Datenlecks in der Cloud Warum Sicherheit in der Cloud nicht unterschätzt werden sollte

Von Matthias Bollwein

Anbieter zum Thema

Skepsis, Überzeugung, Etablierung. Diese Stufen durchlaufen in der Regel alle technischen Innovationen. So auch das Thema Cloud Computing. Nach anfänglicher Skepsis und Zurückhaltung hat das Thema vor allem durch die Corona-Pandemie an Bedeutung gewonnen. Neben der Implementierung ist die Sicherheit in der Cloud einer der größten Herausforderungen.

Immer häufiger hört man von Datenlecks bei Unternehmen. Doch welche Vorkehrungen müssen rund um das Thema Sicherheit in der Cloud getroffen werden?
Immer häufiger hört man von Datenlecks bei Unternehmen. Doch welche Vorkehrungen müssen rund um das Thema Sicherheit in der Cloud getroffen werden?
(© kerenby - stock.adobe.com)

Spätestens seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 muss jedes Unternehmen persönliche Daten schützen und sichern. Zusätzlich wurde im Jahr 2020 das Privacy Shield Abkommen gekippt. Dieses ermöglichte es Unternehmen, europäische Daten auf US-Servern zu verarbeiten. Ein großes Problem, denn viele europäische Unternehmen hatten ihre Daten bis dato bei Cloud-Anbietern gelagert, deren Hauptsitz nicht in Europa war.

Dann kam die Corona-Pandemie. Der Arbeitsalltag vieler und klassische Geschäftsprozesse veränderten sich. Unternehmen waren unter Druck, Mitarbeiter im Home Office zu vernetzen und alle Daten remote abrufbar bereitzustellen. Aufgrund der Dringlichkeit kamen Datenschutz- und Datensicherheitsprüfungen bei der Einführung neuer Cloud-Software oft zu kurz.

Jetzt ist es geboten, das eigene Cloud Setup genauer unter die Lupe zu nehmen, um sich langfristig sicher aufzustellen. Eine große Herausforderung – denn Datenschutz in der Cloud beruht auf vielen Faktoren: Ist mein Cloud-Anbieter DSGVO konform? Hat mein Cloud-Anbieter die Kompetenzen und Ressourcen, Sicherheitslücken schnell zu finden und zu schließen, um Hackern keine Einfallstore zu öffnen? Wie wachsam sind meine Mitarbeiter, um IT-Gefahren bei der Nutzung von Cloud-Diensten zu umgehen?

3 von 4 Unternehmen setzen mittlerweile auf die Cloud

Es ist nicht verwunderlich, dass die Cloud mittlerweile bei vielen im Arbeitsalltag nicht mehr wegzudenken ist. Laut Bitkom Research setzten bereits Mitte 2020 Dreiviertel aller deutschen Unternehmen auf die Cloud – mit steigender Tendenz. Zugang zu einer Cloud bekommen Unternehmen etwa über einen Cloud-Anbieter, bei welchem sie Rechenleistung und Speicherplatz mieten oder Software-as-a-Service Produkte buchen, etwa Videokonferenz-Tools, Chat-Services oder Passwort-Manager. Gerade in Bezug auf die Aspekte Cloud-Sicherheit und Kontrolle über sensible Daten, gewinnt das Konzept Private-Cloud-as-a-Service immer mehr an Bedeutung. Dieses Modell vereint das Beste aus den beiden Cloud-Welten ‚Public Cloud‘ und ‚Private Cloud‘: Kein IT-Aufwand bei zeitgleich sicherster Betriebsumgebung mit voller Daten-Souveränität.

Generell stechen vor allem europäische Cloud-Provider hervor und können mit dem Einhalten der DSGVO und somit dem Schutz sensibler personenbezogener Daten punkten. Laut den „IT-Trends 2021“ von Capgemini möchten knapp 45 Prozent der befragten Unternehmen in den kommenden Jahren ihre Cloud-Nutzung auf europäische Anbieter ausweiten und außereuropäischen den Rücken kehren. Doch trotz vieler Sicherheitsvorkehrungen der Cloud-Provider und auch der Unternehmen selbst, kommt es immer wieder zu Datenlecks.

Deutsche Unternehmen wiegen sich in Sicherheit

Obwohl Cloud-Sicherheit bei vielen Befragungen immer als besonders wichtiger Teil angesehen wird, zeigen sich in der Praxis Fehler und Lücken.

Der Studie Cloud Security 2021 zufolge wiegen sich knapp 87 Prozent in Sicherheit und glauben, dass die Unternehmensdaten in der Cloud absolut sicher sind. Die Realität sieht jedoch anders aus. IT, in jeder Form, ist angreifbar! Auch Cloud Intrastruktur und Cloud Anwendungen mit darin gespeicherten Daten.

So stellen Phishing E-Mails nach wie vor eine weitverbreitete Gefahr dar. Das Problem – sie sind immer schwerer als solche zu erkennen. Inzwischen beinhalten sie oft eine vorangegangene, abgefangene Konversation eines vertrauenswürdigen Kontakts. Ein Ziel von Phishing E-Mails: Das Abgreifen und Missbrauchen von Zugangsdaten jeder Art.

Datenpannen können aber auch durch das gezielte Suchen nach Schwachstellen im System hervorgerufen werden. Versierte Hacker verschaffen sich so einen Zugang in die Cloud und gelangen dort an sensible Daten. Vergangenes Jahr führte unter anderem das mangelhaft abgesicherte System eines Anbieters von Reservierungs- und Kontaktnachverfolgungs-Software für die Gastronomie dazu, dass Anschriften, E-Mail-Adressen und Telefonnummern von Gästen ausgelesen werden konnten.

Wenn unbefugte Dritte in den Besitz schützenswerter Daten gelangen

Vorfälle beider Art, Phishing und Hacking, haben zur Folge, dass unbefugte Dritte in den Besitz von sensiblen Daten gelangen und es zu Datenlecks kommt. Mag dies auf den ersten Blick wage klingen, verbergen sich dahinter konkrete Schäden, die verdeutlichen warum die DSGVO und ihre Umsetzung in ihrem Grundsatz zeitgemäß, absolut notwendig und auch im Interesse von Unternehmen ist. Denn kein Unternehmen möchte ursächlich dafür verantwortlich sein, dass die Kundschaft oder auch eigene Mitarbeitende konkreten Betrugsgefahren, wie Identitätsdiebstahl, Missbrauch von Bankdaten oder sonstigen Manipulationsversuchen ausgesetzt sind. Allein aus wirtschaftlichem Interesse sollten diese Gefahren ernst genommen werden - auch im relativ abstrakt klingenden Konstrukt der ‚Cloud‘.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sicherheitsrisiken in der Cloud mit dem richtigen Anbieter minimieren

Doch welche Punkte sollten Unternehmen nun beim Thema Sicherheit in der Cloud beachten? Der erste Schritt sollte der Umzug zu Angeboten sein, deren Anbieter im europäischen Raum steht und alle Richtlinien der DSGVO einhält. Ebenfalls lohnt es sich im Vorhinein konkrete Sicherheitsfragen beim Cloud-Anbieter anzusprechen, um mögliche Risiken auszuschließen. Werden die Daten direkt beim Cloud-Provider im Rechenzentrum gespeichert, kann beispielsweise erfragt werden, wo sich dieses befindet und welche Sicherheitsvorkehrungen vor Ort in Form von Videoüberwachung und Personal getroffen werden. Falls das Unternehmen zum Teil selbst für die Sicherheit zuständig ist, kann in Erfahrung gebracht werden, in welcher Form. Müssen beispielsweise regelmäßig neue Updates zur Sicherheit oder der Firewall auf den Servern gemacht werden? Natürlich sollte auch gefragt werden, wie es mit der DSGVO-Konformität beim Cloud-Anbieter aussieht.

Außerdem sollte ein Helpdesk beim Cloud-Anbieter existieren, an das man sich bei konkreten Fragen wenden kann. Das ist nicht nur für das Unternehmen hilfreich, sondern auch für den Dienstleister. Denn der direkte Austausch trägt zu einer besseren Leistung des Cloud-Produkts bei und zeigt mögliche Probleme auf, die so schneller behoben werden können. Zudem sollte vor dem Abschluss eines Vertrags mit einem Cloud-Provider geklärt sein, was mit den Daten nach Beendigung des Vertragsverhältnisses passiert.

Normalerweise fertigt der Cloud-Anbieter regelmäßig Kopien der gespeicherten Daten an. Hilfreich, da man bei Problemen auf diese zurückgreifen kann. Doch mit dem Ende des Vertrages und nach dem Umzug der Daten sollten diese, und auch Metadaten, beim Anbieter vollständig vernichtet werden.

Zu guter Letzt: Datenverschlüsselung. Bei vielen kostenlosen Cloud-Anwendungen werden die Unternehmensdaten nicht automatisch verschlüsselt gespeichert. Das heißt, wer durch eine Sicherheitslücke in das System eindringt, sieht alles. Deshalb sollte ein Cloud-Anbieter ausgewählt werden, der die Daten ausnahmslos Ende-zu-Ende verschlüsselt oder noch besser: Eine private bzw. hybride Lösung, die die Daten vor Ort speichert. Ermöglicht ein Anbieter zusätzlich den Login via Zwei-Faktor-Authentifizierung, existiert ein weiterer wertvoller Sicherheitsmechanismus: Selbst wenn das eigene Passwort in die falschen Hände gerät, hat ein Login Versuch Dritter keinen Erfolg, weil zum Beispiel ein Code auf dem Smartphone als zweites Sicherheitsmerkmal verlangt wird.

Risikofaktor Mensch – So lassen sich vermeidbare Fehler reduzieren

Ein weiterer Punkt, um Datenlecks zu minimieren, ist der richtige Umgang der Mitarbeitenden. Konkrete Vorgaben und Hilfestellungen bei grundlegenden Themen sind bereits sehr effektiv. Beispielsweise eine definierte Passwort-Policy. Dabei sehr hilfreich: Ein Passwort Manager in der Cloud, welcher komplizierte Zugangsdaten sicher speichert und ganz einfach durch ein Generalpasswort zu entsperren ist.

Sicherheitsrisiken lassen sich demnach durch den richtigen Cloud-Anbieter deutlich verringern. Meistens müssen hierfür keine großen Investitionssummen getätigt werden, jedoch sollten potentielle Anbieter genau betrachtet werden. Am Ende muss trotzdem auf die Kompetenzen des Anbieters vertraut werden, aber dieses Vertrauen sollte auf einer begründeten und verständlichen Basis beruhen. Werden zusätzlich die Mitarbeitenden auf Gefahren in der Cloud sensibilisiert und Hilfestellungen zur Verfügung gestellt, wird auf regelmäßige Sicherheitsscans, einen europäischen Standort des Cloud Anbieters und das regelmäßige Aufspielen von Updates geachtet, ist ein Großteil der bestehenden Gefahren bereits minimiert.

Über den Autor: Matthias Bollwein ist Mitgründer des IT-Startups Uniki, das mit ELLY ein Private-Cloud-as-a-Service Modell als einfache und hochsichere IT-Lösung für mittelständische Unternehmen anbietet. In der privaten ELLY Cloud werden Daten DSGVO konform gespeichert und automatisch Ende-zu-Ende verschlüsselt. Neben einer Anwendung zum Datenaustausch werden in der Cloud weitere Programme, wie z.B. E-Mail, (Video) Chat oder Passwortmanager bereitgestellt.

(ID:47569789)