Cyber Security in der Cloud: Strategien für Datensicherheit

Strategien, Technologien und Maßnahmen zum Schutz der Daten in der Cloud

Die Nutzung von Cloud-Computing ist heute nichts Neues mehr, hat in den letzten Jahren enorm zugenommen und bietet Unternehmen zahlreiche Vorteile wie Flexibilität, Skalierbarkeit und Kosteneffizienz. Allerdings bringt diese Form der Datenverarbeitung auch spezifische Herausforderungen im Bereich der Cyber Security mit sich. Cyber Security in der Cloud bezieht sich auf die Strategien, Technologien und Maßnahmen, die ergriffen werden, um Daten und Anwendungen in der Cloud zu schützen. Dazu gehört der Schutz vor unbefugtem Zugriff, Datenverlust, Malware und anderen Cyber-Bedrohungen, die durch die gemeinsame Nutzung von Ressourcen und die Internetverbindung entstehen können.

Auch der Nutzer trägt Verantwortung

Ein zentraler Aspekt der Cloud-Security ist die Verteilung der Verantwortlichkeiten zwischen dem Cloud-Anbieter und dem Nutzer. Während der Anbieter sicherstellen muss, dass die Infrastruktur sicher ist, liegt es in der Verantwortung der Nutzer, die ihnen durch den Cloud-Anbieter zur Verfügung gestellten Anwendungen richtig zu konfigurieren und Sicherheitsrichtlinien ein­zuhalten. Effektive Maßnahmen zur Cyber Security in der Cloud umfassen Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. In einer zunehmend vernetzten Welt ist es entscheidend, ein robustes Sicherheitskonzept zu entwickeln, um die Integrität, Vertraulichkeit und Verfügbarkeit von Daten in der Cloud zu gewährleisten und das Vertrauen der Nutzer zu stärken.

Cyber Security: vom Begriff ...

Die damit verbundenen Risiken ändern sich ständig und damit auch die daraus abgeleiteten Sicherheitsmaßnahmen. In der heutigen digitalen Welt ist Cyber Security daher ein entscheidender Faktor für den Schutz von Daten und Systemen. Doch was bedeutet Cyber Security eigentlich? Der Begriff „Cyber“ bezieht sich auf alles, was mit dem Internet, Computersystemen und digitalen Netzwerken in Verbindung steht. Das umfasst nicht nur Computer und Server, sondern auch Smartphones, IoT-Geräte und sämtliche Technologien, die Informationen verarbeiten oder über das Internet kommunizieren. „Security“ hingegen bedeutet Sicherheit und Schutz. Im Kontext der Cyber Security geht es darum, Technologien, Verfahren und Maßnahmen zu implementieren, die sensible Daten vor unbefugtem Zugriff, Missbrauch und verschiedenen Arten von Bedrohungen schützen.

... zu den Risiken

Die zunehmende Vernetzung und Digitalisierung unseres Lebens bringt sowohl Chancen als auch Risiken mit sich. Cyber-Angriffe können verheerende Folgen für Unternehmen, Regierungen und Einzelpersonen haben. Daher ist es unerlässlich, ein umfassendes Verständnis für Cyber Security zu entwickeln und effektive Strategien zu verfolgen, um sich gegen Bedrohungen abzusichern. Dabei spielen die Sensibilisierung für potenzielle Gefahren und die Schulung im Umgang mit Technologien eine zentrale Rolle, um die Sicherheit im digitalen Raum zu gewährleisten. Um die Angriffsvektoren von morgen zu verstehen, ist es zudem wichtig, sich auch mit neuen Technologien wie KI auseinanderzusetzen und beim Einsatz von KI mit Bedacht vorzugehen.

Anforderungen an die Unternehmen

Insbesondere Unternehmen haben bei der Nutzung von Cloud-Diensten die Anforderungen des Datenschutzes und der Informationssicherheit zu berücksichtigen. Die Unternehmensleitung selbst ist bereits nach § 43 GmbHG und § 91 AktG gefordert, Risiken und Schäden vom Unternehmen abzuwenden. Sie ist daher gut beraten, sowohl die gesetzlichen Anforderungen an den Datenschutz als auch die Anforderungen aus normativen Regelwerken zur Informationssicherheit umzusetzen.

Informationssicherheits-Managementsystem

Letzteres kann zur Einführung eines Informationssicher-heits-Managementsystems nach ISO/IEC 27001:2022 führen. Die Realität zeigt, dass diese Umsetzung insbesondere bei öffentlichen Ausschreibungen von den Auftraggebern eingefordert wird. In der „Normenfamilie“ der ISO/IEC 27000 gibt es Regelwerke für diverse Fachbereiche, u.a. auch für die Verarbeitung personenbezogener Daten in der Cloud, wie in der DIN EN ISO/ IEC 27018 mit dem Titel „Leitfaden zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung“. Hier empfiehlt sich ein Blick in die folgenden Kapitel: Zugangssteuerung, Kryptographie, Kommunikationssicherheit/Netzwerksicherheit, um nur einige der wichtigsten zu nennen.

Viele Anbieter glänzen zudem mit diversen Zertifikaten (ISO 9001, 27001 oder BSI IT-Grundschutz etc.), doch auch diese stellen keine Garantie für eine allgemein gültige Sicherheit dar, sondern unterliegen Einschränkungen. Achten Sie daher immer auf den Geltungsbereich (Scope), für den das Zertifikat erstellt wurde! Prüfen Sie, ob die von Ihnen genutzten Anwendungen und Standorte vom genannten Geltungsbereich abgedeckt sind! Anderenfalls sind die Zertifikate bedeutungslos.

Kriterienkataloge

Gefährlich lebt, wer glaubt, mit der Verlagerung der Infrastruktur zu einem Dienstleister hätte man auch gleich die Verantwortung verlagert. Das ist mitnichten der Fall. Der Name der DIN EN ISO/IEC 27018 mit dem Verweis auf eine Auftragsverarbeitung im datenschutz-rechtlichen Sinne klärt bereits, dass der Auftraggeber auch verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO i. V. m. Art. 28 DSGVO bleibt. Entsprechend gilt es hier zu regeln.

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat sich zur Verarbeitung in der Cloud Gedanken gemacht und im Ergebnis einen Kriterienkatalog Cloud Computing in der aktuellen Fassung C5:2020 erarbeitet, wobei C5 für „Cloud Computing Compliance Criteria Catalgue“ (BSI Kriterienkatalog C5) steht. Hier lohnt sich ebenfalls ein Blick in die Details.

Dieser Kriterienkatalog ähnelt inhaltlich dem der ISO/ IEC 27001, enthält jedoch zusätzlich zu beachtende Informationen, z. B. zu den Rahmenbedingungen von Cloud-Diensten. Neben den rechtlichen Aspekten sollte man als Auftraggeber auch darauf Wert legen, dass die eigenen Anforderungen an die Verfügbarkeit und Leistungsfähigkeit der gebuchten Umgebung erfüllt werden. Insbesondere dann, wenn man eine Cloud-Umgebung für eigene Produkte nutzen möchte, sollten die Leistungsmerkmale der gebuchten Cloud mit dem übereinstimmen, was man seinen eigenen Kunden verspricht.

Fazit

Es gib sowohl rechtliche als auch regulatorische Gründe, sich mit diesen Themen intensiv auseinanderzusetzen. Die Nutzung von Clouddiensten sollte wohl bedacht sein und mit einem Konzept zur Nutzung einhergehen. Hierfür sollten Sie sich entsprechender Fachexpertise in Form eines Informationssicherheitsbeauftragten und/ oder Datenschutzbeauftragten bedienen!

Und denken Sie daran, die Vorgaben werden nicht ge­trieben durch die Beamten in Brüssel, sondern durch Unternehmen, welche ihr Geschäftsmodel auf der falschen Seite des Rechts etabliert haben, und diese bleiben auch weiterhin aktiv!