Was ist cloud-basierte Sicherheit und wie funktioniert sie?

Immer mehr Unternehmen verlagern ihre Anwendungen und Daten in die Cloud, um die Kosten für On-Premises-Modelle zu umgehen. Denn hierzu wären die Anschaffung von Hardware, der Betrieb und die Wartung solcher lokalen Anwendungen notwendig. Alternativ verwalten Unternehmen ihre Daten zwar in lokalen Systemen, speichern ihre Backups aber in der Cloud. Unabhängig davon, für welchen Ansatz sich ein Unternehmen entscheidet, gibt es immer wieder typische Fragen zur Cloud-basierten Sicherheit. Zum Beispiel diese hier: Ist die Cloud auch sicher genug? Sind meine Daten sicher? Wie sind meine Daten geschützt? 

Cloud-Sicherheit umfasst eine Reihe von Richtlinien, Methoden und Technologien. Ihre Aufgabe ist es, die Infrastruktur, die Daten und Anwendungen zu schützen, die in einer Cloud gespeichert sind, und zwar unabhängig davon, ob es sich um eine private, öffentliche oder hybride Cloud handelt. Sie ist grundsätzlich darauf ausgelegt, Daten zu schützen:

• Sicher vor Diebstahl, unbefugter Löschung und Datenlecks
• Geschützt vor Cyberangriffen und unberechtigtem Zugriff
• Privat und sicher, um die Einhaltung gesetzlicher Vorgaben zu unterstützen

Die Cloud-Sicherheit authentifiziert auch den rollenbasierten Zugriff und kann maßgeschneidert nach den Anforderungen jedes Unternehmens konfiguriert werden. Um den besten Cloud-Schutz zu gewährleisten, sollten Unternehmen eng mit dem Cloud-Anbieter zusammenarbeiten, um das Sicherheitskonzept an alle Unternehmensanforderungen anzupassen.  

Unternehmen können wählen, ob sie ihre Daten vor Ort, in der Cloud oder mit einer Kombination aus beidem sichern und schützen wollen. Verschiedene Einsatz-Szenarios verdeutlichen dies:

• Szenarium 1: Betreiben Sie Ihre Unternehmens-IT auf einem lokalen System und sichern Sie Ihre Daten in Ihrem Rechenzentrum vor Ort. Dies erfordert Datensicherheit vor Ort.
• Szenarium 2: Führen Sie Ihren Betrieb auf einem lokalen System aus und sichern Sie Ihre Daten in einer privaten oder öffentlichen Cloud. Wenn es sich um eine private Cloud handelt, sind Datensicherheit in der Cloud und ein Team von internen IT-Experten für die Verwaltung der privaten Cloud-Infrastruktur erforderlich.
• Szenarium 3: Verwenden Sie Cloud-basierte SaaS-Anwendungen (Software as a Service) und sichern Sie Ihre Daten in einer anderen öffentlichen Cloud oder einem System vor Ort.   

Unabhängig davon, für welche Backup-Strategie Sie sich entscheiden, ist es wichtig, dass Sie die 3-2-1-Backup-Regel befolgen: Sie sollten drei Kopien Ihrer Daten (Produktion und zwei Backups) auf zwei Medien haben, wobei ein Backup außerhalb des Unternehmens gespeichert wird, z.B. in der Cloud. Dafür gibt es gute Gründe:

• Im Szenarium 1 können Naturkatastrophen Ihre lokalen Systeme und Backups beeinträchtigen oder sogar auslöschen. Ebenso könnten Cyber-Kriminelle Ihre Endpunkte und alle Geräte angreifen, die mit dem Firmennetzwerk verbunden sind. Das können auch die Geräte für die lokalen Backups sein. Lokale Backups sind eine komfortable Lösung für das schnelle Wiederherstellen von Daten. Sie sind allerdings anfällig für lokale Datenverluste. Daher sollten Sie unbedingt sicherstellen, dass Sie ein zweites Backup außerhalb des Unternehmens, z.B. in der Cloud, gespeichert haben.
• Im Szenarium 2 stellt ein zweites Backup, das außerhalb des Standorts und isoliert von Ihrem Netzwerk gespeichert ist, die Informationsverfügbarkeit sicher gestellt ist. Ihre Daten überstehen jede Bedrohung Ihrer lokalen Endpunkte, Netzwerke oder Backups. Die Sicherung in der Cloud ist bequemer, konsistenter und sicherer als der Transport von Laufwerken mit Sicherungsdateien außerhalb des Standorts. Für den Fall, dass ausgewählte Dateien/Daten wiederhergestellt werden müssen, ist jedoch ein lokales Backup notwendig. Dieses trägt auch zur Redundanz und zu einer schnelleren Wiederherstellung bei. 
• Im Szenarium 3 ist es wichtig, sich zu vergegenwärtigen, dass die Verantwortung des SaaS-Anbieters einzige und alleine in einer Aufgabe besteht: Der Provider muss sicherstellen, dass seine Infrastruktur verfügbar ist. Jederzeit. Wenn er also seine Infrastruktur sichert, um die Service Level Agreements (SLAs) einzuhalten, sichert er noch lange nicht Ihre Daten. Es liegt an Ihnen, für die Sicherung und Wiederherstellung der Daten Ihres Unternehmens zu sorgen.

Die Datensicherheit beim Cloud-Computing ist genauso wichtig wie die Datensicherheit für Ihre On-Premises-Systeme. In den Anfängen des Cloud Computing haben viele Unternehmen aus Angst vor Datenverlusten und Datenlecks davon Abstand genommen, ihre Anwendungen in die Cloud zu verlagern. Beispielsweise weigerten sich Unternehmen und Institutionen aus dem Gesundheitswesen zunächst, in die Cloud umzuziehen, weil sie Bedenken hinsichtlich der Sicherheit von medizinischen Datensätze hatten, deren Datenschutz gesetzlich vorgeschrieben ist. Gesetzliche Grundlagen sind unter anderem die DSGVO, Teile des SGB sowie in den USA durch den Health Insurance Portability and Accountability Act (HIPAA), der teilweise auch in Europa von Anwendern als Richtlinie genutzt wird.

Glücklicherweise haben die Cloud-Anbieter immer wieder bewiesen, dass durch ihre erprobten Verfahren zur Überwachung der Cloud-Sicherheit sämtliche Daten jederzeit privat und sicher bleiben. Tatsächlich übertreffen ihre Standards die Sicherheit vieler On-Premises-Systeme – vor allem dann, wenn Ihr Unternehmen im Segment kleinerer und mittlerer Unternehmen angesiedelt ist. Cloud-Anbieter können schließlich die besten Sicherheitsexperten einstellen, ausgestattet mit modernster Technik und einem umfassenden Marktüberblick. 

Ihr Unternehmen trägt jedoch auch dann immer noch selbst die Verantwortung dafür, dass die von den Cloud-Anbietern bereitgestellten Sicherheitsmaßnahmen richtig konfiguriert sind. Ein kürzlich beim US-amerikanischen Marktforschungsunternehmen Gartner erschienener Artikel spricht das Problem an. Der Beitrag weist darauf hin, dass „die Herausforderung nicht in der Sicherheit der Cloud selbst besteht, sondern in den Richtlinien und Technologien für die Sicherheit und Kontrolle der Technologie. In fast allen Fällen, wo es Probleme mit der Datensicherheit gibt, hat es der Benutzer, nicht aber der Cloud-Anbieter, versäumt, alle notwendigen Kontrollen zum Schutz der Daten eines Unternehmens durchzuführen.“  

Es gibt eine Vielzahl von Technologien, Richtlinien und Prozessen, die der Cloud-Anbieter einsetzen sollte, um die Sicherheit der in der Cloud gespeicherten Daten zu gewährleisten. Bei der Entscheidung, welchen Cloud-Anbieter Sie nutzen möchten, sollten Sie nur solche in Betracht ziehen, deren Sicherheitsrichtlinien und -verfahren auf allgemein anerkannten internationalen Sicherheitsstandards wie ISO 27001 und dem National Institute of Standards and Technology (NIST) basieren. Die Anbieter sollten außerdem die Anforderungen der entsprechenden lokalen Regelwerke wie Europas Datenschutz-Grundverordnung (DSGVO bzw. GDPR oder General Data Protection Regulation) und HIPAA berücksichtigen.

Im Folgenden finden Sie eine Checkliste weiterer Technologien und Verfahren, die Ihr Unternehmen selbst beachten sollte und auf die es bei einem Cloud-Anbieter Wert legen sollte:

1. Dateiverschlüsselung. Sie sollten Ihre Daten verschlüsseln, noch bevor Sie sie an die Cloud senden, und zwar mit einer von der Regierung genehmigten starken AES-256-Verschlüsselung. Ihr Unternehmen richtet die Verschlüsselung ein und nur autorisierte Benutzer in Ihrem Unternehmen können darauf zugreifen. Der Cloud-Anbieter ist dann nicht in der Lage, Ihre Daten einzusehen, weil diese in einem verschlüsselten Cloud-Speicher abgespeichert sind!
2. Sichere Kommunikation. Metadaten sollten verschlüsselt sein und die gesamte Managementkommunikation zwischen Ihren Systemen und der Cloud des Anbieters sollte über sichere Kanäle mit SSL-Verschlüsselung laufen. Das bedeutet, dass zu jedem Zeitpunkt alle Aspekte Ihrer Daten sicher sind.
3. Web-Anwendungs-Firewall. Der Provider sollte eine Web Application Firewall (WAF) einsetzen. Sie bietet sofortigen Schutz vor SQL-Injection, Cross-Site-Scripting unberechtigtem Ressourcenzugriff Remote File Inclusion anderen OWASP-Bedrohungen (Open Web Application Security)
4. Sicherheit im Rechenzentrum. Das physische Rechenzentrum muss durch hohe Zäune, Sicherheitspersonal rund um die Uhr und Videoüberwachung mit 90-tägiger Archivierung hoch gesichert sein. Biometrische Handgeometriescans und Proximity-Schlüsselkarten sollten standardmäßig für den Zugang erforderlich sein.
5. Verfügbarkeit des Rechenzentrums. Die Infrastruktur des Cloud-Anbieters muss Hochverfügbarkeits-SLAs erfüllen, indem sie eine redundante Infrastruktur unterhält, um Ausfallzeiten zu minimieren und Single Points of Failure zu eliminieren. Darüber hinaus müssen die Stromversorgungssysteme in den Rechenzentren eine unterbrechungsfreie Stromversorgung der gesamten Infrastruktur rund um die Uhr sicherstellen. Automatische unterbrechungsfreie Stromversorgungen schützen zusätzlich vor Stromstößen beim Umschalten von Stromleitungen und bieten Stromunterstützung beim Umschalten auf Dieselgeneratoren. Die Rechenzentren sollten außerdem von mindestens zwei unabhängigen Stromquellen versorgt werden.
6. Regelmäßige Backups. Der Cloud-Anbieter muss nach einem regelmäßig vereinbarten Zeitplan Backups durchführen, um sicherzustellen, dass Ihre Daten auch bei einem größeren Ausfall geschützt bleiben.
7. Professionelle Best Practices. Der Anbieter sollte außerdem strenge Vertraulichkeits-, Geschäftsethik- und Verhaltenskodex-Richtlinien verpflichtend für alle Mitarbeiter implementiert haben. Dazu zählen auch Hintergrundüberprüfungen, wann immer dies angebracht ist. Ferner betroffen sind Geheimhaltungsvereinbarungen und Prinzipien der Aufgabentrennung, wie zum Beispiel das Need-to-know-Prinzip und der Least-Privilege-Zugriff. Das beugt vorsätzlichen oder versehentlich sicherheitgefährdenden Handlungen von Insidern vor. Strenge Zugriffskontrollen, Multi-Faktor-Authentifizierung und eine allgegenwärtige Aktivitätsprotokollierung stellen schließlich sicher, dass nur angemessene Zugriffe auf sensible Systeme erfolgen.

Acronis Cyber Protect Cloud bietet einen revolutionären Ansatz, der Datenschutz und Cybersicherheit in einer einzigen Lösung integriert. Diese integrierte Methode beseitigt Komplexitätsherausforderungen, bietet besseren Schutz vor den heutigen Bedrohungen und maximiert die Effizienz durch Zeit- und Kostenersparnis.

Mit seinem umfassenden Anti-Malware-Schutz und der umfassenden Endpunktverwaltung bekämpft Acronis Cyber Protect fortschrittliche Cyberangriffe mit einer einzigartigen Integration von Schutztechnologien und vereinfacht gleichzeitig den täglichen IT-Betrieb, wie die Bereitstellung und Verwaltung von Endpunkten so wie das Reporting. Ganz gleich, ob Ihr Unternehmen seine On-Premises-Systeme oder Cloud-basierten Daten schützen muss: Acronis Cyber Protect bietet den branchenweit besten Anti-Malware-Schutz, Backup und Technologien für künstliche Intelligenz (KI) und maschinelles Lernen (ML).  based data, Acronis Cyber Protect offers the industry’s best anti-malware protection, backup, and artificial intelligence (AI)/ machine learning (ML) technologies.