Sieben Tipps zur Absicherung der Daten in der Cloud

Für moderne Unternehmen ist die digitale Transformation von entscheidender Bedeutung, und Cloud-Dienste bieten einen bewährten Weg, um in der digitalen Wirtschaft erfolgreich zu sein.

Das Modell der geteilten Verantwortung besagt jedoch, dass der Cloud-Service-Anbieter für die Sicherheit „der“ Cloud verantwortlich ist, während der Kunde für die Sicherheit „in“ der Cloud verantwortlich ist, d. h. für die Netzwerkkontrollen, die Identitäts- und Zugriffsverwaltung, die Anwendungskonfigurationen und vor allem für die Sicherheit der Daten. In der Cloud des Anbieters ist also der Kunde selbst für die Sicherheit seiner Daten verantwortlich.

Die Einführung eines Multi-Cloud-Ansatzes erhöht die Komplexität

Um in der digitalen Wirtschaft erfolgreich zu sein, muss das Kundenerlebnis optimiert werden, indem eine qualitativ hochwertige, lohnende und konsistente Erfahrung geboten wird, die alle Nutzererwartungen erfüllt. Da die Kunden die Möglichkeit haben, die Dienstleistungen konkurrierender Unternehmen zu vergleichen, ist die reibungslose und sichere Erfüllung der Erwartungen eine Win-Win-Situation für Unternehmen und Kunden.

Cloud-Plattformen haben sich als grundlegender Baustein für das Angebot solcher hochwertigen Dienste erwiesen. Daher setzen Unternehmen in zunehmendem Maße Infrastruktur-, Plattform- und Software-as-a-Service ein.

Insgesamt gilt die Infrastruktur der meisten Cloud-Dienste zwar als sicher, aber Cybersicherheit ist nicht ihr Kerngeschäft. Die Sicherheitsmaßnahmen der Cloud-Service-Anbieter sind bekanntermaßen schwer zu durchschauen und schwer zu überblicken. Gartner schätzt, dass in den nächsten Jahren 99 % der Sicherheitsmängel in der Cloud vom Kunden verschuldet sein werden. Das ist an sich schon eine Herausforderung, die sich jedoch exponentiell vergrößert, wenn Unternehmen mehrere Cloud-Dienste einsetzen.

Laut dem Thales-Bericht „Cloud Security 2021“ ist die Multi-Cloud-Nutzung nicht nur in großen Organisationen, sondern auch in kleinen und mittleren Unternehmen weit verbreitet. Die SaaS-Nutzung ist mit 64 % der weltweit Befragten, die 26 oder mehr SaaS-Anwendungen einsetzen, am weitesten verbreitet. Gleichzeitig nutzen 74 % der befragten Unternehmen zwei oder mehr PaaS-Anbieter und 56 % mindestens zwei IaaS-Anbieter.

Die Einführung von Multi-Clouds wirkt sich direkt auf die Komplexität der Sicherheitsverwaltung in der Cloud aus. In Übereinstimmung mit demselben Thales-Bericht stimmt fast die Hälfte (46 %) der Befragten zu, dass es „in ihren Unternehmen komplexer ist, die Vorschriften zum Schutz der Privatsphäre und des Datenschutzes in einer Cloud-Umgebung zu verwalten als vor Ort.“

Sieben Schritte zu robuster Cloud-Sicherheit

Sicherheitsteams, die mit dem Schutz von Workloads, Anwendungen und Datensätzen in Cloud-Umgebungen betraut sind, müssen mehrere spezifische Ziele verfolgen. Sensible Daten müssen stets vertraulich bleiben und sowohl vor externen als auch internen Bedrohungen geschützt werden. Es müssen Maßnahmen ergriffen werden, die verhindern, dass Administratoren von Unternehmen oder Cloud-Diensten sensible Daten böswillig oder versehentlich preisgeben. In mandantenfähigen Cloud-Umgebungen müssen die Sicherheitsteams außerdem gewährleisten, dass andere Benutzer nicht auf die Daten zugreifen können.

Um diesen hohen Anforderungen gerecht zu werden, müssen Cloud-Sicherheitslösungen umfassend, datenzentriert und hoch zuverlässig sein. Die folgenden Maßnahmen gewährleisten, dass Sicherheitsteams jeder Bedrohung immer einen Schritt voraus sind.

1. Identifizieren aller sensiblen Daten und Anwendungen und deren Cloud-Region.
    
2. Bestimmen der Risiken, denen diese Assets ausgesetzt sind, einschließlich externer Angreifer und privilegierter Benutzer.
    
3. Definieren der Datenschutzmaßnahmen in Übereinstimmung mit dem Risikoumfeld und dem Geschäftsmodell.
    
4. Definieren eines ganzheitlichen Ansatzes für die Sicherheitsstrategie, die alle Datenverarbeitungsumgebungen umfasst, ob in der Cloud, vor Ort oder in hybriden Systemen.
    
5. Etablieren einer zentralen Key-Management- und Access-Management-Lösung, mit der die Kontrolle über sich entwickelnde Bedrohungen behalten werden kann, um diesen vorzubeugen und darauf reagieren zu können.
    
6. Implementieren von Maßnahmen, die bei der Optimierung und Bereitstellung von Sicherheit und betrieblicher Effizienz unterstützen.
    
7. Regelmäßige Beobachtung der Entwicklung des Cloud-Marktes und Sicherstellung, dass die Entscheidungsträger über neue Funktionen und Angebote informiert sind.