Schon längst nutzen große Unternehmen Cloud-Angebote, aber auch immer mehr kleine und mittelständische Betriebe treten in ihre Fußstapfen. Dabei herrschen bezüglich der Sicherheit nach wie vor Bedenken. Provider und Nutzer tragen gleichermaßen dafür die Verantwortung.

Bei der Nutzung von Public-Cloud-Angeboten steht die Sicherheit immer noch im Fokus der Kritik. Technisch gesehen scheint es riskant zu sein, mehrere virtuelle Server auf einer physischen Plattform zu betreiben, denn wenn unterschiedliche Unternehmen eine Ressource teilen, könnten sie theoretisch fremde Dienste unterbrechen oder Daten stehlen. Abgesehen davon: Was passiert, wenn ausländische Behörden auf Daten in der Cloud zugreifen möchten?

Grundsätzlich gibt es einen Unterschied zwischen der Sicherheit der bereitgestellten Cloud-Infrastruktur selbst und der Sicherheit bei der Cloud-Nutzung. Letztere bezieht sich auf diejenigen Teile, die der Nutzer selbst konfigurieren kann und auch muss. Im Cloud-Bereich spricht man von einem Shared-Responsibility-Modell, also einem Prinzip der gemeinsamen Verantwortung von Cloud-Provider und Cloud-Anwender.

Sicherheit der Cloud. Public-Cloud-Provider sind die wohl am häufigsten von Cyberattacken betroffenen Unternehmen. Infolgedessen sind aber gerade die Sicherheitsmaßnahmen der großen Cloud-Provider besonders stringent. Zudem werden sie durch eine Vielzahl global agierender Unternehmen gewissermaßen zu höchsten Standards gezwungen, angefangen bei der physischen Sicherheit der Rechenzentren, die mit modernsten Verfahren und oft sogar mit Panzersperren ausgestattet sind. Es ist also nicht verwunderlich, dass die führenden Public-Cloud-Anbieter wesentlich mehr Sicherheitszertifizierungen besitzen als viele regionale Dienstleister.

2018 wurden zwei Methoden bekannt, um fremde Daten von geteilten Prozessoren abzugreifen. Auf diese Bedrohung wurde relativ schnell reagiert und die Sicherheitslücken wurden bestmöglich geschlossen. Inzwischen sind weitere ähnliche Methoden bekannt. Obwohl derartige Angriffe nicht nur in der Public Cloud, sondern in jeder virtualisierten Umgebung auftreten können, sind keine Fälle bekannt geworden, in denen diese Lücke tatsächlich ausgenutzt werden konnte. Wer eine zusätzliche Absicherung anstrebt, kann auch in der Public Cloud dedizierte Hosts anmieten. Cloud-Provider garantieren, dass nur Server eines einzigen Anwenders auf den physischen Servern laufen. Angriffe über eine Virtualisierungsschicht sind damit ausgeschlossen.

Wichtig ist auch, dass Regierungsbehörden nicht problemlos auf die Daten von Nutzern und Unternehmen aus der Public Cloud zugreifen können und dürfen. Für amerikanische Unternehmen gilt hier der sogenannte Cloud Act. In ihm ist klar festgelegt, dass nur im Rahmen der Strafverfolgung und auch nur gerichtlich abgesicherte Daten von Cloud-Providern an die Regierung übergeben werden müssen und das auch nur dann, wenn es nicht den regional gültigen Gesetzen widerspricht. Wer seine Daten zusätzlich schützen möchte, kann zur Verschlüsselung greifen. An dieser Stelle kommt die Sicherheit bei der Cloud-Nutzung ins Spiel.

Sicherheit bei der Cloud-Nutzung. Bei den bekannten Sicherheitsvorfällen, bei denen Fotos, Passwörter oder Kontodaten gestohlen wurden, handelt es sich um leicht durchzuführende Hacking-Angriffe. Leicht deshalb, weil die einfachste Schwachstelle im System genutzt wurde, die Sorglosigkeit des Nutzers. In allen bisher aufgetretenen Fällen konnten relativ einfach Passwörter erraten oder anderweitig entwendet werden. Der Fehler liegt hier ganz klar bei den Cloud-Nutzern selbst und nicht beim Cloud-Provider.

Je nach gewähltem Cloud-Modell tragen auch die Unternehmen selbst die Verantwortung für die Sicherheit ihrer Applikationen und Daten.

Ihr Verantwortungsbereich umfasst unter anderem die Einhaltung von Passwort-Best-Practices, die Identitäts- und Zugriffsverwaltung, die korrekte Verwaltung der Plattform und selbstverständlich die Sicherheit der selbst entwickelten Applikationen. Außerdem muss sich der Anwender um die Verschlüsselung der Daten in Bewegung (Data in Motion) und am Speicherort (Data at Rest) kümmern.

Die Zertifizierungen der Cloud-Provider reicht nur bis an die Grenze ihrer eigenen Verantwortung. Will ein Unternehmen beispielsweise Platform-as-a-Service nutzen und DSGVO-konform sein, muss es sich selbstständig um die Speicherorte und die Speicherdauer der Daten kümmern. Allerdings bieten die führenden Provider Consulting, exzellente Tools und Informationsmaterialien an, um dem Nutzer die Konfiguration und kontinuierliche Gewährleistung der Sicherheit und Compliance deutlich zu erleichtern.

Exemplarisch zeigt sich die Aufgabenteilung zwischen Cloud-Anbieter und -Nutzer beim Anwendungsfall Infrastructure-as-a-Service (IaaS). Dem Provider obliegt die Sicherung von Server, Storage, Netzwerk und Virtualisierung. In den Verantwortungsbereich des Anwenders fallen die restlichen IaaS-Schichten wie Betriebssystem, Middleware, Runtime, Applikationen und Daten.

Cloud-Security-Tipps. Um die Sicherheit in der Cloud zu gewährleisten, benötigt gerade ein kleines oder mittleres Unternehmen bei komplexen Projekten in der Regel eine Unterstützung durch Experten. Doch wer klein anfängt und iterativ vorgeht, kann die wichtigsten Kniffe auch schnell selbst lernen, vor allem, weil in der Cloud viele Komponenten aus dem klassischen IT-Betrieb anzutreffen sind. Allerdings muss ein Unternehmen berücksichtigen, dass eine Public Cloud global verfügbar ist und so eine größere Angriffsfläche bietet. Früher reichte es, ein Netzwerk nach außen abzuschotten. Der Sicherheitsfokus muss nun auf die Nutzer und deren Berechtigungen gelegt werden.

Als Basis-Schutzmaßnahme für alle Cloud-Modelle sollten Unternehmen eine Mehr-Faktor-Authentifizierung verwenden und darüber hinaus ein Least-Privilege-Konzept umsetzen. Das heißt, Mitarbeiter bekommen nur die Zugriffsrechte, die sie für ihre Tätigkeit auch tatsächlich benötigen. Wird ein Account kompromittiert, erhält ein Angreifer dadurch nur Zugriff auf einen kleinen, klar umgrenzten Bereich der Unternehmens-IT.

Insgesamt gibt es zwischen Cloud-Security und »normaler« IT-Security keine grundlegenden Unterschiede, mit der Ausnahme des Shared-Responsibility-Prinzips. Unternehmen leisten einen entscheidenden Beitrag zur Sicherheit, wenn sie das erkennen und umsetzen.