Jede Diskussion \u00fcber die Cloud muss \u00f6ffentliche und private Clouds sowie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) miteinbeziehen. Und jeder dieser Cloud-Typen bringt seine eigenen Wirtschaftlichkeitsfaktoren und Risiken mit sich.<\/p>\n
Trotz der Allgegenw\u00e4rtigkeit solcher Dienste werden Bedenken hinsichtlich der Datensicherheit in der Cloud zunehmend laut. Ein gewisses Gef\u00fchl des Kontrollverlusts f\u00fchrte zur Wahrnehmung einer Verbindung zwischen der Cloud und der Anf\u00e4lligkeit von Daten. Einerseits hegt man Bedenken mit Blick auf die Vertraulichkeit von Daten, die auf US-Plattformen archiviert sind, nachdem die USA im Jahr 2018 den Cloud Act verabschiedet haben. Andererseits besteht die Sorge vor menschlichem Versagen, da falsch konfigurierte Sicherheitsparameter zu massiven Datenlecks f\u00fchren k\u00f6nnen.<\/p>\n
Eine weitere sehr verbreitete Bef\u00fcrchtung gilt den versteckten Kosten der Cloud. Diese wird oft als kosteng\u00fcnstigere L\u00f6sung im Vergleich zu \u201eOn-Premise\u201c-IT-Infrastrukturen angeboten. Tats\u00e4chlich gibt es mehrere Gr\u00fcnde f\u00fcr die \u00dcberschreitung des zugewiesenen Budgets: gestiegene Kosten f\u00fcr die Datenarchivierung, den Betrieb und die Datenl\u00f6schung oder unvorhergesehene Ausstiegskosten etc. Inzwischen hat auch die Energiekrise die Menschen f\u00fcr den Energieverbrauch in Rechenzentren (erneut) sensibilisiert.<\/p>\n
Die letzte mit der Nutzung der Cloud verbundene Angst ist die Verwundbarkeit der dort gespeicherten Daten, die ein bevorzugtes Ziel f\u00fcr Cyberkriminelle darstellen. Um auf diese Daten zuzugreifen, k\u00f6nnen Cyberkriminelle verschiedene Elemente der Cloud angreifen, einschlie\u00dflich IT- und Archivierungsdiensten sowie Anwendungen. Im Jahr 2021 wurden Cognite, Facebook und Kaseya Opfer von Cyberangriffen auf Cloud-Datenbanken. Diese wenigen Beispiele (unter vielen anderen Vorf\u00e4llen) tragen zu dem Gef\u00fchl der Unsicherheit bei, das Unternehmen in Bezug auf die Cloud haben. Schlie\u00dflich werden selbst Cybersicherheitsl\u00f6sungen in der Cloud angegriffen \u2013 im Web sind zum Beispiel zahlreiche Artikel \u00fcber die von LastPass und dessen sicheren Passwortspeicherdienst erlittenen Angriffe vorzufinden.<\/p>\n
Die Cloud wird seit mehreren Jahren infrage gestellt. Anl\u00e4sslich einer Studie von 451 Research, die Ende 2022 ver\u00f6ffentlicht wurde, best\u00e4tigten sogar 54 % der Befragten, ihre Daten im Laufe des letzten Jahres aus der \u00f6ffentlichen Cloud abgezogen zu haben. Sich von der Cloud zu l\u00f6sen, ist allerdings keine leichtfertige Entscheidung und erfordert eine vorherige Absch\u00e4tzung der Auswirkungen (Migration der Infrastruktur, Migration von Daten und Benutzern, Anpassung von Sicherheitsregeln, Change-Management \u2026).<\/p>\n
Es gibt aber auch einen anderen Ansatz: die Kombination von Cloud und Cybersicherheit. Dieser Ansatz ist umso wichtiger, da \u201eCloud-Sicherheit\u201c oft tats\u00e4chlich \u201eSicherheit von Clouds\u201c bedeutet. Die verschiedenen Schutzinstrumente, die von den einzelnen Marktteilnehmern angeboten werden, m\u00fcssen verst\u00e4rkt oder durch L\u00f6sungen von spezialisierten Cybersicherheitsanbietern ersetzt werden. Zu den L\u00f6sungen z\u00e4hlen etwa interne Segmentierungsfunktionen, die Filterung zwischen verschiedenen Ressourcen, Systeme zur Erkennung von Eindringungsversuchen, Identit\u00e4ts- und Zugangsmanagement-Tools oder zuverl\u00e4ssige VPN-Verbindungen. Aus der Multi-Cloud-Perspektive bietet die Wahl von L\u00f6sungen eines einzigen, auf Firewalling spezialisierten Anbieters und deren Einsatz in jeder genutzten Cloud-Plattform Vorteile in Bezug auf Fachwissen, Sichtbarkeit und Risiko-Management verglichen mit der Administration unterschiedlicher in der jeweils genutzten Cloud vorkommender Firewalls.<\/p>\n
Und wie w\u00e4hlt man zwischen den verschiedenen Cloud-Plattformen? Mit anderen Worten: Wie w\u00e4hlt man eine sichere Cloud aus? Die franz\u00f6sische Regierung versucht diese Frage mit dem SecNumCloud-Standard zu beantworten, der eine Qualifikation f\u00fcr Cloud-Dienstleister gew\u00e4hrt. Dieses Label weist das Vertrauen der franz\u00f6sischen Regierung nach, indem es die strengen Cyber-Anforderungen erf\u00fcllt, die von der ANSSI festgelegt wurden. Die Einhaltung des h\u00f6chsten Sicherheits- und Datenschutzniveaus, eine pr\u00e4zise Service-Level-Vereinbarung und garantierte Datenlokalisierung: Qualifizierte Clouds bieten einen besseren Schutz gegen\u00fcber nicht europ\u00e4ischen Gesetzen.<\/p>\n
Aber all das sollte nicht von der Bedeutung der Gew\u00e4hrleistung eines sicheren Daten-Austauschs in der Cloud ablenken. Mit der zunehmenden Verbreitung von Cloud-basierten Tools f\u00fcr die Zusammenarbeit in Unternehmen sind Informationen und Daten dem Risiko des Abfangens, des Verlusts und des Diebstahls ausgesetzt. Die Dateiverschl\u00fcsselung erm\u00f6glicht einen sicheren Austausch sensibler Daten: Diese werden automatisch verschl\u00fcsselt und nur f\u00fcr befugte Personen entschl\u00fcsselt. Um wirksam zu sein, m\u00fcssen die Ma\u00dfnahmen zum Schutz sensibler Daten jedoch genauso intuitiv sein, wie es die Cloud-Plattformen sind. Das ist aber ein Thema f\u00fcr sich.
Die Besorgnis \u00fcber die Anf\u00e4lligkeit der Daten in der Cloud verlangt, dass man sich die richtigen Fragen zu dieser besonderen Umgebung stellt. Sie verdeutlicht n\u00e4mlich die Schwachstellen der Cloud und den daraus resultierenden Sicherheitsbedarf. Die Sicherheit in der Cloud darf nicht als Einzelaspekt betrachtet werden: Die Unternehmen m\u00fcssen ihre Mitarbeiter ebenfalls f\u00fcr das breitere Spektrum der Cyberbedrohungen sensibilisieren. Nur so l\u00e4sst sich das Sicherheitsniveau nicht nur f\u00fcr die Cloud-Ressourcen, sondern auch f\u00fcr den gesamten Perimeter erh\u00f6hen. Schlie\u00dflich ist die Sicherheit in der Cloud ein Thema, das alle betrifft.<\/p>\n