Sicherheit von Cloud-Diensten

In dieser Übersicht finden Sie - ohne Anspruch auf Vollständigkeit - einführende Informationen rund um die Sicherheit von Cloud-Diensten.

Allgemeines

Cloud Computing bietet zahlreiche Potenziale hinsichtlich Flexibilität, Kostenvorteilen und weiteren Faktoren. Die Einsatzmöglichkeiten reichen von einfachen Datentransfers über die Datensicherung in der Cloud bis zur Nutzung von Software as a Service, wo Software und IT-Infrastruktur von einem externen IT-Dienstleister betrieben werden. Auf diese Weise können je nach Konstellation beispielsweise Kosten gesenkt werden, indem weniger lokale IT-Ressourcen benötigt werden.
Über die reine IT-Infrastruktur hinaus bildet die Cloud aber auch die Basis für ganz neue Prozessgestaltungen oder Geschäftsmodelle. Ein typisches Beispiel sind Collaboration Tools, also Anwendungen welche die gemeinsame Zusammenarbeit verschiedenster Akteure an bestimmten "in der Cloud" gespeicherten Daten beziehungsweise Projekten ermöglichen. Weitere Beispiele finden sich etwa in Form schnellerer Bildverarbeitung im medizinischen Bereich, der effizienteren Auftragsbearbeitung in der Landwirtschaft oder in der Logistik - den Einsatzmöglichkeiten sind letztlich kaum Grenzen gesetzt.
Mit der Nutzung von Cloud-Diensten sind (wie bei jeder IT-Anwendung oder -Infrastruktur) verschiedene Fragestellungen hinsichtlich der Sicherheit verbunden. Diese umfassen neben technischen und organisatorischen Aspekten auch rechtliche Themen wie etwa den Schutz personenbezogener Daten. In der öffentlichen Diskussion reicht die Bandbreite der Einschätzungen zur Cloud-Sicherheit von pauschaler Ablehnung bis zur Überlegung, dass ein einzelnes Unternehmen nur unter größtem Aufwand das hohe Sicherheitsniveau eines spezialisierten Cloud-Anbieters erreichen kann.

Cloud-Sicherheit und Standards

Hinsichtlich der Compliance-Anforderungen an Cloud-Lösungen kommen als gesetzliche Grundlagen unter anderem die DSGVO, das Bundesdatenschutzgesetz oder Buchführungsgrundsätze gemäß HGB in Frage. Dementsprechend wird von Cloud-Anbietern auch eine fortlaufende Beobachtung und Umsetzung bestehender sowie geänderter gesetzlicher Anforderungen gefordert.
In den vergangenen Jahren haben sich auf dieser Grundlage verschiedene Ansätze entwickelt, welche Sicherheitsanforderungen an Cloud-Dienste beziehungsweise -Anbieter im Detail bestehen. Die typischen Anforderungen reichen von der Einhaltung grundlegender IT-Sicherheitsstandards wie der ISO/IEC 2700x-Reihe über die Nutzung von Verschlüsselungsverfahren nach Stand der Technik bis zum Schutz beispielsweise vor DDoS-Angriffen, um die Verfügbarkeit sicherzustellen.
Die Grundidee hinter entsprechenden Standards besteht einerseits in der Definition eines Stands der Technik, auf welchen in verschiedensten gesetzlichen Grundlagen Bezug genommen wird und der damit als Maßstab hinsichtlich Haftungsfragen oder Bußgeld-Entscheidungen relevant sein kann. Andererseits können Standards bei Bedarf auch vertraglich zwischen Anbieter und Anwender vereinbart werden, was insbesondere bei Projekten im B2B-Bereich üblich ist.

Labels und Zertifizierung

In Bereichen von der Produktqualität bis zu Bio-Lebensmitteln existieren zahlreiche Zertifizierungen und Labels, welche das kundenseitige Vertrauen in bestimmte Produkte steigern sollen. Diese werden in den meisten Fällen durch privatwirtschaftliche Organisationen auf Basis vorab definierter Anforderungskataloge vergeben. Auch hinsichtlich der Sicherheit von Cloud-Diensten existieren entsprechende Angebote.
Insbesondere im Bereich von Cloud-Services sind die Sicherheitsanforderungen jedoch vergleichsweise umfangreich und komplex. In Zusammenhang mit Labels sollte daher beachtet werden, dass Anbieter oder Dienste ohne ein bestimmtes Label nicht automatisch "unsicher" sind. Ein Label kann ein erstes Indiz sein, die tatsächlichen Sicherheitsanforderungen und -maßnahmen bedürfen bei allen über Standardanwendungen hinausgehenden Cloud-Projekten jedoch einer tiefgehenden Analyse im Einzelfall.
Insofern sind die jeweiligen Standards und Anforderungskataloge in mehrfacher Hinsicht nutzbar, zum Beispiel:
  • Für Cloud-Anbieter als Basis für eine Umsetzung und Dokumentation von Sicherheitsmaßnahmen nach Stand der Technik
  • Als Grundlage für eine entsprechende Zertifizierung beziehungsweise den Erhalt eines Labels als Cloud-Anbieter
  • Unabhängig von Labels im Sinne einer Checkliste für die Berücksichtigung von Sicherheitsaspekten im Rahmen von Cloud-Projekten (etwa durch vertragliche Berücksichtigung bestimmter Anforderungen oder Standards)

Einen Überblick über verschiedene Zertifizierungssysteme und Label finden Sie auf der ENISA-Website sowie auf der Website der Trusted Cloud Initiative.
Eine umfangreiche Liste verschiedenster Sicherheitsmaßnahmen enthält insbesondere der Anforderungskatalog Cloud Computing des BSI (C5: Cloud Computing Compliance Controls Catalogue). Dort sind auch Verweise auf zahlreiche gesetzliche Grundlagen sowie weitere nationale und internationale Standards aufgeführt.

Der Weg in die Cloud

Wie jedes IT-Projekt erfordert auch die Nutzung von Cloud-Diensten eine fundierte Analyse der konkreten Anforderungen an Funktionalität, Sicherheit, Verfügbarkeit und weiteren Faktoren im Einzelfall. In der Regel werden daher erfahrene Dienstleister eingeschaltet, die auf Basis einer umfassenden Beratung die weitere Umsetzung konzipieren. Hierbei werden auch die individuellen Sicherheitsanforderungen berücksichtigt.
Ein mögliches Ergebnis sind beispielsweise Hybrid Cloud Lösungen, bei denen Private und Public Cloud kombiniert werden. Dadurch können je nach Bedarf unterschiedliche Sicherheitsniveaus umgesetzt werden, so dass für den "unkritischen" Datenbestand die Vorteile der Public Cloud nutzbar werden, während kritische Daten und Prozesse in den lokalen Ressourcen verbleiben. Damit verbunden ist möglicherweise jedoch ein höherer organisatorischer Aufwand, was wiederum die Notwendigkeit einer systematischen Herangehensweise an Cloud-Projekte unter Einbeziehung entsprechender Experten unterstreicht.
Über unsere Firmendatenbank finden Sie eine Reihe entsprechender Anbieter und Dienstleister in der Region. Für Fragen zu diesem Thema stehen wir zudem gerne jederzeit auch persönlich zur Verfügung.