Cloud Security wird durch wachsende Nutzerzahlen immer wichtiger. Auch das Jahr 2022 steht unter dem Stern der (hybriden) Cloud. Nichtsdestotrotz ist die Sicherheit immer noch das größte Problem für Unternehmen auf ihrem Weg in die Private, Public, Hybrid oder Multi Cloud. Die Vorteile für Unternehmen überwiegen deutlich – sofern Sie aktuelle Sicherheitsrisiken und Entwicklungen im Blick behalten.

Abstrakte Darstellung der Cloud Technologie mit einer Wolke in der ein Schloss zu sehen ist. Dies steht symbolisch für die Cloud Security.
Cloud Security © kran77 / Adobe Stock

Was bedeutet Cloud Security?

Spätestens der notwendige Wechsel ins Homeoffice hat noch einmal mehr verdeutlicht, welche Relevanz IT-Security für digitale Unternehmen hat. Mit der verstärkten Nutzung cloudbasierter Lösungen seit 2020 ist auch der Stellenwert der Sicherheit gewachsen. Als ein Teilbereich der IT-Security beschreibt Cloud Security eine Vielzahl von Maßnahmen zur Absicherung von Cloud Services und deren Umgebung. Die Maßnahmen können abschreckender, vorbeugender, detektierender oder korrigierender Art sein. Sie umfassen Regeln, Prozesse für den Ernstfall und technische Vorgaben zur Einhaltung gesetzlicher Datenschutzrichtlinien und des Schutzes von Infrastruktur, Anwendungen und Daten.

Kernbereiche und Funktionen der Cloud Security

Wie die Schutzmaßnahmen konkret aussehen, hängt davon ab, ob es sich um eine Public, Private, Hybrid oder Multi Cloud handelt. In jedem Fall sollten alle zugehörigen Bereiche der Cloud-Sicherheit von Anfang an berücksichtigt werden – von Software über Hardware bis hin zu Nutzer*Innen:

  • Daten: rechtskonforme Verarbeitung, Verschlüsselung, Speicherung und Löschung von Daten
  • Anwender*Innen: Schutz & Verwaltung der Identifizierung und der Zugriffsrechte
  • Anwendungen: Einhaltung des Sicherheitsstandards zum Schutz der Infrastruktur (Cloud Infrastructure Security)
  • Netzwerk und Server: Abgrenzung von Datenströmen und Abwehr von Cyberattacken
  • Rechenzentrum: Schutz der Cloud-Hardware vor internen Bedrohungen (wie Feuer, Nässe) und externem Zugriff (wie Diebstahl)

Wer ist eigentlich verantwortlich?

Cloud Security ist ein Gemeinschaftsprojekt: Anbieter und Anwender sollten sich gleichermaßen dafür einsetzen und die erforderlichen technischen Voraussetzungen schaffen. Welche Dienste und Maßnahmen inbegriffen sind, legt ein Service Level Agreement (SLA) zwischen beiden Parteien fest. Das heißt im Klartext: Während Provider ihrerseits Schutzmaßnahmen wie Verschlüsselung, Verfügbarkeit und Authentifizierung ergreifen, stehen auch die Kundenunternehmen selbst in der Pflicht, für die Sicherheit in der Cloud zu sorgen. Denn viele Cloud-Anbieter bieten nur einen Standardschutz, der keine individuelle Konfiguration zulässt.

Ähnliches gilt übrigens für die Rechtssicherheit: Daten müssen rechtskonform gespeichert, verarbeitet und gelöscht werden – seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) mehr denn je. Hohe branchen- und gewerbeabhängige Compliance-Vorgaben für deutsche Unternehmen machen es nicht einfacher. Ein Großteil der datenschutzrechtlichen Auflagen wird dem Cloud-Anbieter auferlegt, während die Schadenshaftung bei den Kundenunternehmen liegt. Brenzlig wird dies vor allem, wenn Cloud Server außerhalb des Geltungsbereiches der DSGVO stehen.

Bedeutung der Cloud für Unternehmen

Ohne Cloud Computing hätte der pandemiebedingte Umzug ins Homeoffice – und damit die Aufrechterhaltung wichtiger Geschäftsprozesse – nicht funktioniert. Cloud-Umgebungen ermöglichen das Auslagern von Daten, IT-Anwendungen und Infrastrukturen. Praktisch bedeutet das nicht nur orts- und zeitunabhängiges Arbeiten, sondern auch organisations- und teamübergreifende Kooperation in Echtzeit. Durch Cloud Computing entfällt der Betrieb eigener Server, IT-Umgebungen und Büroräume, was Unternehmen Zeit und Kosten erspart. Ihre Arbeitnehmer*Innen profitieren genauso davon durch den Wegfall des Arbeitswegs.

Doch nur mit einem passgenauen Sicherheitskonzept lassen sich die Vorteile der Cloud auch voll ausschöpfen. Bei Experten gilt die Cloud Security daher als eine zunehmende Notwendigkeit im Cloud Computing – gerade vor dem Hintergrund, dass die Cloud immer mehr wertschöpfende Geschäftsprozesse verarbeitet. Nur durch das optimale Zusammenwirken aller an der Cloud Security beteiligten Systemkomponenten ist sichergestellt, dass das den Cloud-Kunden zugesagte Sicherheitsniveau auch erreicht wird.

Typische Cloud-Risiken

Damit Sie im Ernstfall nicht aus allen Wolken fallen, sollten Ihr Team schon vor dem Umzug in die Cloud die typischen Risiken kennen. Ob durch eine mangelnde Trennung von Kundeninstanzen oder per Browser zugängliche Dienste, die Risiken sind ebenso vielseitig wie ihre potenziellen Quellen.

Gegen diese Gefahren sollte Ihr Team gewappnet sein:

  • Verlust, Manipulation oder Diebstahl von Daten
  • unbefugte Fremdzugriffe
  • gezielte Cyberattacken (DDoS, Malware, Advanced Persistent Threats)
  • Server- oder Netzwerkausfälle durch technische Störungen
  • Datenschutzverletzungen durch Compliance-Verstöße
  • mangelhafte Cloud-Konfiguration oder -Integration
  • fehlerhafte Schnittstellen zwischen Anwendungen (APIs)
  • physische Beschädigung des Rechenzentrums

Wie sieht es in der Praxis aus? Den Umfrageergebnissen des Cloud-Monitors 2021 zufolge ist der unberechtigte Zugriff auf sensible Daten die größte Sorge der befragten Unternehmen. An zweiter und dritter Stelle stehen Unklarheiten im Hinblick auf die Rechtslage und Datenverlust. Demgegenüber gibt nur rund die Hälfte der Befragten an, dass ein internes Sicherheitskonzept für Cloud-Anwendungen vorhanden ist.

Trends 2022: Wie Cloud Security sich verändert

Cloud Security Posture Management (CSPM)

Mit dem rasanten Wachstum von Cloud-Umgebungen wird auch das Erkennen von Fehlkonfigurationen zunehmend erschwert. Cloud Security Posture Management (CSPM) untersucht die Konfiguration von Cloud-Plattformkonten, um Probleme und Risiken im Hinblick auf Fehlkonfigurationen und Compliance zu erkennen.

CSPM hilft Ihrem Unternehmen bei der Bewertung von Datenrisiken und der Identifizierung falsch verwalteter Berechtigungen. Durch die laufende Überwachung von Compliance-Verstößen innerhalb der Cloud vereinfacht es Ihrem Team die Einhaltung von Best Practices und Vorschriften wie DSGVO. Umso wichtiger sind CSPM-Ressourcen in Zukunft – zum Beispiel für die Automatisierung des Cloud-Managements zur Aufrechterhaltung einer sicheren Infrastruktur.

Zero-Trust-Modelle

Vertrauen ist gut, Kontrolle ist besser – und zwar in Form von Zero Trust. Durch die Limitierung von Zugriffsrechten per Authentifikation und Autorisierung ermöglichen Zero-Trust-Modelle umfassende Sicherheit. Konkret verhindern sie den unbefugten Zugriff auf Daten und geben Benutzer*Innen nur Zugriff auf jene Ressourcen, Dienste und Daten, die für deren Bereich auch tatsächlich relevant sind. Kombinieren Sie die Cloud-Umgebung Ihres Unternehmens mit einem Zero-Trust-Modell, sparen Sie durch die Risikominderung nachhaltig Geld und Zeit. Maschinengesteuerte Analysen können Ihrem Team helfen zu verstehen, welche Nutzer*Innen Zugang zu welchen Bereichen Ihrer IT-Infrastruktur haben. Anpassungen der Berechtigungen lassen sich daraufhin gezielt und schnell vornehmen.

SDLC und DevSecOps in der Cloud

Bei der Vereinfachung des Lebenszyklus von Software müssen Technologie und Mensch zusammenwirken. Im Idealfall ist die Sicherheitslösung nicht einfach über das bestehende System gestülpt, sondern nahtlos integriert. Als Framework für den Software Development Life Cycle (SDLC) wird die Kombination von Software Development, Security und IT Operations (DevSecOps) immer beliebter. Mit DevSecOps-Modellen gelingt Unternehmen die Integration von Entwicklungsaufgaben in Kombination mit deren Betrieb und Wartung. DevSecOps-Mitarbeiter haben einen weiteren Horizont, wodurch der Kollaborationsaufwand heterogener Teams reduziert wird. Softwareprogramme lassen sich so schneller veröffentlichen.

Für Ihr Team bedeutet das: weniger Schwachstellen im Code, in der Infrastruktur und weniger Betriebsausfälle. Durch die Integration von DevSecOps-Lösungen steigern Sie nicht nur die Sicherheit Ihres SDLC, sondern unterstützen auch einen reibungslosen und sicheren Ablauf aller Prozesse in der Cloud.

Zentralisierte Plattform

Viele Unternehmen nutzen die Multi Cloud und damit mehr als einen Anbieter. Neben der Rationalisierung und Sicherung der verschiedenen Lösungen erschwert das auch die Einhaltung von Compliance-Vorgaben. Weniger ist mehr – und erleichtert die Kontrolle: Eine zentrale Plattform für Multi-Cloud-Umgebungen ist die Voraussetzung, um relevante Maßnahmen und Sicherheitskontrollen zeitnah umzusetzen. Eine mögliche Lösung ist ein Cloud Security Access Broker (CSAB), sprich ein Bindeglied zwischen der Cloud-Anwendung und den Benutzer*Innen. Der CSAB sorgt für eine reibungslose Funktionalität und höhere Sichtbarkeit, indem er alle Aktivitäten scannt und Sicherheitsregeln einhält.

Investition in intelligente Sicherheitstechnologie

Moderne Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind weiter auf dem Vormarsch und halten in immer mehr Branchen Einzug. Mit der rasanten technologischen Entwicklung muss auch die Sicherheitstechnologie von Unternehmen Schritt halten. Nur so können Unternehmen den umfassenden Schutz sensibler Daten und Geschäftsprozesse langfristig sicherstellen und schweren Schäden durch beispielsweise Datendiebstahl vorbeugen. Smarte Lösungen schaffen zudem freie Ressourcen für langfristige Projekte wie die Neustrukturierung Ihrer Systemumgebung. Durch verstärkte Investitionen in intelligente Sicherheitssysteme (und die richtige Vermarktung) erwecken Sie im Übrigen auch das Vertrauen potenzieller und bestehender Kunden.