Sicherheit für kritische Cloud-Daten Cloud-Dienste auch im KRITIS-Bereich

Nicht nur die Finanzwirtschaft setzt zunehmend auf die Cloud, auch im Gesundheitswesen kommt sie zum Einsatz. Für diese Cloud-Nutzung gibt es spezielle Sicherheitskonzepte, die auch für Unternehmen jenseits von KRITIS interessant sein können, wenn zum Beispiel zentrale Betriebsgeheimnisse geschützt werden sollen.

Firmen zum Thema

Cloud-Dienste können bei entsprechender Sicherheitskonzeption auch für kritische und sensible Anwendungen genutzt werden.
Cloud-Dienste können bei entsprechender Sicherheitskonzeption auch für kritische und sensible Anwendungen genutzt werden.
(Bild: © sasun Bughdaryan - stock.adobe.com)

Laut Cloud-Monitor 2020 nutzten fast drei von fünf der Unternehmen in Deutschland (58 Prozent) Private-Cloud-Anwendungen, zwei von fünf (38 Prozent) setzten auf Public-Cloud-Lösungen. Unternehmen ohne Public-Cloud-Lösungen haben demnach vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten, berichten Bitkom und KPMG.

Vertrauen in Cloud-Dienste wächst

Trotzdem zeigt sich, dass Cloud-Dienste mehr und mehr Vertrauen gewinnen. Selbst Banken und Versicherungen entscheiden sich inzwischen für die Cloud, weil sie dort Sicherheitsvorteile sehen. Damit dies auch für die Public Clouds gilt, müssen spezielle Sicherheitsmaßnahmen ergriffen werden.

Schon vor Jahren hatte zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) in einem Eckpunktepapier mit Sicherheitsempfehlungen für Cloud-Anbieter auf zusätzliche Sicherheitsmaßnahmen hingewiesen, wenn die Cloud-Daten einen hohen Schutzbedarf hinsichtlich der Vertraulichkeit oder Verfügbarkeit haben.

Beispiel Gesundheitsdaten

Durch die Corona-Pandemie hat die Bedeutung von Cloud-Diensten insgesamt und sogar im Gesundheitswesen zugenommen. Selbst sensible Gesundheitsdaten sollen und werden zunehmend Cloud-Diensten anvertraut. Aber auch unabhängig von der Pandemie setzt das Gesundheitswesen in der EU auf Cloud-Services. Deshalb hat die EU-Agentur für Cybersicherheit ENISA nun speziell die Cloud-Sicherheit für das Gesundheitswesen betrachtet.

ENISA greift drei Beispiele heraus, bei denen Cloud-Dienste für sensible Patientendaten genutzt werden:

  • Elektronische Gesundheitsakte (EHR), also Systeme, die sich auf die Erfassung, Speicherung, Verwaltung und Übertragung von Gesundheitsdaten konzentrieren, wie Patienteninformationen und medizinische Untersuchungsergebnisse,
  • Remote Care, eine Untergruppe der Telemedizin, die die Remote-Konsultation von Patienten und Ärzten unterstützt, und
  • Cloud-Dienste, die den Betrieb von Medizinprodukten unterstützen, zum Beispiel die Bereitstellung von Daten zu Medizinprodukten für verschiedene Interessengruppen oder zur Geräteüberwachung.

Für jeden dieser Anwendungsfälle werden in dem neuen ENISA-Bericht „Cloud Security for Healthcare Services“ die wichtigsten Faktoren hervorgehoben, die bei der Durchführung der relevanten Risikobewertung durch Gesundheitsorganisationen zu berücksichtigen sind – beispielsweise im Hinblick auf das Risiko für sensible Patientendaten oder die Verfügbarkeit eines medizinischen Dienstes. Der Bericht schlägt auch eine Reihe von Sicherheitsmaßnahmen vor, die von Gesundheitsorganisationen bei der Planung ihrer Umstellung auf Cloud-Dienste umgesetzt werden müssen, zum Beispiel die Einrichtung von Prozessen für das Incident Management, die Definition von Datenverschlüsselungsanforderungen sowie die Gewährleistung der Datenportabilität und Interoperabilität.

Die erhöhten Sicherheitsanforderungen für die Verarbeitung von Gesundheitsdaten in einer Cloud können ein Beispiel dafür sein, wie sich auch sensible, kritische Daten in Cloud-Diensten schützen lassen. Die Cloud-Sicherheit im Bereich Healthcare Services kann ein Vorbild sein für die Absicherung von Cloud-Services, bei denen besonders schutzbedürftige Daten verarbeitet werden sollen. Man denke beispielsweise an Daten zu wichtigen Geschäftsgeheimnissen, die in einer Cloud analysiert werden sollen.

Was zu einer erhöhten Cloud-Sicherheit beiträgt

Betrachtet man die Empfehlungen von ENISA für die Cloud-Sicherheit im Gesundheitswesen, findet man zum Beispiel folgende Maßnahmen, die auch bei erhöhtem Schutzbedarf in anderen Branchen sinnvoll sein können:

  • Informationen sollten gemäß der Risikobewertung oder der Folgenabschätzung nach Datenschutz-Grundverordnung (DSGVO) geschützt werden.
  • Betroffene müssen informiert werden, wenn ihre Daten einem Sicherheitsvorfall ausgesetzt waren.
  • Stellen Sie sicher, dass die gesetzlichen Meldepflichten erfüllt sind.
  • Stellen Sie sicher, dass die Kontaktperson beim Cloud-Service-Anbieter rund um die Uhr erreichbar ist und die Antwort innerhalb einer vordefinierten Zeit garantiert ist.
  • Alle erforderlichen Maßnahmen zur Sicherstellung der Datenlöschung sollten vorhanden sein und in einer Richtlinie dokumentiert sein (einschließlich technischer Mittel zur Unterstützung von Daten, die in mehreren Systemen gespeichert sind). Die Richtlinie sollte auch Fälle von Datenreplikation (Speicherung an mehreren Standorten) enthalten, was bedeuten würde, die Rückverfolgung der Daten zu ermöglichen, um eine vollständige Löschung sicherzustellen. Eine clientseitige Verschlüsselung im Vergleich zur serverseitigen Verschlüsselung könnte eine Lösung dafür sein.
  • Stellen Sie sicher, dass Daten bei Sicherung und Datenübertragung verschlüsselt sind.
  • Achten Sie auf clientseitige Verschlüsselung.
  • Die Zwei-Faktor-Authentifizierung sollte obligatorisch sein.
  • Stellen Sie sicher, dass das Netzwerk vor Denial-of-Service-Angriffen geschützt ist.

Auch kritische Bereiche können sicher in die Cloud

Es zeigt sich: Cloud-Dienste und darunter auch Public-Cloud-Dienste können bei entsprechender Sicherheitskonzeption auch für kritische und sensible Anwendungen genutzt werden.

Hier kommt auch Confidential Computing ins Spiel, das zum Beispiel bei der Analyse von Gesundheitsdaten und anderen schutzbedürftigen Daten in der Cloud zum Einsatz kommen kann. Confidential Computing ermöglicht den Schutz von Daten während ihrer Verwendung, zusätzlich zum Schutz während der Speicherung und der Übertragung. Die Sicherheit wird dadurch erreicht, dass die Daten während der Verarbeitung in einer Hardware-basierten, vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) isoliert werden. Eine TEE-Hardware stellt einen abgesicherten Container bereit und schützt so einen Teil des Prozessors und Speichers der Hardware.

Man kann somit viel tun, um das steigende Vertrauen in Cloud-Dienste zu rechtfertigen, im Gesundheitswesen und in anderen schutzbedürftigen Bereichen der Datenverarbeitung.

(ID:47261118)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research