Cloud und IT-Sicherheit
17. November 2021

Wie steht es um die IT-Sicherheit in der Cloud?

Die Verlagerung der Infrastruktur und des Workflows in die Cloud wurde durch die Coronapandemie noch einmal erheblich beschleunigt. Ohne ortsunabhängiges Arbeiten, flexible IT-Strukturen oder digitale Kollaborationsmöglichkeiten wäre kaum eine Organisation noch überlebensfähig gewesen. Weltweit haben 90 Prozent der großen Unternehmen in den letzten Jahren das Arbeiten in der Cloud intensiviert.

Was ist CloudComputing?

Cloud Computing steht für die internetbasierte Bereitstellung von Speicherplatz, Rechenleistung oder Software.

Unternehmen sind dadurch nicht mehr auf kostspielige Lizenzen angewiesen, können die Installation und Wartung der Systeme ebenfalls outsourcen und von unterschiedlichen Orten und von mehreren Personen auf die gleichen Daten zurückgreifen. 

Cloud Services lassen sich dabei in vier unterschiedliche Ebenen aufteilen. Sie unterscheiden sich vor allem anhand der Zuständigkeiten, die an den Cloud Provider übertragen werden. Mehr zu Cloud Computing Diensten, dem Einsatz von Public Clouds im Unternehmen und ihren Vorteilen lesen Sie hier.

IT-Sicherheit im Cloud Zeitalter

Je nach ausgewähltem Cloud Service liegen bestimmte Datensätze nicht mehr auf den Endgeräten des Unternehmens, sondern in einer zentralen Rechen Infrastruktur. Dabei kann es sich sowohl um personenbezogene Daten von unbeteiligten Dritten als auch Betriebs- oder Geschäftsgeheimnisse handeln. Es müssen demnach sowohl die Regelungen der Datenschutz-Grundverordnung (DSGVO) als auch des Betriebs- oder Geschäftsgeheimnisschutzes eingehalten werden. 

Um dennoch personenbezogene Daten ohne rechtliche Konsequenzen in der Cloud speichern und verarbeiten zu können, sollten jene anonymisiert oder pseudonymisiert werden. Wenn bereits zur Verarbeitung der personenbezogenen Daten gemäß Artikel 6 DSGVO eine Rechtsgrundlage besteht, ist es dem Unternehmen auch gestattet, die Daten im Originalzustand in der Cloud zu speichern. In diesem Fall ist das Unternehmen als Auftraggeber:in jedoch dazu verpflichtet, die Kontrolle über die Verarbeitungstätigkeit zu behalten.

Hierfür schließt der „Controller“ (auftraggebendes Unternehmen) mit dem „Processor“ (Cloud Service) einen Vertrag zur Auftragsvereinbarung ab. Rechtlich gesehen, ist das Unternehmen jedoch auch nach Abschluss des Vertrages dazu verpflichtet, die Verarbeitungstätigkeiten des Cloud Anbieters zu kontrollieren. Weil dies aber selbst für Fachleute aufgrund der Komplexität einen Akt der Unmöglichkeit darstellt, gibt es die Zertifizierung von Cloud Diensten. Hierfür werden unabhängige Fachleute  beauftragt, den Cloud Provider zu beurteilen. Auch das Bundesministerium für Wirtschaft und Energie bietet mit dem Verein „Kompetenznetzwerk Trusted Cloud e.V.“ Orientierungshilfen für die Cloud Nutzung an.

Cloud Dienste und IT-Sicherheit

Wie sicher sind Daten in der Cloud?

Bei der Prüfung des Cloud Anbieters muss darauf geachtet werden, dass die Dienste datenschutzkonform ablaufen. Seit dem Schrems II Urteil und dem Ende des US Privacy Shield-Abkommens hat sich die Auswahl potenzieller Anbieter:innen jedoch verringert. Personenbezogene Daten von EU-Bürger:innen dürfen nur noch dann in Drittländer übermittelt werden, wenn sie dort einen gleichwertigen Schutz genießen. Aufgrund des Patriot Acts, der US-Firmen im Verdachtsfall dazu verpflichtet, amerikanischen Behörden Zugriff auf ihre Daten zu gewähren, gelten US-amerikanische Cloud Provider nicht mehr als datenschutzkonform. Für den Fall, dass Sie als Unternehmen Service-Anbieter nutzen, die ihre Rechenzentren im europäischen Ausland betreiben, sollten Sie in jedem Fall EU-Standardschutzklauseln vereinbaren.

Alternativ wächst jedoch auch der europäische Markt an Cloud Services. Aus Deutschland bieten beispielsweise Your Secure Cloud, luckyCloud oder LeitzCloud datenschutzkonforme Dienste an.

Wie sicher Daten in der Cloud sind, hängt in erster Linie von der Verschlüsselung und dem Passwortschutz ab. Viele Anbieter:innen stellen mittlerweile eine Zwei-Faktor-Authentisierung bereit, sodass zusätzlich zum Passwort ein TAN oder ein USB-Stick benötigt wird. 

Ob Daten in der Cloud sicher sind, hängt deshalb nicht nur von dem/der Anbieter:in, sondern auch von den Mitarbeiter:innen des Unternehmens ab. Neben der richtigen Passwortwahl sollten Sie auch darauf achten, sich nicht aus öffentlichen Netzen einzuloggen und die Cloud des Unternehmens nicht für private Zwecke zu nutzen.

Überlegen Sie deshalb, ob Ihre Mitarbeiter:innen mithilfe ihres Smartphones Zugriff auf die Unternehmens Cloud haben sollten. Neben der Flexibilität und Ortsungebundenheit birgt dies auch Risiken. Schadprogramme können sich schnell und unbemerkt beispielsweise durch die Installation einer Anwendung auf einem Smartphone installieren und auch an  Daten in der Cloud gelangen. Zudem kann auch der Verlust oder Diebstahl eines mobilen Endgeräts dazu führen, dass interne Daten in falschen Hände geraten.

FAKT: 97 Prozent aller Google-Workspace-Nutzer:innen haben mindestens einer Anwendung eines/einer Drittanbieter:in Zugriff auf ihr geschäftliches Google-Konto gegeben.

Neben der Prüfung des/der Cloud Anbieter:in sollte deshalb auch die Belegschaft für den Umgang mit der Cloud sensibilisiert werden. Hierfür haben wir von lawpilots eine eigene Online-Schulung konzipiert, die sowohl Ihre Mitarbeiter:innen als auch das Management darüber aufklärt, wie sie die Cloud gefahrlos nutzen können. Zusätzlich bieten wir viele weitere Online-Schulungen zum Thema Datenschutz an, die mit visuell aufbereiteten Einheiten den sicheren Umgang mit Daten im Unternehmen fördern.

IT-Sicherheit Cloud Grundschutz

Worauf ein Unternehmen bei der Cloud Nutzung achten sollte:

  1. Wurde der/die Cloud Anbieter:in geprüft und entspricht den Ansprüchen des Unternehmens bzw. den zu verarbeiteten Daten?
  2. In welchem Land befinden sich die Rechenzentren des/der Anbieter:in?
  3. Erfolgt die Übertragung der Daten über eine verschlüsselte Verbindung?
  4. Verwenden alle Mitarbeiter:innen sichere Passwörter
  5. Mit welchen Geräten dürfen Mitarbeiter:innen die Cloud nutzen?
  •  

Checkliste für eine sichere Cloud Transformation

  1. Multi-Cloud-Strategie: Um die Komplexität Ihrer IT-Struktur in Cloud Lösungen übersetzen zu können, vollziehen Sie den Wandel schrittweise und nutzen Sie evtl. unterschiedlicher Cloud Anbieter.
  2. Prozessanalyse: Wichtige Schnittstellen zwischen den IT-Diensten sowie Abhängigkeiten und Wechselwirkungen müssen vor der Transformation bekannt sein und berücksichtigt werden.
  3. Zielsetzung: Die Anforderungen an die Cloud Lösungen müssen der Unternehmensstrategie entsprechen.
  4. Skill Gap: Die Umstellung auf die Cloud setzt auch neue Anforderungen an Ihre Mitarbeiter:innen. Analysieren Sie die Qualifikationsdefizite und bauen Sie neue Kompetenzen auf.
  5. Datenschutz: Seien Sie sich Ihrer Verantwortung bewusst und schulen Sie Ihre Mitarbeiter:innen im sicheren Umgang mit Daten. Prüfen Sie auch vor der Auswahl des/der Cloud Anbieter:in die Zertifikate, den Serverstandort und die Verschlüsselungsoptionen.
Schatten-IT

Was ist eine Schatten IT?

Durchschnittliche Unternehmen mit 500 – 2.000 Mitarbeiter:innen nutzen heutzutage etwa 805 verschiedene Apps und Cloud Dienste. 97 Prozent dieser Anwendungen gehören zur sogenannten „Schatten-IT“.

Zur Schatten-IT zählen alle Installationen, die außerhalb der Sichtbarkeit und Verwaltung der IT-Abteilung stattfinden. Das Gegenteil stellt die On-Premises-Installation dar: hierbei werden Administratorenrechte, Passwörter und IT-Support benötigt.

Cloud Services bieten häufig Softwarelösungen an, die ein:e einzelne:r Mitarbeiter:in oder eine Abteilung ohne Rücksprache mit der IT-Abteilung installieren kann. Dadurch verlieren Unternehmen schnell den Überblick und es kommt zu doppelten SaaS-Käufen, zu nicht genutzten oder nicht ausgelasteten Lizenzen und einer starken Zunahme an Gebühren.


Quellen

BMWI (2021). Cloud Computing. https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Themen/Cloud-Computing/Cloud-computing.html

Brechlin, F. (2021). Strukturierte Cloud Transformation in Unternehmen – Veränderungen durch Covid-19? IN HMD Praxis und Wirtschaftsinformatik 58, S. 739-753

BSI (2021). Cloud: Risiken und Sicherheitstipps. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cloud-Computing-Sicherheitstipps/Cloud-Risiken-und-Sicherheitstipps/Cloud-risiken-und-sicherheitstipps_node.html

Ehrlich, T., et. al (2021). Cloud Security. In Digitale Welt 1, S. 56 -63

Jäger, H. A., Rieken, R.O.G. (2020). Manipulationssichere Cloud-Infrastrukturen. Wiesbaden: Springer Verlag

17. November 2021
Tracking und Webanalyse - zwei Paar Schuhe
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,66 von 5 Sternen 1365 Bewertungen auf ProvenExpert.com