Cloud-Datensicherheit: Schutz für Daten in der Cloud

November 17, 2022

Was ist Cloud-Datensicherheit?

Cloud-Datensicherheit umfasst alle Technologien, Richtlinien, Services und Sicherheitskontrollen, die alle Arten von Daten in der Cloud vor Verlust, Veröffentlichung oder Missbrauch durch Kompromittierung, Exfiltration und nicht autorisiertem Zugriff schützen. Eine robuste Strategie für Cloud-Datensicherheit sollte folgende Funktionen erfüllen:

  • Gewährleistung von Datensicherheit und Datenschutz in allen Netzwerken sowie in Anwendungen, Containern, Workloads und anderen Cloud-Umgebungen
  • Kontrolle des Datenzugriffs für alle Benutzer, Geräte und Software
  • Vollständiger Überblick über alle Daten im Netzwerk

Die Strategie für Cloud-Datensicherheit und -Datenschutz muss zudem alle Arten von Daten schützen, einschließlich:

  • Genutzte Daten: Bietet Schutz für Daten, die von einer Anwendung oder einem Endgerät verwendet werden, mithilfe von Benutzerauthentifizierung und Zugriffssteuerung.
  • Übertragene Daten: Gewährleistet die sichere Übertragung sensibler, vertraulicher oder proprietärer Daten, während sie sich im Netzwerk bewegen. Hier kommen Verschlüsselung bzw. andere Sicherheitsmaßnahmen für E-Mails und Nachrichten zum Einsatz.
  • Gespeicherte Daten: Schützt Daten an jedem beliebigen Speicherort im Netzwerk, einschließlich der Cloud, mithilfe von Zugriffsbeschränkungen und Benutzerauthentifizierung.

EXPERTEN-TIPP

Mit dem Begriff Cloud werden Server sowie dazugehörige Services, Software-Anwendungen, Datenbanken, Container und Workloads bezeichnet, auf die per Fernzugriff über das Internet zugegriffen wird. Cloud-Umgebungen werden in der Regel in zwei Kategorien eingeteilt: Private Cloud (eine ausschließlich von einem Kunden genutzte Cloud-Umgebung) und Public Cloud (eine von mehreren Benutzer gemeinsam genutzte Cloud-Umgebung).

Wie sicher ist die Cloud?

Theoretisch bietet die Cloud keine bessere oder schlechtere Sicherheit als physische Server oder Rechenzentren, solange das Unternehmen eine umfassende robuste Cybersicherheitsstrategie implementiert hat, die speziell auf den Schutz vor Risiken und Bedrohungen in Cloud-Umgebungen ausgelegt ist.

Doch genau hier liegt das Problem. Viele Unternehmen wissen nicht, dass die in der Cloud gehosteten Assets durch die bisherige Sicherheitsstrategie und die dazugehörigen Tools (z. B. Firewalls) nicht geschützt werden. Um den Sicherheitsanforderungen dieser neuen Umgebung gerecht zu werden, müssen Unternehmen ihre Sicherheit daher grundlegend überdenken und aktualisieren.

Ein weiteres großes Missverständnis in Bezug auf die Cloud ist die Annahme, der Cloud-Anbieter sei für alle Sicherheitsbereiche einschließlich der Datensicherheit verantwortlich. Tatsächlich jedoch gilt bei der Cloud-Sicherheit das so genannte Modell der gemeinsamen Verantwortung.

Gemäß des Modells liegt die Cloud-Sicherheit und somit auch die Sicherheit der Cloud-Daten in der gemeinsamen Verantwortung der Cloud-Service-Anbieter (CSPs) und ihrer Kunden.

EXPERTEN-TIPP

Dem Modell zufolge ist der CSP (z. B. Google Cloud Platform (GCP), Amazon Web Services (AWS) und Microsoft Azure (Azure)) für die Verwaltung und Gewährleistung der grundlegenden Hardware-Sicherheit verantwortlich. Vom Kunden hingegen wird erwartet, für die Sicherheit auf der Infrastruktur- und Anwendungsebene zu sorgen. Darunter fallen alle Tools, Technologien, Richtlinien und Prozesse zum Schutz der Daten und anderer cloudbasierter Unternehmens-Assets.

Warum sollten Unternehmen Daten in der Cloud speichern?

Unternehmen wechseln in die Cloud, da diese für fast alle Strategien zur digitalen Geschäftstransformation eine wichtige Voraussetzung ist. Cloud-Datenspeicher bieten Unternehmen vor allem folgende wertvolle Vorteile:

  • Geringere Kosten: Cloud-Speicher ist meistens kostengünstiger, da die Infrastrukturkosten von allen Benutzern gemeinsam getragen werden.
  • Ressourcenoptimierung: Bei einem Cloud-Modell ist in der Regel der CSP für die Wartung der cloudbasierten Server, Hardware, Datenbanken und anderen Elemente der Cloud-Infrastruktur verantwortlich. Zudem müssen Unternehmen keine lokalen Komponenten mehr hosten oder warten, sodass die allgemeinen IT-Kosten sinken. Außerdem kann sich das IT-Team auf andere Bereiche wie den Kunden-Support und die Modernisierung des Unternehmens konzentrieren.
  • Besserer Zugriff: Solange es eine Internetverbindung gibt, kann jeder autorisierte Benutzer sowie praktisch jedes Gerät von überall auf der Welt auf cloudbasierte Datenbanken zugreifen – eine Grundvoraussetzung für die moderne digitale Arbeitsweise.
  • Skalierbarkeit: Cloud-Ressourcen wie Datenbanken sind flexibel einsetzbar, denn sie können je nach Bedarf schnell eingerichtet und wieder entfernt werden. Dadurch können Unternehmen schneller und kostengünstiger auf Bedarfsspitzen oder saisonale Unterschiede reagieren.

Geschäftsrisiken bei der Cloud-Datenspeicherung

Cloud-Datenspeicherung bietet Unternehmen zwar viele wichtige Vorteile, allerdings sind Cloud-Umgebungen nicht frei von Herausforderungen. Dies sind einige Risiken, mit denen Unternehmen bei der Cloud-Datenspeicherung ohne angemessene Sicherheitsmaßnahmen rechnen sollten:

  1. Datenkompromittierungen

In der Cloud laufen Datenkompromittierungen im Vergleich zu lokalen Angriffen anders ab, denn Malware spielt hier nur eine untergeordnete Rolle. Stattdessen nutzen die Angreifer Konfigurationsfehler, übermäßige Zugriffsrechte, gestohlene Anmeldedaten und andere Schwachstellen aus.

  1. Konfigurationsfehler

Konfigurationsfehler sind in Cloud-Umgebungen die Schwachstelle Nr. 1 und können zu übermäßigen Kontoberechtigungen, ungenügender Protokollierung und anderen Sicherheitslücken führen. Diese machen das Unternehmen für Cloud-Kompromittierungen, Insider-Bedrohungen und Angreifer anfällig, die die Schwachstellen nutzen, um sich Zugang zu Daten zu verschaffen.

  1. Unsichere APIs

Unternehmen nutzen APIs, um Cloud-Services zu verbinden und Daten zu übertragen – intern oder an Partner, Lieferanten, Kunden usw. Da APIs manche Datentypen in Endpunkte umwandeln, kann eine Richtlinien- oder Berechtigungsänderung die Gefahr eines unbefugten Zugriffs auf mehr Daten erweitern als vom Host beabsichtigt.

  1. Zugriffskontrolle/nicht autorisierter Zugriff

Unternehmen mit Multi-Cloud-Umgebungen tendieren dazu, sich auf die standardmäßigen Zugriffskontrollen ihrer Cloud-Anbieter zu verlassen, was besonders in Multi-Cloud- oder Hybrid-Cloud-Umgebungen zu einem Problem wird. Aufgrund des privilegierten Zugriffs, der Kenntnis geeigneter Angriffspunkte und der Fähigkeit zum Verwischen von Spuren kann durch interne Bedrohungen großer Schaden entstehen.

Sechs Best Practices der Cloud-Datensicherheit

Um die Sicherheit der Daten zu gewährleisten, müssen Unternehmen eine umfassende Cybersicherheitsstrategie wählen, die vor den cloudspezifischen Schwachstellen für Daten schützt.

Eine robuste Sicherheitsstrategie für Cloud-Daten sollte folgende wichtige Elemente beinhalten:

  1. Erweiterte Verschlüsselungsfunktionen

Eine wirksame Methode zum Schutz von Daten ist die Verschlüsselung. Bei der Cloud-Verschlüsselung werden Daten vor der Übertragung in die Cloud vom Klartextformat in ein nicht lesbares Format umgewandelt. Die Daten sollten sowohl bei der Übertragung als auch am Speicherort verschlüsselt sein.

Cloud-Service-Anbieter bieten verschiedene standardmäßig integrierte Verschlüsselungsfunktionen für Daten in Block- und Objektspeicherservices. Zum Schutz übertragener Daten sollten Verbindungen zu Cloud-Speicherservices per HTTPS/TLS verschlüsselt werden.

In Cloud-Plattformen erfolgt die Datenverschlüsselung standardmäßig mit Verschlüsselungsschlüsseln, die von der Plattform verwaltet werden. Für mehr Kontrolle können Kunden jedoch eigene Schlüssel nutzen und diese zentral über einen Managementservice für Verschlüsselungsschlüssel in der Cloud verwalten. Bei Unternehmen mit strengeren Sicherheitsstandards und Compliance-Anforderungen können native Schlüsselmanagementservices mit Hardware-Sicherheitsmodul (HSM) oder sogar Drittanbieterservices implementiert werden, die die Datenverschlüsselungsschlüssel schützen.

  1. Implementierung eines DLP-Tools

Datenverlustprävention (Data Loss Prevention, DLP) ist Teil der allgemeinen Sicherheitsstrategie von Unternehmen. Bei DLP liegt der Fokus darauf, den Verlust, die Preisgabe oder den Missbrauch von Daten durch Kompromittierungen, Exfiltration und unbefugten Zugriff zu erkennen und zu verhindern.

Cloud-DLP ist speziell auf den Schutz von Unternehmen ausgelegt, die Cloud-Repositorys für die Datenspeicherung nutzen.

  1. Einheitlicher Überblick über Private-, Hybrid- und Multi-Cloud-Umgebungen

Ein einheitlicher Überblick über Multi-Cloud-Umgebungen und die kontinuierliche intelligente Überwachung aller Cloud-Ressourcen sind unverzichtbare Funktionen einer Cloud-Sicherheitslösung. Die Lösung muss Konfigurationsfehler, Schwachstellen und Bedrohungen für die Datensicherheit erkennen können und gleichzeitig verwertbare Einblicke sowie geführte Behebungsmaßnahmen bereitstellen.

  1. Gewährleistung von Sicherheit und Governance

Ein weiteres wichtiges Element der Datensicherheit ist eine ordnungsgemäße Sicherheitsrichtlinie und Governance, die höchste Cloud-Sicherheitsstandards durchsetzt und die Einhaltung von Branchen- sowie gesetzlichen Vorschriften in der gesamten Infrastruktur überwacht. Dies ist nur mit einer Sicherheitsverwaltung für Cloud-Umgebungen (CSPM) möglich. Sie erkennt und verhindert Konfigurationsfehler sowie Bedrohungen für die Kontrollebene, beseitigt blinde Flecken und gewährleistet Compliance in allen Cloud-Umgebungen, Anwendungen und Workloads.

  1. Verbesserte Identitäts- und Zugriffsverwaltung (IAM)

Lösungen zur Identitäts- und Zugriffsverwaltung (IAM) unterstützen Unternehmen bei der Optimierung und Automatisierung der Identitäts- und Zugriffsverwaltung und ermöglichen detailliertere Zugriffskontrollen sowie Berechtigungen. Mit einer IAM-Lösung muss das IT-Team nicht mehr manuell Zugriffskontrollen vergeben, Berechtigungen überwachen und aktualisieren oder Konten deprovisionieren. Außerdem können Unternehmen Single Sign-On (SSO) nutzen, um die Identität eines Benutzers zu authentifizieren und ihm mit nur einem Anmeldedatensatz Zugriff auf mehrere Anwendungen und Websites gewähren.

Bei IAM-Kontrollen sollten Sie das Least-Privilege-Prinzip befolgen, d. h. Benutzern nur die Berechtigungen gewähren, die sie für den Zugriff auf die für ihre Arbeit erforderlichen Daten und Cloud-Ressourcen benötigen.

  1. Cloud-Workload-Schutz

Cloud-Workloads erhöhen die Angriffsfläche exponentiell. Um Workloads schützen zu können, ist ein Überblick über alle Workload- und Container-Ereignisse erforderlich. Außerdem müssen alle cloudnativen Assets in allen Clouds – alle Workloads, Container und Kubernetes- und serverlose Anwendungen – geschützt sein. Mit Cloud-Workload-Schutz (CWP) können Unternehmen nach Schwachstellen suchen und diese beheben. Zudem schützt die Lösung Workloads, Container sowie Kubernetes- und serverlose Funktionen vor Datenkompromittierungen, und ermöglicht es, Cloud-Anwendungen schnell und zuverlässig zu erstellen, auszuführen und zu sichern – von der Entwicklung bis zur Produktion.

CrowdStrike-Lösungen für Cloud-Sicherheit

CrowdStrike hat den Begriff Sicherheit mit der weltweit fortschrittlichsten cloudnativen Plattform neu definiert. Sie schützt und unterstützt Ihre Mitarbeiter, Prozesse und Technologien, die das moderne Unternehmen ausmachen.

Die CrowdStrike Falcon®-Plattform nutzt die CrowdStrike Security Cloud, um Echtzeit-Angriffsindikatoren, Bedrohungsanalysen, veränderte Vorgehensweisen von Angreifern sowie angereicherte Telemetriedaten aus dem gesamten Unternehmen auszuwerten. Dadurch kann die CrowdStrike-Plattform äußerst präzise Bedrohungen erkennen, automatisierte Schutz- und Behebungsmaßnahmen bereitstellen, zuverlässige Bedrohungssuchen durchführen und Schwachstellen priorisieren.

Weitere Informationen zu den CrowdStrike-Cloudsicherheits-Lösungen und unseren Services speziell für AWS, GCP und Azure finden Sie hier: