Datensicherheit beim Cloud Computing, Episode 1
29. April 202120. Juni 2022
2
In Compliance, Fakten

Datensicherheit beim Cloud Computing, Episode 1

Cloud-Dienste ermöglichen seit Jahren, Software und Hardware flexibel zu nutzen, wobei Diskussion im Hinblick auf die Sicherheit der Daten beim Cloud Computing besteht. Der Vorteil beim Cloud Computing liegt primär in der schnellen Verfügbarkeit der Dienste und der Erleichterung von Arbeitsprozessen im Unternehmen. Aufgrund der öffentlichen Erreichbarkeit sind Cloud Computing Services allerdings unterschiedlichen Gefahren und Angriffen ausgesetzt. Hinzu kommt, dass die Infrastruktur der Cloud zudem meist von Dritten betrieben wird. Daher hält es sich tatsächlich die Waage zwischen Unternehmen und Behörden, welche bereits ihre Daten in der Cloud lagern und solchen, welche immer noch Bedenken äußern.

Dieser Blogbeitrag ist in zwei Teile aufgesplittet, welche sich der Datensicherheit beim Cloud-Computing widmen.

Unter dem Begriff „Cloud“ oder „Cloud Computing“ wird die internetbasierte Bereitstellung von Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung verstanden. Somit können also Daten von einem Gerät über das Internet auf den Server eines Cloud-Anbieters hochgeladen werden. Zu einem späteren Zeitpunkt ist es dann möglich, die Dateien mit demselben oder einem anderen Gerät wieder abzurufen. Der Vorteil ist hierbei, dass die Dateien von verschiedenen Orten aus bearbeitet und auch mit Dritten geteilt werden können. Zusätzlich wird durch die Auslagerung der Daten in die Cloud, namhafter Speicherplatz auf den eigenen Geräten eingespart. Hierbei wird deutlich, dass Cloud Computing sowohl auf einem hohen Maß an Standardisierung der Hard- und Software als auch der darauf aufbauenden Dienstleistungen basiert. Oftmals sind den Kunden bzw. Nutzern Details hierzu nicht bekannt, womit wiederum ein hohes Vertrauen in den jeweiligen Cloud-Anbieter einhergeht.

Mit der Datensicherheit werden alle technischen Faktoren beschrieben, welche dem Schutz von Daten dienen. Im Gegensatz zum Datenschutz schließt die Datensicherheit Daten jeglicher Art und unabhängig von einem Personenbezug ein. Auf nachfolgende Ziele setzt die Datensicherheit:

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit.

Da im Rahmen der Digitalisierung die Nutzung von Cloud Computing in den letzten Jahren stetig zugenommen hat, muss auch im Hinblick auf die Cyber-Sicherheit ein nachweislich allgemeines Sicherheitsniveau für Cloud-Dienste geschaffen werden. Da die Cloud Services gewisse Risiken bergen, auf welche wir in der zweiten Episode des Beitrages eingehen werden, hat sich die Cloud Security Alliance (CSA) der Bekämpfung der Sicherheitsrisiken bei Cloud Services angenommen. Bei der CSA handelt es sich um eine gemeinnützige Organisation, welche das Ziel verfolgt, Sicherheitslücken in Cloud-Umgebungen zu identifizieren. Durch die Veröffentlichung der sieben größten Sicherheitsrisiken, möchte die CSA insbesondere ein Bewusstsein für sicheres Cloud Computing schaffen. Nachfolgend sind diese Sicherheitsrisiken aufgelistet:

  • Registrierung zu einfach
  • Schnittstellen unsicher
  • kriminelle Mitarbeiter
  • unsichere Infrastruktur
  • Mängel bei der Verschlüsselung
  • Diebstahl von Zugangsdaten
  • intransparente Sicherheitslage

Sowohl die Infrastruktur als auch die Dienste des Cloud-Anbieters müssen also gegen etliche Bedrohungen geschützt werden. Diese reichen vom Daten- bzw. Informationsverlust über den Ausfall der Internet- oder Netzverbindung bis hin zu Fehlern in der Cloud-Administration. Laut Aussage der CSA kommen die grundsätzlichen Eigenschaften der Infrastruktur einer Cloud, beispielsweise einfache und schnelle Verfügbarkeit von Ressourcen, den Angreifern entgegen, um unter anderem Schadsoftware zu hosten oder sog. Denial-of-Service-Attacken auszulösen.

Neben der CSA hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Ziel, die Anwender aufzuklären und einen erhöhten Schutz beim Cloud Computing zu bewirken. Hierfür hat das BSI einen Anforderungskatalog erstellt, welcher es Nutzern erleichtern soll, eine solche Risikoanalyse durchzuführen. Primär spezifiziert der Anforderungskatalog Mindestanforderungen an sicheres Cloud Computing. Im Anforderungskatalog weist das BSI unter anderem auf den Unternehmensstandort des Providers hin. Ein besonderes Augenmerk sollte auf die Standortauswahl beim Provider gerichtet werden, da der Großteil hiervon seinen Hauptsitz in den USA hat, sodass auch die dortigen Gesetze einschlägige Anwendung finden.

Sowohl die Infrastruktur als auch die Dienste des Cloud-Anbieters müssen gegen etliche Bedrohungen geschützt werden. Die reichen vom Datenverlust bzw. Informationsverlust über den Ausfall der Internet- oder Netzverbindung bis hin zu Fehlern in der Cloud-Administration.

CSA und BSI eint mithin das Ziel, das Sicherheitsniveau der Cloud-Dienste zu erhöhen. In diesem Kontext ist es von wesentlicher Bedeutung, dass sich ein Standard im Sachen Cloud Computing entwickelt, der für das Service- und Liefermodell von IT-Dienstleistungen gilt.

Essenz

  • „Cloud Computing“ beinhaltet die internetbasierte Bereitstellung von Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung
  • primärer Vorteil liegt in der schnellen Verfügbarkeit der Dienste und der Erleichterung von Arbeitsprozessen im Unternehmen
  • Cloud Computing Services sind unterschiedlichen Gefahren und Angriffen ausgesetzt
  • im Hinblick auf die Cyber-Sicherheit muss ein nachweisliches Sicherheitsniveau für Cloud-Dienste geschaffen werden, was sich CSA und BSI zur Aufgabe gemacht haben
  • Bedrohungen für die Infrastruktur und Dienste des Cloud-Anbieters liegen im Daten- bzw. Informationsverlust, Ausfall der Internet- oder Netzverbindung und Fehlern in der Cloud-Administration

Lesen Sie gern am 06. Mai die Fortsetzung unseres Blogbeitrages „Datensicherheit beim Cloud Computing“, in welchem wir uns ausführlich mit den Sicherheitsrisiken vom Cloud-Computing beschäftigen werden.