Die virtuelle Welt der überall und jederzeit verfügbaren Daten und Services ist auf eine ganz physische angewiesen – und auch diese physische Welt ist durchaus verwundbar. Im März 2021 zerstörte ein Feuer ein Rechenzentrum des französischen Cloud-Hosters OVH in Straßburg mit Platz für bis zu 12.000 Server. Infolgedessen waren ca. 3,6 Millionen Websites und mehr als 450.000 Domains offline. Am stärksten betroffen waren Domains aus Frankreich, von denen 1,9 Prozent nicht mehr erreichbar waren. Unternehmen, die auf ein kostenpflichtiges Backup ihrer Daten verzichtet hatten, mussten immense Datenverluste hinnehmen. Experten kritisierten die Bauweise des Rechenzentrums sowie die fehlende Löschvorrichtungen.[1]
Aspekte der physischen Sicherheit der Rechenzentren sind der Schutz vor Naturgewalten ebenso wie Vorkehrungen gegen Stromausfälle oder die Absicherung gegen unbefugten Zutritt mit möglicherweise krimineller Absicht. Unternehmen und Organisationen, die mit ihren Anwendungen und Daten in die Cloud gehen, tun daher gut daran, diese Rahmenbedingungen zu prüfen – und sollten keinesfalls auf das Speichern an zwei nicht benachbarten Orten verzichten.
Doch während all dies genauso für individuell und in kleinerem Maßstab betriebene Server oder Rechenzentren gilt, denkt man bei Cloud Security zuallererst an Datenschutz und -Datensicherheit.
Allgemein lassen sich Clouds in drei Arten kategorisieren, wobei alle großen Hyperscaler jeden der genannten Services anbieten:
- Infrastructure as a Service (IaaS) bei dem der Cloud-Anbieter lediglich die Infrastruktur, also die Hardware, für die Services bereitstellt. Die Nutzer der IaaS-Cloud bestimmen selbst, welches Betriebssystem, welche Sicherheitsfeatures und welche Software sie für ihren Bedarf benötigen. Beispiele für IaaS Clouds sind Amazon Web Services (AWS) oder die Google Compute Engine.
- Platform as a Service (PaaS) stellt neben der Infrastruktur auch die Betriebsumgebung zur Verfügung und ermöglicht dem Nutzer eigene Anwendungen zu installieren. Beispiele für PaaS sind die Google App Engine oder Microsoft Azure.
- Software as a Service (SaaS) ermöglicht die Nutzung von Anwendungen, die direkt von dem externen Anbieter bereitgestellt werden. Dies bedeutet für die Anwender einen minimalen Verwaltungsaufwand, da neben der Infrastruktur auch Betriebsumgebung und Anwendungen geliefert werden. Typische Beispiele sind hier Microsoft 365, Google Workspace oder iCloud.
Abhängig von der Auswahl der Cloud-Kategorie unterscheiden sich die Verantwortlichkeiten für die Cloud-Security. Während bei Software as a Service der Provider für die technische sowie Anwendungssicherheit verantwortlich ist, obliegt es bei IaaS-Clouds dem Nutzer, entsprechende Sicherheitsfeatures einzubauen. Doch in jedem Falle bleibt es die Aufgabe des Nutzers, für die Sicherheit seiner Daten zu sorgen bzw. die Vorkehrungen und Verpflichtungen des Anbieters zu überprüfen. Im Kern beinhaltet dies eine zentrale Steuerung der Compliance Anforderungen sowie der Zugriffe und Rechte.
Neben den von verschiedenen Unternehmen, Organisationen und Personen nutzbaren Public Clouds ist für Organisationen auch der Betrieb einer Private Cloud eine Option. Bei einer Private Cloud nutzen der Kunde dedizierte Hardware des Providers unter eigener Governance und teilt sich die Systeme nicht mit anderen Mandanten. Damit müssen Nutzer, anders als bei Public Clouds, nicht auf die Datenschutzmaßnahmen der Public-Cloud-Anbieter vertrauen, sondern behalten die volle Kontrolle über ihre Sicherheitsvorkehrungen. Die Vorteile der einfach zu erreichenden Public Cloud und der sichereren Private Cloud lassen sich in einer Hybrid Cloud vereinen. Bei diesem Modell stehen häufig unkritische Anwendungen und Daten über eine Public Cloud zur Verfügung, geschäftskritische Daten in einer privaten, exklusiv genutzten Cloud.
Bei einer Multi Cloud Lösung werden mehrere Clouds parallel genutzt. Ziel ist hier meistens eine höhere Verfügbarkeit: Sollte ein Anbieter unerwartet ausfallen, lassen sich Geschäftsprozesse über den zweiten Cloud Anbieter weiterführen, und die Daten bleiben sicher verfügbar. Dies erfordert allerdings einen hohen Planungs- und Konfigurationsaufwand, da die Nutzung mehrerer Cloud Provider für den gleichen Service im Parallelbetrieb sich nicht mal eben realisieren lassen.
Komponenten der Cloud-Security
Der Schutz der Daten bei allen genannten Cloud-Modellen umfasst mehrere Komponenten. Auf den physischen Schutz der Rechenzentren folgt die Netzwerk- und Serversicherheit. Hierbei geht es um die technische Konfiguration der Server, d.h. dass die Daten verschiedener Kunden getrennt voneinander fließen und die Server selbst sicher gegenüber Angriffen von außen sind.
Eine weitere Komponente besteht in der Regelung des Zugangs zu bestimmten Daten. Dafür gilt grundsätzlich das Prinzip von „Least Privilege“ (POLP). Dieses Prinzip gestattet dem Benutzer nur die für seine Tätigkeit unbedingt erforderlichen Zugriffe bzw. Berechtigungen.
Die Multi-Faktor-Authentifizierung (MFA) sollte mittlerweile Standard sein. Darüber hinaus kann ein Cloud Access Security Broker (CASB) eingerichtet werden. Der CASB erfasst und kontrolliert die Zugriffe der Anwender auf die genutzten Cloud-Dienste. Vorab definierte Nutzungsrichtlinien können so technisch umgesetzt und überwacht werden. Außerdem kann ein CASB Daten automatisiert klassifizieren und ungewolltes Verhalten in den eigenen Cloud-Diensten (auch von dritten) identifizieren und melden. Mithilfe von Role-Based Access Control (RBAC) lassen sich je nach Rolle des Anwenders unterschiedliche Zugriffsrechte festlegen.
Darüber hinaus müssen die Daten selbst nach geltendem Recht geschützt werden. Je nach Branchen- oder Unternehmensvorgaben dürfen einige Daten z.B. nicht außerhalb der EU oder Deutschlands gespeichert oder verarbeitet werden. Außerdem bedarf es für Systeme oder Anwendungen, die ein hohes Sicherheitsniveau voraussetzen oder sensible Daten gemäß DSGVO verarbeiten, eine Verschlüsselung der Daten und Kommunikationsbeziehungen. Ein Cloud Encryption Gateway (CEG) ermöglicht es, sensible Daten vor der Übertragung in der internen Umgebung zu verschlüsseln. Von besonderer Bedeutung ist hierbei das Schlüsselmanagement, das ausschließlich unter der Kontrolle des Anwenders sein darf.
Mit Confidential Computing (CC) kommt ein weiterer Baustein hinzu, der direkt bei der Verarbeitung der Daten selbst ansetzt. Dies geschieht, indem zu verarbeitende Daten in der Cloud isoliert werden. Die gesamte Datenverarbeitung findet in einer separaten Kapsel statt, die entweder direkt auf dem Prozessorchip oder sogar über mehrere Server verteilt umgesetzt wird.
Mit immer neuen technischen Innovationen und einer sich stetig ändernden Gesetzeslage ist klar, dass Cloud Security ein andauernder Prozess ist, der nicht nur eine technische Seite hat, sondern auch in der Organisation verankert und weiterentwickelt werden muss. Es genügt nicht, die Maßnahmen einmalig aufzusetzen. Dies muss eher als ständiger Prozess gemäß PDCA (Plan-Do-Check-Act-Zyklus) verstanden werden.
