.

Verfasser: F-Secure Business Security Insider
Datum: 4. November 2016
Lesedauer: 4 Minuten

Vor einigen Wochen hat unser Sicherheitsexperte Mikael Albrecht am Nordic Digital Business Summit 2016 in Helsinki teilgenommen und war Teil eines Panels zum Thema, ob Daten in der Cloud vielleicht sicherer sein könnten. Das ist ohne Zweifel eine interessante Frage, deshalb fassen wir die wichtigsten Fakten hier einmal zusammen.

Die kurze Antwort ist – wie bei vielen anderen Fragen auch: Es kommt darauf an. Aber steigen wir ein bisschen tiefer in die Materie ein, um eine detailliertere Antwort zu finden, und fassen wir zehn der wichtigsten Fakten zusammen:

  1. Wir erinnern uns an die Zeit zurück, in der die meisten Menschen noch sehr skeptisch waren, wenn es um die Sicherheit in der Cloud ging. Das Internet ist unsicher, also muss es unsicher sein, Daten ins Netz zu bringen. Glücklicherweise ist diese Phase vorbei und Cloud Services sind eine gute Option, auch für diejenigen, die sich um Sicherheit sorgen.
  2. Seien wir ehrlich: Der Cloud Provider hat in den meisten Fällen bessere Möglichkeiten und mehr Ressourcen, um eine sichere Umgebung zur Verfügung zu stellen, als Sie in Ihrem Unternehmen. Die Nutzung eines Cloud Services ist eine perfekte Möglichkeit, die Sicherheit Ihrer Daten an einen kompetenten Partner zu übergeben.
  3. Kennen Sie Ihren Feind. Wie bei Allem, was das Thema Sicherheit betrifft, ist es von höchster Bedeutung, die Gefahren zu analysieren und dann zu entscheiden, gegen was man sich schützen muss. Ist Ihr Hauptaugenmerk Cybercrime, Nachrichtendienste oder der Verlust von Daten? Wie stark würden sich Datenlecks, Zerstörung von Daten oder ein temporärer Verlust des Zugriffs auswirken?
  4. Seien Sie sich immer im Klaren darüber, wo der Provider beheimatet ist und wo Ihre Daten vorgehalten werden. Gesetzliche Vorschriften könnten sich darauf auswirken, wo Ihre Daten gespeichert werden dürfen. Dieser Faktor ist natürlich noch wichtiger, wenn Sie in irgendeiner Form Daten haben, die für Nachrichtendienste interessant sein könnten.
  5. Das Outsourcing an einen Cloud Provider bedeutet in keinem Fall, dass Sie sich entspannt zurücklehnen und Ihre Sicherheit vergessen können, auch wenn das vielleicht das Marketing des Cloud Providers so darstellt. Die Sicherheit Ihrer Daten ist immer noch Ihre Aufgabe, aber die benötigten Maßnahmen ändern sich. Sie müssen wissen, wie Sie den Sicherheitslevel des Providers evaluieren und kontrollieren können, anstatt selbst sichere Systeme bauen zu müssen.
  6. Sicherheit muss ein Hauptthema sein, wenn Sie verschiedene Möglichkeiten evaluieren und dann einen Vertrag unterzeichnen. Wenn Sie kein Hauptaugenmerk auf Sicherheit legen und diese auch im Vertrag verlangen, ist es reine Glückssache, ob Sie ein sicheres System erhalten.
  7. Der wichtigste Nachteil ist, dass Sie Kontrolle und Überblick verlieren, wenn Sie Ihre Sicherheit an andere übergeben. Das bedeutet, Sie müssen dem Cloud Service Provider absolut vertrauen, ohne dass es ein blindes Vertrauen ist. Die schwerste Aufgabe ist also, herauszufinden wem Sie trauen können, wer vertrauenswürdig ist.
  8. Sie sollten evaluieren, wie der Provider seine Sicherheitsmaßnahmen und -Prozesse dokumentiert und wie seine Leistungsbilanz ist. Eine Sache, die Mikael Albrecht sehr schätzt,  ist wenn es bereits einen Sicherheitsvorfall gegeben hat, dieser gut dokumentiert und gut gelöst wurde. Wir alle wissen, dass es immer irgendwo Sicherheitslücken gibt, in jedem System. Eine schnelle und professionelle Reaktion auf einen Vorfall ist der beste Beweis für die Fähigkeit des Providers, seine Systeme zu sichern. Einige werden mit einer perfekten Bilanz prahlen – ohne irgendwelche Vorfälle. Das bedeutet in Wahrheit nur, dass der Provider entweder zu inkompetent ist, Vorfälle zu erkennen, oder er versucht, etwas zu verschleiern. Und Verschleierung von Vorfällen ist das, was Sie absolut nicht gebrauchen können, wenn jemand versucht, Ihre Daten zu stehlen!
  9. Denken Sie immer daran, dass der Nutzer selbst das schwächste Glied in der Kette ist. Egal, wie sicher Ihre Cloud-Lösung ist, alles ist verloren, wenn der Feind mit legitimen Login-Daten in Ihr System kommt. Mikael Albreckt hat mal durchgezählt, wie viele Cloud-Dienste er auf meinem Smartphone hat, die man einfach mit dem Berühren eines Icons öffnen kann. Das schockierende Ergebnis: 63! (Diese Zahl beinhaltet nicht Dienste, die Two-Factor-Authentication nutzen oder andere, die jedes Mal nach dem Passwort fragen.) Also ist es im Endeffekt so, dass die Sicherheit seiner Daten davon abhängt, wie gut er selbst sein Smartphone sichert.
  10. Ja, das Login und die Authentifizierung sind die schwächsten Barrieren in den meisten Systemen. Verlangen Sie immer Two-Factor-Authentication, mit dem man im normalen Geschäftsbetrieb durchaus einfach arbeiten kann und die verpflichtend für alle Nutzer gilt.

Einige werden jetzt eine umfassende Liste von technischen Sicherheitsfeatures vermissen, die man einfach einem Provider vorlegt, um die bestmögliche Sicherheit zu erreichen. Das ist ein Thema für einen anderen Post. Daten in die Cloud zu verlegen und Outsourcing generell bedeutet, dass Sie sich mit weniger technischen Details beschäftigen müssen. Ihre Hauptaufgabe ist das Finden des richtigen Providers und das richtige Kontrollieren der Maßnahmen des Providers. Das ist die Hauptaussage dieses Posts.

Zusammenfassend kann man sagen: Haben Sie keine Angst vor der Cloud. Die Vorteile liegen auf der Hand und es ist klar, dass die Zukunft in Richtung Cloud geht. Dazu kann die Cloud sicherer als Ihre eigene Systeme sein. Aber denken Sie nicht, dass Sie die Sicherheit vergessen können, nur weil Sie das Handling an jemanden anderen abgegeben haben.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s