Cyberabwehr muss Schritt halten 09.08.2018, 11:08 Uhr

So verändern Datenschutz, KI und IoT die Cloud

Datenschutz, KI und IoT verändern die Cloud - und die Cyberabwehr muss Schritt halten. Besonders schwierig wird dies im Hinblick auf Schatten-IT und mangelnde Datenübersicht.
(Quelle: shutterstock.com/phloxii)
Die Sicherheitsbedenken von Cloud-Nutzern sind bekannt und sie bestehen seit Jahren: Datenverlust durch Hacker gehört zu den größten Sorgen in Unternehmen auf der ganzen Welt. Probleme bereiten auch die Schatten-IT durch ungenehmigte Cloud-Dienste und die mangelnde Übersicht darüber, welche Daten eines Unternehmens in Cloud-Anwendungen übertragen werden.
Nichtsdestoweniger berichtet die McAfee-Studie "Navigating a Cloudy Sky" von einem wachsenden Vertrauen in Cloud-Computing. "Obwohl die Zahl an Sicherheitsvorfällen in der Cloud immer weiter steigt, greifen Unternehmen vermehrt auf 'As a Service'-Angebote zurück", fasst Rajiv Gupta, Senior Vice President der Cloud-Security-Business-Unit von McAfee, den aktuellen Stand zusammen.
Diskrepanz: Nicht alle Unternehmen, die vertrauliche Daten in einer Public Clud speichern, vertrauen dieser auch.
(Quelle: McAfee)
Die Basis für mehr Vertrauen in die Cloud bilden diverse IT-Sicherheitslösungen. "Durch die Implementierung von Sicherheitsmaßnahmen, die es ermöglichen, wieder Transparenz und Kontrolle über die Daten zu erlangen, können Unternehmen innovative Services nutzen und ihr Geschäft in der Cloud beschleunigen", so McAfee-VP Gupta.
Für Cloud-Sicherheit geben deutsche Unternehmen laut McAfee bereits heute rund 27 Prozent ihres IT-Budgets aus und sie planen, diesen Anteil in Zukunft auf 36 Prozent zu erhöhen. Dabei geht es allerdings nicht einfach um mehr Cloud-Sicherheit, sondern es geht um eine neue Strategie und um neue Lösungen für die Absicherung der Cloud. Gründe, warum sich die Cloud-Sicherheit verändern muss, gibt es genügend.

Die DSGVO

Ein Grund für die notwendige Erneuerung der Cloud-Sicherheit liegt in der Datenschutzgrundverordnung (DSGVO), die seit Mai dieses Jahres neues und unmittelbar anzuwendendes Recht ist.
"Ein Paradigmenwechsel im Datenschutzrecht besteht darin, dass die Datenschutzgrundverordnung umfassende Dokumentations-, Organisations- und Transparenzpflichten vorsieht", betont Jens Eckhardt, Vorstand Recht und Compliance beim Verband EuroCloud Deutschland_eco e. V.
Aus der Datenschutzgrundverordnung resultieren neue Pflichten für Cloud-Nutzer und Cloud-Anbieter. "Zwar sieht die DSGVO eine geteilte Verantwortung zwischen Cloud-Nutzern und Cloud-Providern vor, doch zur Verantwortung gezogen werden schlussendlich die Unternehmen, die die Cloud nutzen", bringt Chris Hill die Situation auf dem Punkt. Hill ist Regional Vice President Pu­blic Cloud EMEA beim Netzwerk­sicherheits-Spezialisten Barracuda Networks.
Aus der Datenschutzgrundverordnung lässt sich ein recht konkreter Fragenkatalog ableiten, den Unternehmen bei Nutzung der Cloud im Auge behalten sollten:
  • Gibt es eine Rechtsgrundlage für die Übermittlung der Daten zum Cloud-Provider?
  • Sind alle Cloud-Dienste dokumentiert und in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen?
  • Sind die Standorte bekannt, an denen die Cloud-Dienste betrieben werden?
  • Setzen die Cloud-Provider Maßnahmen um, die für eine angemessene Datensicherheit sorgen?
  • Können zum Beispiel geeignete Zertifizierungen durch den Cloud-Provider vorgelegt werden?
  • Gibt es Vereinbarungen mit dem Cloud-Provider, die die Vorgaben an eine Auftragsverarbeitung nach Artikel 28 DSGVO erfüllen?
  • Werden die Daten zuverlässig gelöscht, wenn die Nutzung der Cloud beendet wird oder wenn eine Löschverpflichtung eintritt?
  • Können die Daten sicher von einem Cloud-Provider zu einem anderen übertragen werden?
  • Sind die Cloud-Dienste belastbar genug?
  • Können Manipulationen an Cloud-Daten verhindert werden?
  • Gibt es ein Verfahren zur Meldung von Datenschutzverletzungen durch den Cloud-Provider an das Unternehmen und durch das Unternehmen an die Aufsichtsbehörde sowie gegebenenfalls an die Betroffenen?
  • Haben die Cloud-Nutzer die Kontrolle über ihre Daten? Gibt es eine zuverlässige Sicht auf den IT-Sicherheitsstatus?
  • Sind Sicherheitsmaßnahmen für die Identitätskontrolle, das Schwachstellen-Management, die Verschlüsselung und für eine sichere Datenübertragung vorhanden?
"Viele IT-Einkäufer gehen davon aus, dass sie den Betrieb ihrer Infrastruktur effektiv an einen vertrauenswürdigen Dritten auslagern und der Provider sich um alles kümmert. Das ist einfach nicht der Fall", stellt Chris Hill klar. Die Amazon Web Ser­vices seien hier zum Beispiel sehr deutlich. Sie erklärten, dass sie sich beim Thema Cloud-Sicherheit lediglich um die Bereiche Berechnung, Speicherung, Datenbank, Netzwerk und glo­bale Infrastruktur einschließlich Randlage und Verfügbarkeitszonen kümmerten. Für die Sicherheit in der Cloud sei zu 100 Prozent der Kunde verantwortlich - das betreffe "Daten, Anwen­dungen, Identitätsmanagement, Betriebssystem, Netzwerk- und Firewall-Konfiguration, Netzwerkverkehr, serverseitige Verschlüsselung und clientseitige Daten", so Hill weiter.
"Wir stellen fest, dass gerade größere Unternehmen Bedenken und entsprechend Fragen haben, wenn es um die Sicherheit in der Cloud geht", berichtet Klaus Gheri, Vice President und General Manager Network Security bei Barracuda. "Unternehmen, die den Umgang mit traditioneller Rechenzentrumsarchitektur gewöhnt sind, müssen bei einem Wechsel in die Cloud, was die Sicherheit betrifft, umdenken", ergänzt er.
Cloud-Nutzer benötigen zusätzliche Lösungen, um die notwendige Transparenz in die Sicherheitsmaßnahmen für die Cloud zu bringen, zum einen in die Cloud-Security des Providers, zum anderen in die eigenen Security-Maßnahmen im Unternehmen. Ohne ausreichende Transparenz in der Cloud-Sicherheit können Unternehmen den geforderten Datenschutzpflichten nicht nachkommen.



Das könnte Sie auch interessieren