10 min Zuletzt auktualisiert: 13.04.2023

Wie steht es um die IT-Sicherheit in der Cloud?

Die Verlagerung der Infrastruktur und des Workflows in die Cloud wurde durch die Coronapandemie noch einmal erheblich beschleunigt. Ohne ortsunabhängiges Arbeiten, flexible IT-Strukturen oder digitale Kollaborationsmöglichkeiten wäre kaum eine Organisation noch überlebensfähig gewesen. Weltweit haben 90 Prozent der großen Unternehmen in den letzten Jahren das Arbeiten in der Cloud intensiviert.

Was ist Cloud-Computing

Cloud Computing steht für die internetbasierte Bereitstellung von Speicherplatz, Rechenleistung oder Software.

Unternehmen sind dadurch nicht mehr auf kostspielige Lizenzen angewiesen, können die Installation und Wartung der Systeme ebenfalls outsourcen und von unterschiedlichen Orten und von mehreren Personen auf die gleichen Daten zurückgreifen.

Cloud Services lassen sich dabei in vier unterschiedliche Ebenen aufteilen. Sie unterscheiden sich vor allem anhand der Zuständigkeiten, die an den Cloud Provider übertragen werden. Mehr zu Cloud Computing Diensten, dem Einsatz von Public Clouds im Unternehmen und ihren Vorteilen lesen Sie hier.

IT-Sicherheit im Cloud-Zeitalter

Je nach ausgewähltem Cloud Service liegen bestimmte Datensätze nicht mehr auf den Endgeräten des Unternehmens, sondern in einer zentralen Rechen Infrastruktur. Dabei kann es sich sowohl um personenbezogene Daten von unbeteiligten Dritten als auch Betriebs- oder Geschäftsgeheimnisse handeln. Es müssen demnach sowohl die Regelungen der Datenschutz-Grundverordnung (DSGVO) als auch des Betriebs- oder Geschäftsgeheimnisschutzes eingehalten werden.

Um dennoch personenbezogene Daten ohne rechtliche Konsequenzen in der Cloud speichern und verarbeiten zu können, sollten jene anonymisiert oder pseudonymisiert werden. Wenn bereits zur Verarbeitung der personenbezogenen Daten gemäß Artikel 6 DSGVO eine Rechtsgrundlage besteht, ist es dem Unternehmen auch gestattet, die Daten im Originalzustand in der Cloud zu speichern. In diesem Fall ist das Unternehmen als AuftraggeberIn jedoch dazu verpflichtet, die Kontrolle über die Verarbeitungstätigkeit zu behalten.

Hierfür schließt der „Controller“ (auftraggebendes Unternehmen) mit dem „Processor“ (Cloud Service) einen Vertrag zur Auftragsvereinbarung ab. Rechtlich gesehen, ist das Unternehmen jedoch auch nach Abschluss des Vertrages dazu verpflichtet, die Verarbeitungstätigkeiten des Cloud Anbieters zu kontrollieren. Weil dies aber selbst für Fachleute aufgrund der Komplexität einen Akt der Unmöglichkeit darstellt, gibt es die Zertifizierung von Cloud Diensten. Hierfür werden unabhängige Fachleute beauftragt, den Cloud Provider zu beurteilen. Auch das Bundesministerium für Wirtschaft und Energie bietet mit dem Verein Kompetenznetzwerk Trusted Cloud e.V. Orientierungshilfen für die Cloud Nutzung an.

Cloud Dienste und IT-Sicherheit

Wie sicher sind Daten in der Cloud?

Bei der Prüfung des Cloud Anbieters muss darauf geachtet werden, dass die Dienste datenschutzkonform ablaufen. Seit dem Schrems II Urteil und dem Ende des US Privacy Shield-Abkommens hat sich die Auswahl potenzieller AnbieterInnen jedoch verringert. Personenbezogene Daten von EU-BürgerInnen dürfen nur noch dann in Drittländer übermittelt werden, wenn sie dort einen gleichwertigen Schutz genießen. Aufgrund des Patriot Acts, der US-Firmen im Verdachtsfall dazu verpflichtet, amerikanischen Behörden Zugriff auf ihre Daten zu gewähren, gelten US-amerikanische Cloud Provider nicht mehr als datenschutzkonform. Für den Fall, dass Sie als Unternehmen Service-Anbieter nutzen, die ihre Rechenzentren im europäischen Ausland betreiben, sollten Sie in jedem Fall EU-Standardschutzklauseln vereinbaren.

Alternativ wächst jedoch auch der europäische Markt an Cloud Services. Aus Deutschland bieten beispielsweise Your Secure Cloud, luckyCloud oder LeitzCloud datenschutzkonforme Dienste an.

Wie sicher Daten in der Cloud sind, hängt in erster Linie von der Verschlüsselung und dem Passwortschutz ab. Viele AnbieterInnen stellen mittlerweile eine Zwei-Faktor-Authentisierung bereit, sodass zusätzlich zum Passwort ein TAN oder ein USB-Stick benötigt wird.

Ob Daten in der Cloud sicher sind, hängt deshalb nicht nur von dem/der AnbieterIn, sondern auch von den MitarbeiterInnen des Unternehmens ab. Neben der Erstellung eines starken Passworts sollten Sie auch darauf achten, sich nicht aus öffentlichen Netzen einzuloggen und die Cloud des Unternehmens nicht für private Zwecke zu nutzen.

Überlegen Sie deshalb, ob Ihre MitarbeiterInnen mithilfe ihres Smartphones Zugriff auf die Unternehmens Cloud haben sollten. Neben der Flexibilität und Ortsungebundenheit birgt dies auch Risiken. Schadprogramme können sich schnell und unbemerkt beispielsweise durch die Installation einer Anwendung auf einem Smartphone installieren und auch an Daten in der Cloud gelangen. Zudem kann auch der Verlust oder Diebstahl eines mobilen Endgeräts dazu führen, dass interne Daten in falschen Hände geraten.

FAKT: 97 Prozent aller Google-Workspace-NutzerInnen haben mindestens einer Anwendung eines/einer DrittanbieterIn Zugriff auf ihr geschäftliches Google-Konto gegeben.

Neben der Prüfung des/der Cloud AnbieterIn sollte deshalb auch die Belegschaft für den Umgang mit der Cloud sensibilisiert werden. Hierfür haben wir von lawpilots eine eigene Online-Schulung konzipiert, die sowohl Ihre MitarbeiterInnen als auch das Management darüber aufklärt, wie sie die Cloud gefahrlos nutzen können. Zusätzlich bieten wir viele weitere Online-Schulungen zum Thema Datenschutz an, die mit visuell aufbereiteten Einheiten den sicheren Umgang mit Daten im Unternehmen fördern.

IT-Sicherheit: Cloud Grundschutz

Worauf ein Unternehmen bei der Cloud Nutzung achten sollte:

  1. Wurde der/die Cloud AnbieterIn geprüft und entspricht den Ansprüchen des Unternehmens bzw. den zu verarbeiteten Daten?
  2. In welchem Land befinden sich die Rechenzentren des/der AnbieterIn?
  3. Erfolgt die Übertragung der Daten über eine verschlüsselte Verbindung?
  4. Verwenden alle MitarbeiterInnen sichere Passwörter?
  5. Mit welchen Geräten dürfen MitarbeiterInnen die Cloud nutzen?

Checkliste für eine sichere Transformation

  1. Multi-Cloud-Strategie: Um die Komplexität Ihrer IT-Struktur in Cloud Lösungen übersetzen zu können, vollziehen Sie den Wandel schrittweise und nutzen Sie evtl. unterschiedlicher Cloud Anbieter.
  2. Prozessanalyse: Wichtige Schnittstellen zwischen den IT-Diensten sowie Abhängigkeiten und Wechselwirkungen müssen vor der Transformation bekannt sein und berücksichtigt werden.
  3. Zielsetzung: Die Anforderungen an die Cloud Lösungen müssen der Unternehmensstrategie entsprechen.
  4. Skill Gap: Die Umstellung auf die Cloud setzt auch neue Anforderungen an Ihre MitarbeiterInnen. Analysieren Sie die Qualifikationsdefizite und bauen Sie neue Kompetenzen auf.
  5. Datenschutz: Seien Sie sich Ihrer Verantwortung bewusst und schulen Sie Ihre MitarbeiterInnen im sicheren Umgang mit Daten. Prüfen Sie auch vor der Auswahl des/der Cloud AnbieterIn die Zertifikate, den Serverstandort und die Verschlüsselungsoptionen.
Schatten-IT

Was ist eine Schatten IT?

Durchschnittliche Unternehmen mit 500 – 2.000 MitarbeiterInnen nutzen heutzutage etwa 805 verschiedene Apps und Cloud Dienste. 97 Prozent dieser Anwendungen gehören zur sogenannten „Schatten-IT“.

Zur Schatten-IT zählen alle Installationen, die außerhalb der Sichtbarkeit und Verwaltung der IT-Abteilung stattfinden. Das Gegenteil stellt die On-Premises-Installation dar: hierbei werden Administratorenrechte, Passwörter und IT-Support benötigt.

Cloud Services bieten häufig Softwarelösungen an, die ein:e einzelne:r MitarbeiterIn oder eine Abteilung ohne Rücksprache mit der IT-Abteilung installieren kann. Dadurch verlieren Unternehmen schnell den Überblick und es kommt zu doppelten SaaS-Käufen, zu nicht genutzten oder nicht ausgelasteten Lizenzen und einer starken Zunahme an Gebühren.

Quellen:

  • BMWI (2021). Cloud Computing.
  • Brechlin, F. (2021). Strukturierte Cloud Transformation in Unternehmen – Veränderungen durch Covid-19? IN HMD Praxis und Wirtschaftsinformatik 58, S. 739-753
  • BSI (2021). Cloud: Risiken und Sicherheitstipps.
  • Ehrlich, T., et. al (2021). Cloud Security. In Digitale Welt 1, S. 56 -63
  • Jäger, H. A., Rieken, R.O.G. (2020). Manipulationssichere Cloud-Infrastrukturen. Wiesbaden: Springer Verlag

Inhaltsangaben

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497