Datensicherheit und Datenschutz: Best Practices für die Cloud-Sicherheit So werden Cloud-Migrationen und -Applikationen sicher

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Das Vertrauen in Cloud Computing steigt. Selbst sensible Daten und kritische Geschäftsanwendungen wandern in die Cloud. Doch eine sichere Cloud-Migration und Cloud-Applikation sind keine Selbstverständlichkeit. Unternehmen als Cloud-Nutzer sind gefordert, mehr für ihre Cloud-Sicherheit zu tun. Dabei helfen erprobte Lösungen und Best Practices für die Cloud-Security.

Firmen zum Thema

Von höchster Bedeutung ist beim Thema Cloud die Sicherheit – natürlich vor allem auch für die gespeicherten Daten.
Von höchster Bedeutung ist beim Thema Cloud die Sicherheit – natürlich vor allem auch für die gespeicherten Daten.
(Bild: Ashish Bogawat / Pixabay )

Nie war mehr Cloud als heute, so ein Fazit der IDC-Studie zu „Cloud Computing 2020+“. Fast jeder Workload kann in die Cloud verschoben oder aus der Cloud bezogen werden. 46 Prozent der von IDC befragten Unternehmen in Deutschland befinden sich in einer fortgeschrittenen Phase ihrer Cloud-Umsetzung. 87 Prozent der Befragten nutzen multiple Cloud-Ressourcen, 27 Prozent verwenden hybride Clouds in produktiven Szenarien.

Datenschutz und Datensicherheit sind weiterhin Trumpf bei der Suche nach Cloud-Anbieter und Cloud-Lösung. Wie der Cloud-Monitor 2020 von Bitkom und KPMG zeigt, ist die Konformität mit der Datenschutz-Grundverordnung (DSGVO) am wichtigsten; fast alle Unternehmen (96 Prozent) geben dies an. Für 88 Prozent ist eine transparente Sicherheitsarchitektur eine Grundvoraussetzung.

Dabei sollten die Unternehmen als Cloud-Nutzer aber nicht vergessen, dass Datenschutz und Datensicherheit keine alleinige Bringschuld der Cloud-Anbieter ist. Bei Cloud Computing herrscht eine geteilte Verantwortung. Die Sicherheit der Cloud-Infrastruktur, also Hardware, Software, Netzwerk und Einrichtungen, auf denen der Cloud-Service ausgeführt wird, obliegen dem Cloud-Provider. Doch alles, was ein Unternehmen innerhalb der Cloud betreiben will, also insbesondere Applikationen und Daten in der Cloud, müssen die Anwenderunternehmen selbst absichern.

Cloud-Vertrauen und geteilte Cloud-Sicherheit

Das Vertrauen in Cloud Computing ist weiter gewachsen. Selbst Organisationen, die zu KRITIS (Kritische Infrastrukturen) und anderen stark regulierten Bereichen gezählt werden, setzen auf die Cloud.

Für 25 Prozent der Entscheider von Banken und Versicherern zum Beispiel ist Datensicherheit inzwischen ein zentraler Vorteil der Cloud-Nutzung, so die „Potenzialanalyse Cloud in Europa“ von Sopra Steria. Auch die Trendstudie „Cloud Transformation: Strategien und Maßnahmen von Banken und Versicherungen auf dem Weg in die Cloud“ von KPMG und Lünendonk & Hossenfelder kommt zu dem Schluss, dass selbst Banken und Versicherungen ihre Scheu vor der Public Cloud verloren haben.

Viele Unternehmen versprechen sich mehr Sicherheit durch die Cloud; allerdings sollte es nicht dazu kommen, dass sich Anwenderorganisationen in einer Scheinsicherheit wiegen.

Sicherheitsrisiken in der Cloud oftmals auf Anwenderseite

Fast alle Cloud-Angriffe sind das Ergebnis von Fehlkonfigurationen, Missmanagement und Fehlern der Kunden, sagen die Marktforscher von Gartner, und die Untersuchungen von aktuellen Cloud-Attacken geben ihnen recht. Offensichtlich müssen die Cloud-Nutzer deutlich mehr tun, um die erwartete oder erhoffte Cloud-Sicherheit auch zu gewährleisten.

Bereits vor dem Umzug in die Cloud müssen die Sicherheitsmaßnahmen für die Cloud-Nutzung genau geplant und vorbereitet werden. Für die Sicherheit in der Cloud müssen eigene Maßnahmen und Konzepte ausgewählt werden, da die Cloud auch eigene Risiken mit sich bringt, die sich von der On-Premises-Welt unterscheiden. Andererseits setzen viele Unternehmen auf hybride Konzepte, die Cloud und On-Premises-IT umfassen, und auf die parallele Nutzung mehrerer Cloud-Dienste und damit Multi-Cloud. Das Ziel sollte es deshalb sein, eine einheitliche Security-Plattform für die Cloud-Dienste und die On-Premises-IT zu nutzen.

Ebenso sollte berücksichtigt werden, ob bestehende Anwendungen in die Cloud übertragen werden sollen oder ob auch neue Cloud-Applikationen entstehen sollen. Meist werden beide Anforderungen bestehen. Viele Unternehmen wollen gerade durch die Cloud zu neuen Anwendungen und Geschäftsmodellen kommen. Dann aber sollte auch die Entwicklung und die Produktivsetzung in der Cloud abgesichert erfolgen, ganz nach der Vorgabe Security by Design. Gefragt ist deshalb eine Lösung, welche die Sicherheit in jeder Phase der Anwendungsentwicklung und in der Phase der Cloud-Nutzung überwacht und kontrolliert.

(ID:47138182)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research