cloud-security_lizengo

Written by 10:00 IT & Technik

Cloud-Security, Datenschutz & Datensicherheit: Was du unbedingt beachten solltest

Damit du nicht aus allen Wolken fällst und dir Datenschutzbeauftragte die Bude einrennen, um dir hohe Geldstrafen anzudrohen, solltest du Cloud-safe unterwegs sein. Hierfür brauchst du ein felsenfestes Cloud-Security-Konzept. In einer Sache können wir dich direkt beruhigen: Cloud-Security ist nicht nur machbar; mit der richtigen Cloud-Lösung sorgst du sogar für mehr Datenschutz und Datensicherheit. Warum? Das erklären wir dir jetzt!

Cloud-Security:
Datenschutz & Datensicherheit aus der Cloud

Warum solltest du überhaupt Geld in eine wolkige Angelegenheit stecken? Genau. Deinen Daten zuliebe!

  • Laut einer statista-Umfrage ist für 61 % der Unternehmen, die kostenpflichtige Clouds nutzen, die Speicherung von Daten ein wichtiger Beweggrund.
  • 48 % nutzen solche Lösungen zur E-Mail-Archivierung.

Was hat das denn mit Sicherheit zu tun? Na ja, wenn du dir die aktuelle Rechtslage anschaust, dann leuchtet dir schnell ein, warum ein Datenverlust rechtlich schnell unangenehm werden kann. Ob die Ursache in einem Hardware-Fehler oder in äußeren Einflüssen (Einbruch, Diebstahl, Brand oder was auch immer) liegt, spielt hier keine Rolle.

Datensicherung in der Cloud

Warum ist die Datensicherung in der Cloud wichtig? Richtig: Wegen der gesetzlich vorgeschriebenen Datenarchivierung und der geltenden Aufbewahrungsfristen. Das kannst du beispielsweise dem Handelsgesetzbuch und dem §147 der Abgabenordnung entnehmen. Die Aufbewahrungsfristen gelten insbesondere für:

  • steuerrechtlich relevante Unterlagen
  • diverse elektronische Handels- und Geschäftsbriefe.

Die Aufbewahrungsfristen belaufen sich auf zehn Jahrebzw. auf sechs Jahre, wenn die Daten steuerrechtlich irrelevant sind. Das hat etwas mit der sogenannten lückenlosen Dokumentationspflicht zu tun. Sollte es zu einer Wirtschafts- bzw. Steuerprüfung kommen, musst du die entsprechenden Dokumente für den gesamten Zeitraum vorlegen können. Und genau deswegen ist eine Datensicherung in der Cloud sehr verlockend: Angesichts der Datenflut, die sich über die Jahre ansammelt, bietet eine solche Lösung nicht nur einen sicheren Speicherort (außerhalb des eigenen Gebäudes), sondern auch eine sichtliche Erleichterung im Hinblick auf den Speicherplatz.

Cloud-Security: Sensible Daten & Datenschutz in der Cloud

Doch wenn Clouds auf der einen Seite dich in deiner lückenlosen Dokumentationspflicht unterstützen, können sie auf der anderen Seite diverse rechtliche Probleme für dein Unternehmen nach sich ziehen. Zumal die Schonfrist in Sachen DSGVO nun vorbei ist, und Verstöße gegen Compliance-Regeln schwere Geldstrafen nach sich ziehen. Und so was braucht wirklich niemand. Oder? Jetzt fragst du dich bestimmt: Wer speichert denn schon sensible Daten im Public Cloud-Speicher? Jede Menge Unternehmen – das hat der Cloud-Monitor 2020 nochmals bestätigt.

  • Laut einer statista-Umfrage haben deutsche Unternehmen im Jahr 2018 folgende sensible Daten in einer Public Cloud gespeichert:
    • Kommunikationsdaten wie z. B. E-Mails (66 % der Befragten)
    • Kundendaten oder andere personenbezogene Daten (47 %)
    • Kritische Businessinformationen (33 %)
  • Der Cloud-Monitor 2020, der den Zeitraum 2019 erfasst, zeigt, dass immer mehr sensible Daten in der Public Cloud landen:
    • Kommunikationsdaten wie z. B. E-Mails (74 % der Befragten)
    • Kundendaten oder andere personenbezogene Daten (51 %)
    • Kritische Businessinformationen (41 %)

Je nach benutzter Cloud-Umgebung kann die virtuelle lückenlose Dokumentation zum Datenschutzrechtlichen Klotz am Bein werden: Unterliegt der Cloud-Anbieter nämlich nicht dem EU-Recht – weil die betreffenden Server nicht auf EU-Boden verortet sind – bildet die dortige Speicherung personenbezogener Daten (E-Mails, Kundendaten usw.) schon an sich einen Verstoß gegen die seit Mai 2018 in Kraft getretene EU-DSGVO.

cloud_security_first_lizengo
Cloud-Security First: Sensible Daten müssen sicher schweben (iStock)

Cloud-Security:
Bei kritischen Business-Informationen wird es noch heikler

Je nachdem, welche „kritischen Business-Informationen“ in der Cloud gelagert werden, kann es einerseits Vertragsstrafen nach sich ziehen (siehe „Compliance“ und Betriebsgeheimnis). Andererseits kann es auch zur Preisgabe bzw. Weitergabe brisanter Informationen an Dritte führen – je nach geltenden Richtlinien des jeweiligen Cloud-Anbieters. Ein Blick in die Nutzungsbedingungen und Datenschutzrichtlinien weltweit führender Cloud-Anbieter wie Google oder Amazon zeigt, dass es sich hierbei nicht um „Science-Fiction“-Szenarien handelt, sondern um erwiesene Tatsachen.

Datensicherheit und Datenschutz aus der Cloud:
Die Rechtslage ist für viele noch ein Hemmnis

Diese Rechtslage erklärt, warum 90 % der im Jahr 2018 befragten Unternehmen die Konformität des Cloud-Anbieters mit der EU-DSGVO als starkes Auswahlkriterium nannten. Im Jahr 2019 waren es sogar 96 % (Cloud-Monitor 2020). Und die zum Teil recht komplexe Rechtslage erklärt auch, warum die Unternehmen, die im Jahr 2019 weiterhin gegenüber Cloud-Lösungen verschlossen blieben, als häufige Argumente die unklare (60 %) bzw. die dagegensprechende (61 %) Rechtslage nannten (Cloud-Monitor 2020).

Doch dass ein Cloud-Anbieter den EU-Richtlinien unterliegt, ist allein nicht ausreichend, um Datenschutzrechtlich auf der sicheren Seite zu sein. Denn die EU-DSGVO sieht auch vor, dass die benutzte IT-Architektur höchsten Sicherheitsstandards genügen sollte, um stets den aktuell bestmöglichen Schutz personenbezogener Daten zu gewährleisten. Daher überrascht es wenig, dass unter den Must-Have-Kriterien einer Cloud-Lösung 88 % der Unternehmen die „transparente Sicherheitsarchitektur“, und 77 % die mögliche Datenverschlüsselung durch den Cloud-Nutzer nannten (Cloud-Monitor 2020).

Cloud-Security:
Cloud-Infrastrukturen als (Un-)Sicherheitsfaktor?

Cloud-Security-Empfinden bei den Nutzenden

  • Laut Cloud-Monitor 2019 ging für 54 % der Public Cloud-Nutzerinnen und Nutzer die Einführung einer solchen Cloud-Lösung mit einer Zunahme der Datensicherheit einher.
    • Somit brachte die Cloud für mehr als die Hälfte der Befragten zusätzliche IT-Sicherheit.
  • Dabei gaben 31 % der Public-Cloud-Nutzenden an, dass sie auch für kritische Anwendungen und Workflows sowie für die Speicherung sensibler Daten auf die Cloud zurückgriffen.
  • Allerdings berichteten auch 69 % der Befragten von Sicherheitsvorfällen oder sogenannten „Verdachtsmomenten“.
  • Laut einer anderen statista-Umfrage haben im Jahr 2018 lediglich 26 % der Unternehmen erwiesene Vorfälle verzeichnet, während 27 % der Unternehmen Verdachtsfälle registrierten und 45 % keinerlei Vorfälle zu melden hatten.

Nicht Cloud-Nutzende in Sachen Cloud-Security skeptisch

Verzeichnen Cloud-Nutzende einen Anstieg der Datensicherheit, ist gerade letztere für die hartnäckigen Hemmungen im Falle von totaler Cloud-Verweigerung verantwortlich. Angesichts der Nicht-Greifbarkeit solcher Cloud-Lösungen und der immer damit einhergehenden – zumindest partiellen – Aufgabe der Selbstkontrolle, sträuben sich immer noch relativ viele Unternehmen vor Cloud-Infrastrukturen. Dabei wurden 2019 als TOP-Verweigerungsgründe die Befürchtung unbefugter Zugriffe auf Unternehmensdaten (73 %) sowie der Datenverlust (64 %) angeführt.

Mehr Sicherheitsvorfälle ohne Cloud

Wenn man sich allerdings die Statistiken zu den Sicherheitsvorfällen in Unternehmen mit eigener IT-Infrastruktur (ohne Public-Cloud-Lösung) anschaut, fällt sofort auf, dass solche internen Lösungen für Sicherheitsvorfälle deutlich anfälliger sind. So hatten im Jahr 2019 nur 25 % der befragten deutschen Unternehmen gar keine Gefahren zu melden, während 28 % der Unternehmen eindeutige Vorfälle registrierten, und weitere 40 % Verdachtsmomente hatten (statista-Umfrage).

Somit scheint die Cloud-Lösung in den meisten Fällen eindeutig die sicherere Variante zu sein.

Cloudsafe unterwegs – mit Risiko-Analyse
& Cloud-Security Services

Viele Unternehmen sichern ihre Cloud-Infrastruktur durch zusätzliche Security Services ab. Laut einer statista-Umfrage betraf dies im Jahr 2018 65 % der deutschen Unternehmen. Hierbei hatte die Nutzungsanmeldung (d. h. Zugang und Zugriff auf Daten) höchste Priorität (95 %).

Unser Tipp: In Sachen Zugangsberechtigungen und Zugriffsrechte solltest du unbedingt nach dem Zero-Trust-Prinzip handeln. Das heißt: Du solltest zunächst ganz rabiat sein und alle Rechte einschränken bzw. gar keine Berechtigungen vergeben. Anschließend solltest du sehr gut überlegen, wem du welche Zugriffsrechte erteilst. Nur so schützt du die Ressourcen deines Unternehmens, die in der Cloud sind. Dabei solltest du das Zero-Trust-Prinzip an eine detaillierte Risiko-Analyse koppeln.

Allerdings ist es mit den Nutzungsrechten bei Weitem noch nicht getan. Du solltest stets den Überblick behalten und auch die Geräte, die auf die Cloud zugreifen, im Blick haben. Dieses Monitoring der Geräte war ein ebenfalls von deutschen Unternehmen im Jahr 2018 häufig in Anspruch genommener Security-Service (84 %). Weitere beliebte Security Services betrafen:

  • Die Datenverschlüsselung (79 %)
  • Das Monitoring der eingesetzten Cloud-Anwendungen (75 %)

Unser Tipp: In der Azure-Cloud kannst du beispielsweise deine Cloud-Security durch entsprechende Services sowie personalisierte Anwendungen boosten. Dabei stehen dir auch zahlreiche Monitoring-Tools zur Verfügung, die deine cloudbasierte IT-Infrastruktur stets auf Datenschutz-Konformität und potenzielle Bedrohungen durch Hackerangriffe überwachen.

Cloud-Security:
IT-Stabilität, Availability & Redundanz

Die Cloud streikt. Na und? Na ja, je nachdem, worum es gerade geht, können Ausfallzeiten recht unangenehm und teuer werden. Nehmen wir als Beispiel einen Onlineshop: No availability, no money – das ist leider so. Und die Konkurrenz freut sich.

Ausfallzeiten: Wenn der Dienst nicht zur Verfügung steht

Auch mit der besten Cloud-Security-Strategie: Ausfallzeiten kannst du nicht gänzlich vermeiden. Hierbei müssen die Hintergründe für die Erreichbarkeit nicht unbedingt weiter wild sein.

  • Es kann beispielsweise sein, dass der Cloud-Anbieter gerade ein wichtiges Update vornimmt – was leider die unangenehme Nebenwirkung des vorübergehenden Ausfalls nach sich zieht.
  • Es kann aber auch sein, dass eine Netzwerküberlastung dahintersteckt.
  • Menschliches Versagen kann ein weiterer Grund sein.
  • Oder ein DDoS-Angriff, der die Cloud-Lösung völlig lahmlegt.

Je nach Anbieter gibt es die Möglichkeit, einen (teureren) Extra-Service zu buchen, um die Ausfallzeiten möglichst gering zu halten. Völlig vermeiden kannst du aber die Ausfallzeiten nicht. Das hat der Cloud-Monitor 2020 nochmals gezeigt: Im Jahr 2019 waren circa zwei Drittel der befragten Unternehmen von solchen Ausfällen betroffen.

Allerdings gibt es auch hier eine gute Nachricht: Du kannst durch technische Redundanz dafür sorgen, dass deine IT-Infrastruktur stabiler wird. Was bedeutet technische Redundanz?

Cloud-Security durch technische Redundanz:
Mehrfach hält viel besser

Klar. Wenn du für deine Daten und Arbeitsprozesse auf Cloud-Computing setzt, bist du auf die Stabilität der entsprechenden Infrastruktur angewiesen.

Hier nur ein kleines einleuchtendes Beispiel: Wenn du alles auf einen Cloud-Anbieter setzt und dieser pleitegeht (wie beispielsweise transtec im Juli 2017), verschwindet damit auch der bereitgestellte Service – mit allem Drum und Dran. Was es bedeutet, willst du dir gar nicht ausmalen. Allerdings können wir dich beruhigen: Die Gefahr einer plötzlichen Insolvenz ist bei größeren Konzernen recht unwahrscheinlich.

Jedoch können auch vorübergehende Ausfälle folgenschwer sein. Deswegen solltest du aktiv vorsorgen und möglichst auf Multi-Cloud-Lösungen setzen. Der Vorteil? Abgesehen davon, dass du dir damit aus jeder Cloud die Rosinen herauspicken und dir deine Wunsch-Anwendungen zusammenstellen kannst: Mit einer Multi-Cloud-Architektur schaffst du technische Redundanz. Mit anderen Worten: Du bist fortan nicht mehr von der Erreichbarkeit eines einzigen Dienstes abhängig und kannst im Notfall flexibel handeln. Dadurch schränkst du die Ausfallzeiten und deren negative Auswirkungen deutlich ein. Mit einer Multicloud kannst du auch ausgefeilte Shared-Responsability-Modelle ausbauen, die das Monitoring und die Gewährleistung deiner stabilen IT-Infrastruktur beflügeln.

Lock-in-Effekt vermeiden

Abgesehen davon, dass du mit einer Multi-Cloud für technische Redundanz sorgst, vermeidest du damit zugleich den Lock-in-Effekt. Was ist der Lock-in-Effekt? Genau: Wenn du alles auf einen einzigen Anbieter setzt, wirst du schnell extrem abhängig von seinen Dienstleistungen. Und das ist auf Dauer nicht empfehlenswert.

Multi-Cloud setzt Interoperabilität voraus

Klar, verschiedene Cloud-Lösungen miteinander in einer Multi-Cloud zu vereinen, setzt voraus, dass die Dienste sich auch gut vertragen. Hier heißt das Stichwort Interoperabilität. Und was bedeutet Interoperabilität? Das bedeutet, dass die verschiedenen Lösungen miteinander kompatibel und parallel einsetzbar sind. Also solltest du bei der Gestaltung deiner Multi-Cloud unbedingt auf die Vernetzungsmöglichkeiten achten.

Globale Plattformen zur Cloud-Optimierung: Cloudflare

Zusätzlich zur Multi-Cloud-Lösung bestehen noch weitere Möglichkeiten, um die IT-Stabilität zu optimieren. Hierunter fallen globale Plattformen zur Cloud-Optimierung – wie beispielsweise Cloudflare.

Die weltweit genutzte Plattform kannst du dir als eine Art „Meta-Cloud“ vorstellen. Cloudflare ist nämlich an sich auch eine Cloud und besteht aus einem riesigen Netzwerk mit integrierten Servern, die auf der ganzen Welt verteilt sind. Die Nutzerinnen und Nutzer haben keinen Einblick in die Wolke, können aber den Service in Anspruch nehmen, um ihre eigene Cloud-Lösung abzusichern. Und was macht Cloudflare? Es garantiert sozusagen die Funktionalität von Clouds und sorgt für deren Zuverlässigkeit. Allerdings sind solche renommierten Plattformen auch nicht vor Ausfällen komplett gefeit. So funktionierten am 2. Juli 2019 weltweit mehrere Cloudflare-gestützte Internetseiten nicht. Der Grund: eine Fehlkonfiguration mit einem falsch definierten regulären Ausdruck im Cloudflare-Firewall-System. So wurde für circa 30 Minuten der hohe Sicherheitsschutz Cloudflare selbst zum Verhängnis… (Quelle: Golem)

Cloudflare: Content Delivery Network (CDN)

Wer kennt das nicht? Eine aufgerufene Webseite lädt… und lädt… und lädt… – bis der Verbindungsaufbau unterbrochen wird, weil der Server nicht rechtzeitig geantwortet hat. Solche Erlebnisse sind nicht nur für Internet-Nutzende frustrierend, sie können auch verheerende wirtschaftliche Folgen haben. Und genau solchen negativen Erlebnissen soll das Content Delivery Network von Cloudflare entgegenwirken: Mit dem Reverse Proxy Service kann das hocheffiziente, komplex aufgebaute Cloudflare-Netzwerk die eingehenden Anfragen dynamisch und flexibel auf die zur Verfügung stehenden Server verteilen. Dadurch verringern sich die Latenzzeiten, und somit die Ladezeiten der Cloudflare-gestützten Webseiten. Hierbei verfügt Cloudflare über eine der schnellsten DNS-Suchgeschwindigkeiten weltweit und gilt als Marktführer im CDN-Markt.

Cloudflare & IT-Security

Cloudflare dient nicht nur der Steigerung der IT-Stabilität, sondern bietet einen umfangreichen Schutz gegen Daten-Leaks und Hackerangriffe. Dabei benutzt der Anbieter eigene, hoch effiziente VPN-Techniken, die sowohl mit Linux, Windows, MacOS, iOS oder Android voll kompatibel sind. Darüber hinaus werden die Anfragen mit DoH (Domain Name Server over HTTPS) verschlüsselt übermittelt. Besonders attraktiv ist vor allem die Total-Verschlüsselung des Traffic zwischen Nutzenden und Cloudflare-Netzwerk: Damit soll IT-Sicherheit auch im öffentlichen WLAN gewährleistet sein.

Cloud-Security & Cybercrime: lauernde Gefahren

Cloud-Security hat etwas mit Datenschutz und Datensicherheit zu tun. Das ist nun geklärt. Es geht also im Grunde darum, über Cloud Computing eine extrem stabile IT-Infrastruktur zu schaffen, mit der du – ganz im Sinne der Cloud-Compliance-Anforderungen und DSGVO-konform – dein Unternehmen IT-technisch sehr gut aufstellen kannst. So weit, so gut. Aber: Nobody is perfect. Und wo Technologie im Spiel ist, werden auch immer Sicherheitslücken sein. Das ist einfach so. Und das betrifft genauso lokale IT-Infrastrukturen wie cloudbasierte Lösungen.

Wenn du eine öffentliche Cloud verwendest, bist du auf die IT-Sicherheitsmaßnahmen des betreffenden Anbieters angewiesen. Sind diese unzureichend, hilft auch der beste Virenschutz auf dem eigenen Rechner nichts. Daher entscheiden sich Behörden wie der BSI meistens für IaaS-Lösungen, in denen die Kontrolle über den Aufbau und die Abschirmung der eigenen IT-Infrastruktur nach außen hin in den Händen der Nutzer-Organisation liegt. Allerdings sind Sicherheitslücken im IT-Alltag gang und gäbe, und zwar weniger aufgrund von Nachlässigkeit, als wegen des rasanten technischen Fortschritts und der hiermit verbundenen wachsenden Herausforderungen. Doch welche Gefahren lauern eigentlich? Wir liefern dir ein paar Fakten.

Cloud-Insecurity:
Mögliches Einfallstor für Cyberkriminelle

Das Misstrauen gegenüber Cloud-Lösungen ist in den letzten Jahren stark gesunken. Und das ist auch gut so. Schließlich bieten Cloud-Lösungen in vielen Punkten einen größeren Schutz als andere mögliche Alternativen. Allerdings setzt das voraus, dass du in der Cloud-Auswahl wählerisch bleibst. Ansonsten geht der Schuss nämlich nach hinten los und du setzt deine eigene IT-Infrastruktur diversen Gefahren aus. Laut dem BSI-Lagebericht aus dem Jahr 2019 sind ungeschützte, öffentliche Cloud-Speicher häufig der Grund für Identitätsdiebstahl in den verschiedensten Ausprägungen. Ist nämlich eine Cloud-Architektur fehlkonfiguriert oder genügt sie nicht den heutzutage notwendigen Sicherheitsstandards (wie Verschlüsselung oder 2FA), werden Man-in-the-Middle-Attacks ein Leichtes. So können die über die Cloud übertragenen Daten mit wenig Aufwand abgefangen oder mitgeschnitten werden.

Cloud-Security zum Schutz vor Hackerangriffen?

Eigentlich soll die Cloud ja mehr Sicherheit bieten. Sollte der PC abstürzen und eine komplette Neuinstallation notwendig sein, bist du auf ein zuverlässiges Backup angewiesen. Und bevor du regelmäßig deine Daten und aktualisierten Systemeigenschaften (wie Patches und Ähnliches) manuell auf dem externen Speicher oder wo auch immer abspeichern musst, kann ein sog. Cloud-Backup Abhilfe schaffen. Solche Cloud-Backups werden beispielsweise von Backblaze oder Acronis angeboten.

Unser Tipp: Cloud-Backups sind zum Teil standardmäßig bei Antivirenprodukten mit dabei – wie beispielsweise bei den Norton 360-Produkten, die du im lizengo-Onlineshop kostengünstig kaufen kannst.

Cloud-Speicher vs. Cloud-Backup: Das macht den Unterschied

Im Unterschied zu einem Cloud-Speicher dient der Cloud-Backup weniger dem flexiblen Zugriff von überall auf die eigenen Daten, als vielmehr der Datenabsicherung – für alle Fälle. Dabei ist ein Cloud-Backup unidirektional, sprich: Es werden (meistens zeitgesteuert) Daten vom Rechner in die Cloud abgelegt. Der Rechner importiert aber keine Daten aus der Cloud – wie dies im Falle einer Cloud-Speicher-Lösung geschieht, die ja bidirektional ist. Und solltest du mal auf die per Backup virtuell abgesicherten Daten zugreifen müssen, erhältst du vom Anbieter einen USB-Stick oder Ähnliches, mit dem du deine Daten auf dem betreffenden Endgerät wiederherstellen kannst.

Aber auch hier musst du auf die Sicherheit der IT-Infrastruktur des gewählten Anbieters vertrauen. Und da das Cloud-Netzwerk solcher Anbieter immer aus physischen Servern besteht, können auch solche Lösungen Hackerangriffe erleiden.

Die lauernden Gefahren in der Cloud

Was kann einem denn schon passieren? Jede Menge! Und je nachdem, ob du die Cloud privat oder geschäftlich nutzt, drohen unterschiedliche Gefahren und ein mehr oder weniger hohes Schadenspotenzial. Dabei muss Cyberkriminalität nicht immer unbedingt mit einem Hackerangriff einhergehen. So sorgte im Jahre 2011 eine Fehlkonfiguration in der Dropbox-Cloud-Infrastruktur für einen unbeabsichtigten Tag der offenen Türen – nur, dass Dropbox hiermit nicht die eigene Haustür öffnete, sondern die Tür zahlreicher Dropbox-Accounts. So war es stundenlang möglich, sich mit einem beliebigen Passwort in jeden Account einzuloggen. Da wurde der Weg für den elektronischen Hausfriedensbruch geebnet. Aber auch Cyberangriffe auf die Infrastruktur des Cloud-Anbieters können jede Menge Schaden anrichten.

DDoS- & APT-Angriffe

Die Cloud lebt gerade davon, dass sie stets und von überall virtuell erreichbar sein soll. Doch was ist, wenn das komplette Netzwerk lahmgelegt wird? Dann ist der Dienst – und somit die dort abgespeicherten Daten – überhaupt nicht mehr erreichbar. Fällt ein Cloud-Dienst für mehrere Stunden (oder länger) aus, ist das System womöglich einem DDoS-Angriff zum Opfer gefallen. Daher greifen Cloud-Anbieter (wie beispielsweise Dropbox) oftmals auch zu Cloudflare, um sich gegen DDoS-Angriffe bestmöglich zu schützen.

Identitätsdiebstahl & Betrugsdelikte aus der Cloud

Immer mehr Unternehmen und Privatleute speichern sensible Informationen in der Cloud. Das ist für Hacking-Zwecke natürlich besonders verlockend. Denn: Gelingt es einer Person, ein Nutzungskonto – oder gleich mehrere – zu hacken, dann gelangt sie zu kriminell besonders ergiebigen personenbezogenen Daten. Von da an kann sie sich in diversen Betrugsdelikten selbst austoben, oder die gestohlenen Daten für teures Geld im Darknet Gleichgesinnten anbieten. Das kann – je nach Art der gestohlenen Daten – schwere Folgen nach sich ziehen. Ganz abgesehen von den Datenschutzrechtlichen Aspekten, die dem Betroffenen noch ins Haus fallen: Sind beispielsweise personenbezogene Daten von Kundinnen bzw. Kunden oder sensible Daten von Studierenden betroffen, dürfte der Ärger doppelt so hoch werden.

Erpressungsdelikte aus der Cloud

Wer Zugang zu fremden Nutzungskonten erhält, kann dort die entsprechenden Einstellungen beliebig ändern. Ist die betroffene Cloud nicht mit 2-Faktor-Authentifizierung oder Ähnlichem geschützt, können Hackende im Handumdrehen das Passwort ändern, das Konto sperren oder gänzlich löschen lassen. Haben sie die Oberhand über das Konto gewonnen, sitzen sie am längeren Hebel und können die betroffenen Nutzenden nach Lust und Laune erpressen. So kann für die Entsperrung des Nutzungskontos die Zahlung eines hohen Geldbetrags verlangt werden, oder gar mit der kompletten Löschung bei Nicht-Zahlung gedroht werden.

Gelingt es Hackenden Ransomware in die Cloud einzuschleusen, droht auch hier Datenverlust, da selbst die Zahlung des „Lösegeldes“ keine Garantie für die Entschlüsselung bzw. die Wiederherstellung der zerstörten bzw. verschlüsselten Daten sein dürfte.

„Schatten-IT“: Gefahren aus der Cloud

Der Mensch stellt weiterhin einen nicht zu vernachlässigenden Risiko-Faktor dar. In dem Zusammenhang ist häufig von der sogenannten Schatten-IT die Rede. Verwenden nämlich einzelne Mitarbeiterinnen bzw. Mitarbeiter deines Unternehmens – „unbemerkt“ und entgegen der Cloud-Compliance-Regeln – öffentliche Cloud-Angebote, können dadurch ungewollte Sicherheitslücken in der lokalen IT-Infrastruktur entstehen. In der Folge kann es auch zur Übertragung von unverschlüsselten personenbezogenen Daten kommen, was wiederum hohe Geldstrafen nach sich ziehen kann.

Cloud-Sicherheit

Teilweise nehmen Unternehmen Cloud Services in Anspruch, ohne hierfür zuvor Sicherheitskonzepte zu entwickeln. Das heißt, dass sich viele Unternehmen gar keine Gedanken über notwendige Sicherheitsstandards machen, wenn sie sich für einen Cloud-Anbieter entscheiden. Allerdings gibt es durchaus Sicherheitsstandards, nach denen du dich richten kannst. Hierbei empfehlen dir, einen Blick in den 2019 vollkommen überarbeiteten und im Januar 2020 veröffentlichten Kriterien-Katalog C5 des BSI. Darin kannst du nachlesen, welche Mindestanforderungen du in Sachen Cloud Computing unbedingt einhalten solltest.

Unser Tipp: Wenn die Kapazitäten für die Erstellung solcher Security-Konzepte intern nicht vorliegen, kannst du auf externe, spezialisierte Dienstleistungsunternehmen zurückgreifen. Mit den immer komplexer aufgebauten Multi-Cloud-Lösungen und der hierin integrierten Micro-Services werden die potenziellen Angriffsflächen immer größer. Daher ist das Tätigkeitsfeld der Security Service-Lösungen in den letzten Jahren stark angewachsen und dürfte zukünftig noch weiterwachsen.

Clouds meistens sicherer als lokale Lösungen

Ist der Cloud-Anbieter in Sachen IT-Sicherheit auf dem neuesten Stand, bietet die Cloud mehr Sicherheit als andere lokale Lösungen. Schließlich sind ja IT-Fachleute für die Aufrechterhaltung der Security-Maßstäbe der Cloud zuständig. So kannst du mit deinem Unternehmen durchatmen und dich gänzlich deinen „eigentlichen“ Aufgaben widmen. Allerdings gibt es im digitalen Zeitalter keine 100-prozentige Sicherheit. Hierbei sind öffentliche Clouds deutlich anfälliger für etwaige Cyber-Angriffe als private Clouds, da letztere einen stark eingeschränkten Nutzungskreis haben.

Cloud-Security: Was jede Cloud unbedingt haben sollte

Wirksame Verschlüsselungsmechanismen

Erfolgt die Übertragung der Daten zwischen Client und Cloud unverschlüsselt, bekommen Hackerangriffe ein sehr einfaches Einfallstor. Doch auch eine Verschlüsselung ist keine Garantie für einen „makellosen“ Cloud-Anbieter. Denn was nützt die beste Verschlüsselung, wenn der Administrator der Cloud den Schlüssel hat und selbst zum „Datendieb“ werden kann? Nur eine sogenannte Private-Key-Verschlüsselung (in der das Sicherheitszertifikat auf dem Rechner der Endnutzerin bzw. des Endnutzers installiert ist) hindert den Cloud-Administrator daran, auf die so verschlüsselten Nutzungsdaten zuzugreifen. Denn die jeweiligen Schlüssel befinden sich ausschließlich auf dem Rechner der Endnutzenden.

Sollte der Cloud-Anbieter eine solche Private-Key-Verschlüsselung nicht anbieten, hat der User die Möglichkeit, die Verschlüsselung selbst in die Hand zu nehmen – beispielsweise mit BoxCryptor oder Ähnlichem. Wenn es sich hierbei um sensible Daten handelt, dürften die hierfür aufzubringenden Kosten in der Kosten-Nutzen-Abwägung sicherlich kaum ins Gewicht fallen.

2-Faktor-Authentifizierung

Um das eigene Cloud-Konto gegen unerwünschten Besuch zu schützen, empfiehlt sich eine sogenannte 2-Faktor-Authentifizierung (2FA). Je nach Anbieter ist diese standardmäßig vorhanden; häufig muss diese separat aktiviert werden. Hierbei geht es darum, dass die Anmeldung in zwei Schritten erfolgt. Gerade bei ungewohnten Zugriffen auf dein Nutzungskonto (beispielsweise wenn der Zugriff vom Ausland aus erfolgt) wirst du von einigen Cloud-Anbietern über E-Mail informiert und gebeten, den Zugriff zu bestätigen bzw. zu verweigern. Wenn du den Zugriff verweigerst, führt das automatisch zur Sperrung des betreffenden Kontos.

Unser Tipp: Wenn du ein Microsoft 365-Produkt kaufst, erhältst du automatisch 1 TB Speicher in OneDrive. Und dort hast du auch einen besonders geschützten Personal Vault-Bereich, der gerade für die Speicherung sensibler Daten gedacht ist und nur mit 2FA zu entsperren ist. Möchtest du auf die Vault zugreifen, musst du einen Code eingeben, der dir zuvor per SMS bzw. E-Mail geschickt wurde – oder du musst der Entsperrung per App auf dem Smartphone zustimmen. Außerdem wird die Personal Vault bei Inaktivität nach 20 Minuten sicherheitshalber gesperrt. Somit gestaltet sich ein unbefugter Zugriff deutlich schwieriger – oder?

Cloud-Sicherheitskonzept optimieren
mit Software von lizengo

Im lizengo-Shop findest du zahlreiche Software-Produkte, die dir dabei helfen, ein stabiles Cloud-Sicherheitskonzept auf die Beine zu stellen. Wie schon gesagt: Die meisten Virenschutz-Programme (bspw. Norton 360-Produkte) bieten weitaus mehr als nur einen optimalen Schutz gegen Computerviren oder Hackerangriffe – samt VPN-Verbindung und Passwortsicherheit durch Passwort-Manager. Mit solcher Software erwirbst du obendrein einen zuverlässigen und sicheren Backup-Cloud-Speicher, auf dem du deine sensiblen Daten sicher aufbewahren kannst.

Unser Online-Shop hält aber noch viel mehr für dich bereit:

  • Die Microsoft 365-Produkte sind allesamt cloudbasiert und bieten dir zahlreiche nützliche Tools und Funktionen als Dienstleistungen (SaaS).
  • Große Unternehmen finden mit dem Sharepoint Server 2019 von Microsoft eine ausgefeilte Software-Lösung, die in Punkto Datenschutz einiges zu bieten hat.
  • Die SQL-Server von Microsoft kannst du – wie gehabt – in die Azure-Cloud integrieren.
  • Mit den VMware-Produkten kannst du durch professionelle Virtualisierung deine IT-Infrastruktur auf Hochtouren bringen.
  • Du bist eher mit Software-Entwicklung zugange? Dann ist Microsoft Visual Studio genau das Richtige für dich!

Du bist dir unsicher, welches Produkt am besten zu dir passt? Keine Sorge! Unser Customer Service steht dir mit Rat und Tat zur Seite.

Hast du schon Erfahrungen in Sachen Cloud-Security sammeln können? Wie gut kommst du mit der Umsetzung der Datenschutz- und Datensicherheitsrichtlinien zurecht? Wir sind sehr gespannt auf dein Feedback!

(Visited 41 times, 1 visits today)
Last modified: 21. August 2020