Sicher arbeiten aus der Cloud

Das Cloud-Computing längst kein Hype mehr ist, sondern Realität ist kein Geheimnis. Vorteile wie tiefe Kosten oder flexible und skalierbare IT-Services überzeugen in der heutigen Zeit und lassen zu, dass in Unternehmen einfach, effizient und sicher gearbeitet werden kann.
Erstellt am:
Cloud Services sind praktisch und ermöglichen selbst kleinen Firmen den Zugang zu kostspieligen Software-Lösungen. Aber sind diese auch sicher? Wir benennen die wichtigsten Fakten zur Cloud Security und zeigen, worauf es bei einer sicheren Nutzung von Cloud-Services ankommt. 

Was ist die Cloud?

Die Cloud ist ein Dienst, mit dem Daten gespeichert werden können. Dazu werden Daten über das Internet oder ein anderes Netzwerk an ein standortexternes System, das von einem Dritten verwaltet wird, übertragen. In der Praxis wird zwischen drei grundsätzlichen Einsatzvarianten für Cloud Computing unterschieden. In der Public-Cloud stellt ein frei zugänglicher Provider die Cloud zur Verfügung und mehrere Kunden teilen sich die Infrastruktur, ohne Notiz voneinander zu nehmen. Die Private Cloud ist exklusiv für ein Unternehmen zugänglich und wird vom Unternehmen selbst oder vom IT-Dienstleister betrieben. In der Hybride Cloud laufen bestimmte Services beim öffentlichen Anbieter, andere werden im Unternehmen betrieben und verarbeitet. Sie ist eine Mischung aus Public und Private Cloud. Obwohl immer mehr Unternehmen auf den Einsatz von Cloud Services setzen, bleiben Sicherheitsbedenken weiterhin eines der grössten Hindernisse beim Umstieg in die Cloud. Dabei ist die Cloud, wenn Unternehmen alle nötigen Massnahmen zum Schutz der Daten treffen, eines der sichersten Speichermedien. Die Cloud-Anbieter setzen alles daran, sowohl die EU-Datenschutzgrundverordnung (DSGVO) als auch die Anforderungen an die Compliance unter Anwendung höchster Sicherheitsstandards zu erfüllen. 

Cloud Sicherheit

Die Cloud Sicherheit umfasst eine Vielzahl von Einzelmassnahmen zur Absicherung von Cloud-Services und Cloud-Umgebungen. Durch Cloud Sicherheit wird das Risiko von Ausfällen, Datenverlusten und Zugriff durch Unbefugte minimiert. Es ist ein zunehmend wichtiger, wenn nicht sogar der wichtigste Bestandteil im Cloud-Computing. Damit Compliance, der Schutz der Infrastruktur und die Datenverarbeitung und -Speicherung sichergestellt sind, müssen Regeln, Prozesse und technische Vorgaben festgelegt werden. 

#Die fünf wichtigsten Sicherheitskriterien

  • Die Server- und Netzwerksicherheit, die eine sichere Barriere zwischen Aussenwelt und Daten, aber auch zwischen den unterschiedlichen Cloud-Kunden garantiert. 
  • Die Identitäts- und Zugriffsverwaltung, die jeden einzelnen Datenzugriff schützt und die einzelnen Zugriffsberechtigungen klar definiert. 
  • Die Informationssicherheit, mit der sensible Daten jederzeit vertraulich, integer und verfügbar und auf deren Basis die Datenschutzrichtlinien compliance-konform sind. 
  • Die Anwendungs- und Plattformsicherheit, mittels welcher die Anwendungen sicher sind und welche regelmässig auf Schwachstellen überprüft wird.  
  • Die physische Sicherheit stellt sicher, dass sich die Hardware in einer sicheren Umgebung mit geordneten Zugangsberechtigungen befindet. 

Sicherheit und Compliance durch Standards und Zertifikate

Erfüllt ein Cloud-Anbieter bestimmte Standards, wissen Kunden, dass ihre Daten ordnungsgemäss verarbeitet und gespeichert werden. Grundlegend lassen sich Standards in drei Arten unterteilen: 
#Branchenübergreifende internationale Standards ergeben sich aus Forderungen der Kunden nach einem konsistenten Ansatz in Bezug auf Betrieb, Sicherheit, Datenschutz, Risikomanagement und Steuerung. 
#Standards, die vertikale und regionale Bereiche umfassen haben eigene Standards eingeführt. Dazu zählen das Gesundheitswesen und die Finanzdienstleister sowie die Behörden. In vielen Fällen kann ein Unternehmen seinen Kunden in diesen Branchen keine Onlinedienste anbieten, es sei denn, es erfüllt die für diese Branche geltenden Vorschriften (Regionale Standards, wie beispielsweise FISC, PDPA, MLPS / Vertikale Standards, wie beispielsweise PCI-DSS (Finanzbranche), FedRAMP (U.S. Federal Government), HIPAA (Healthcare Branche). Standards, die vertikale und regionale Bereiche umfassen haben eigene Standards eingeführt. Dazu zählen das Gesundheitswesen und die Finanzdienstleister sowie die Behörden. In vielen Fällen kann ein Unternehmen seinen Kunden in diesen Branchen keine Onlinedienste anbieten, es sei denn, es erfüllt die für diese Branche geltenden Vorschriften (Regionale Standards, wie beispielsweise FISC, PDPA, MLPS / Vertikale Standards, wie beispielsweise PCI-DSS (Finanzbranche), FedRAMP (U.S. Federal Government), HIPAA (Healthcare Branche). 
#Standards basierend auf nationalen Bedürfnissen oder Datenschutzgesetze umfassen Vorschriften und Normen, die auf nationalen Bedürfnissen oder Datenschutzgesetzen basieren (Standards, wie beispielsweise EU DSGVO, Privacy Shield). 
Neben den obengenannten Standards bieten Zertifizierungen darüber hinaus eine einheitliche Methode zur Bewertung der Fähigkeit eines Cloud-Anbieters, diese Standards zu erfüllen. Auch wenn die Daten beim Cloud-Provider liegen, ist der Kunde bei einer Auftragsverarbeitung datenschutzrechtlich verpflichtet, sich von der Umsetzung der vereinbarten technischen und organisatorischen Massnahmen zum Schutz der personenbezogenen Daten zu überzeugen. Über verschiedene Sicherheitskennzeichen, die durch unabhängige Institutionen vergeben werden, kann der Anwender zudem prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.  

Standort des Cloud-Anbieters

Der „Standort des Cloud-Anbieters“ ist ebenfalls für viele Unternehmen ein wichtiges Kriterium. Informationen über den Standort des Cloud-Anbieters und der Server geben dem Anwender Auskunft darüber, welchem Datenschutzrecht seine Daten nach der Speicherung unterworfen sind. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden. Unternehmensstandort und Datenhaltung im Rechtsgebiet der Schweiz schaffen Vertrauen in den Cloud-Anbieter – übrigens auch über unsere Landesgrenzen hinweg.  

Vorteile von Cloud Services für Unternehmen

Die Daten sind überall flexibel und mit jedem Gerät abrufbar. Dies bietet einen einfachen und flexiblen Zugriff auf die Daten während der Dienstreise oder aus dem Homeoffice. Bei der Cloud-Speicherung über eine Public-Cloud, ist ausserdem keine eigene Infrastruktur nötig. Darüber hinaus haben Cloud-Services für Unternehmen weitere klare Vorteile:  
#Hohe Skalierbarkeit und bedarfsgerechte Nutzung  Die flexible Skalierbarkeit virtueller IT-Ressourcen ist einer der offensichtlichsten Vorteile. In beliebigem Umfang lassen sich Speicherplatz, Arbeitsspeicher, CPU-Leistung oder Software-Lizenzen hinzufügen oder abschalten. Die Ressourcen stehen jederzeit in freiwählbarem Umfang zur Verfügung. 
#Schnelle Bereitstellung In dem eigenen Rechenzentrum kann das Bereitstellen von Ressourcen schon mal etliche Arbeitsstunden in Anspruch nehmen. Services aus der Cloud sind binnen weniger Minuten verfügbar. 
#Variable Fixkosten Dank Pay-per-use-Modellen zahlen Unternehmen nur die Leistung, die sie tatsächlich in Anspruch nehmen. Es werden keine Ressourcen verschwendet und fixe Kosten werden zu variablen Kosten. 
#Reduzierter Administrationsaufwand Unternehmen, die sich einen Service-Provider, wie die itnetX (Switzerland) AG zur Implementierung und den Betrieb der Cloud suchen, reduzieren ihren Administrationsaufwand erheblich. Damit sinken die Kosten. 
#Wachsende Technologien bei wachsenden Märkten Absatzmärkte befinden sich im stetigen Wandel, Produktzyklen werden im Software-Bereich immer kürzer. Die wenigsten Unternehmen können da noch Schritt halten. Werden Services aus der Cloud genutzt, wird der Innovationszwang auf den IT-Dienstleister umgelagert. Das Updaten bestehender Software, die Anschaffung neuer Hardware sowie das qualitative und quantitative Weiterentwickeln vorhandener Ressourcen obliegenden nun dem Cloud-Service-Provider. Und last but not least: 
#Clouds können die Datensicherheit und den Datenschutz erhöhen Etablierte Cloud-Provider befassen sich täglich mit der Einhaltung gesetzlicher Vorschriften. Da sie mit einer grossen Kunden- und Datenzahl in nahezu jeder Branche und jedem Land zu tun haben, ist ihre Erfahrung in Bezug auf Normen und behördliche Auflagen umfassender als die eines einzelnen Unternehmens. Das hat den Vorteil, dass an den Cloud-Anbieter viele regulatorische und datenschutzrechtliche Verpflichtungen und Anforderungen zur Einhaltung anerkannter Standards weitergegeben oder mit diesem geteilt werden können. Die Erhöhung von Datensicherheit und -schutz gelingt jedoch nur, wenn du einen qualifizierten IT-Dienstleister, wie wir einer sind, beauftragst. Durch einen Servicevertrag sicherst du dich entsprechend ab. 

Die meistgenutzten Cloud-Infrastrukturen

Laut der Cloud Security Studie 2019 von IDG laufen 52 Prozent der Infrastrukturen über Microsoft Azure, 37 Prozent über Google Cloud Plattform und 32 Prozent über Amazon Webservices. Wenn nach der Zufriedenheit mit der Infrastruktur gefragt wird, liegt Microsoft Azure auf Platz eins des Rankings. 
Auch wir nutzen die Cloud Infrastruktur von Microsoft Azure. Microsoft entspricht allen gängigen Zertifizierungen und dem Anforderungskatalog Cloud Computing (C5) des BSI für mehr als 100 seiner weltweiten Rechenzentren. Der C5-Katalog besteht aus insgesamt 114 Anforderungen in 17 Bereichen, darunter die Organisation von Informationssicherheit und physischer Sicherheit und zusätzlichen Anforderungen für die Verarbeitung streng vertraulicher Daten und für Situationen, die hohe Verfügbarkeit erfordern. 
Willst du wissen, wie du mit deinem Unternehmen einfach, sicher und effizient aus der Cloud arbeiten kannst? Dann wirf einen Blick auf unsere Azure Lösungen. Wir beraten dich gerne.