Cloud-Security: Verantwortlichkeit und Auswahlkriterien

Jahr um Jahr verkündet der Branchenverband Bitkom in seinem Cloud Monitor die zunehmende Akzeptanz von Cloud-Computing. In der repräsentativen Umfrage von 2019 [1] gaben über 70 % der befragten Unternehmensentscheider an, Cloud-Dienste zu nutzen – nur 8 % wollen auch künftig ganz auf die Cloud verzichten, 16 % denken derzeit über die Einführung nach.

Dabei halten sich Sicherheitsbedenken hartnäckig: Auf die Frage, welches die größten Hemmnisse auf dem Weg in die Cloud sind, drehen sich die vier häufigsten Antworten um die Themen Datenschutz und Rechtslage: Mehr als 70 % der Unternehmen, die noch keine Cloud im Einsatz haben, fürchten sich vor unberechtigtem Zugriff auf ihre sensiblen Daten, 64 % befürchten gar Datenverlust. 51 % der Befragten sind sich unsicher hinsichtlich der bestehenden Rechtslage und für ebenfalls rund die Hälfte der Entscheider spricht die Rechtslage sogar konkret gegen die Einführung von Cloud-Diensten.

Und auch Unternehmen, die Cloud-Services nutzen, wissen von Security-Herausforderungen zu berichten. Zwar vertrauen laut der Bitkom-Studie immer mehr Unternehmen der Cloud auch sensible Daten an (wie etwa personenbezogene Kundendaten) und nutzen sie für den Betrieb geschäftskritischer Anwendungen. Gleichzeitig geben mehr als ein Drittel an, bei der Integration der Cloud-Lösungen Schwierigkeiten bei der Umsetzung der eigenen Security-Anforderungen gehabt zu haben. Zusätzlich brisant: Nur etwas mehr als die Hälfte der Unternehmen hat, laut den Angaben der Befragten, ein Sicherheitskonzept für ihre Cloud-Anwendungsszenarien. Dabei nahm die Anzahl der datenschutzrelevanten Vorfälle insgesamt im Vergleich zum Vorjahr zu – übrigens ganz unabhängig davon, wo die Daten letztlich gespeichert waren.

„Die Cloud“ kann dabei vieles sein, wie die hinlänglich bekannten Kategorisierungen von IaaS, PaaS bis SaaS, von Private-, Public- bis hin zu Hybrid- und Multi-Cloud beweisen. Darüber hinaus macht auch die Integration in eine bereits bestehende IT-Infrastruktur und in etablierte Businessprozesse die Umsetzung von Sicherheitskonzepten schwierig. Es geht ja nicht nur um einen neuen Teil Infrastruktur oder einen neuen Software-Service, sondern um die Zusammenarbeit mit einem externen Provider und die Anbindung von Diensten außerhalb der eigenen Netzwerkgrenzen. Das hat weitreichende Folgen für Sicherheitsmaßnahmen, wie etwa Zugangskontrollen und Identity-Management, oder die rechtskonforme Datenverwaltung. Wer – Unternehmen oder Provider – ist für welche Maßnahmen verantwortlich oder gar haftbar?

Qualitätskriterien

Zu den Hauptaufgaben eines Cloud-Providers zählt es beispielsweise, mit geeigneten Maßnahmen Datenverluste möglichst zu verhindern. Dass sie dies effektiv und auf einem hohen Niveau umsetzen können, weil das Geschäft mit IT-Services ihr Kernbusiness ist und sie die Kosten dafür auf mehrere Kunden verteilen können, ist bekannt. Für die Kunden stellt die Cloud-Infrastruktur zwar eine virtuelle IT dar, natürlich besteht sie aber aus physischen Elementen im Rechenzentrum des Providers und muss dementsprechend zunächst auch physisch geschützt werden. Entrance-Security in Form mehrstufiger Zugangskontrollen sowie Sicherheitspersonal sollten bei jedem Provider zum Standard gehören. Zudem gewährleistet mehrfach redundante Auslegung der Hardware, im Sinne von doppelter Datenhaltung und Georedundanz (s. a. S. 65), dass das Risiko von Datenverlust aufgrund infrastruktureller Probleme minimiert wird.

Eine Zertifizierung nach ISO 27001 stellt sicher, dass ein Cloud-Anbieter den BSI-Grundschutz-Vorgaben entspricht und von einem unabhängigen Auditor geprüft wurde. Präventive Maßnahmen, wie beispielsweise Intrusion Detection oder -Prevention sollten ebenfalls zur Mindestausstattung einer Cloud gehören. Zusätzlich sind geeignete Authentifizierungsmechanismen, je nach Bedarf mehr oder weniger aufwendige Verschlüsselungsverfahren und die Trennung der Cloud-Infrastruktur von anderen Kunden probate Mittel, um die Sicherheitsrisiken von vornherein zu senken.

Darauf setzen überwachende Kontrollen auf, die zur Laufzeit die Infrastruktur und den Datenverkehr auf Unregelmäßigkeiten hin überprüfen. So lassen sich unter anderem Performance-Schwankungen oder Denial-of-Service-Attacken bestenfalls bereits frühzeitig erkennen und die entsprechenden Notfallprozesse einleiten. Korrektive Kontroll- und Post-Mortem-Analyse-Prozesse sorgen dafür, dass bei Bedarf Backups eingespielt werden oder sicherheitsgefährdenden Vorfällen auf den Grund gegangen wird. Cloud-Provider können und sollten diese Maßnahmen für den Cloud-Teil der Infrastruktur bereitstellen.

Gerade spezialisierte und lokale Anbieter, die keine eigenen Rechenzentren betreiben, müssen zudem ihre RZ-Dienstleister ausgiebig prüfen – und tun das auch, schließlich stehen sie Kunden gegenüber in der Verantwortung. Aber auch die Cloud-Kunden selbst sind in der Pflicht, in ihrem eigenen Netzwerk und auf den Arbeitsplatzrechnern entsprechende Security-Maßnahmen zu ergreifen.

Ebenfalls in der Verantwortung des Providers liegt es, das erwähnte Sicherheitspersonal sensibel auszuwählen – mögliche Arbeitnehmer sollten vor der Einstellung überprüft werden. Riskant kann es beispielsweise sein, wenn jemand zuvor für die Konkurrenz tätig war. Hierfür gibt es validierte Standards, wie etwa ISAE 3000 (International Standards on Assurance Engagements), mit dem sich die Wirksamkeit interner Kontrollen überprüfen lässt. Den Zugriff des eigenen Personals auf die Daten der Kunden möglichst zu beschränken, ist ebenfalls ein wichtiger Bestandteil eines umfassenden Identity-Management-Konzepts.

Identity-Management (IDM) ist zwar keine cloudspezifische Aufgabe, bekommt hier aber eine andere Ausprägung: Die Verwaltung und Pflege von Benutzerkonten und Ressourcen umfasst zugleich das Management der Berechtigungen – eine virtuelle Infrastruktur wie die Cloud gehört dabei selbstverständlich dazu. Besonders wenn einzelne Services aus der Cloud genutzt werden, sind mehrstufige Authentifizierungsverfahren wichtig; Zwei- oder Mehr-Faktor-Authentifizierung sollte zum Standard bei Cloud-Services jeder Art gehören. Und auch die Definition von Rollen und Berechtigungskonzepten ist Teil des IDM, um gerade in Cloud-Umgebungen festzulegen, wer auf welche Daten zugreifen darf und wer nicht. Für die Umsetzung solcher Maßnahmen sind die Unternehmen selbst verantwortlich – sie sollten hier aber eng mit ihrem Cloud-Provider zusammenarbeiten.

Gesetze, Standards & Co.

Nicht zuletzt die komplexe Rechtslage macht das Thema Cloud-Security zur Herausforderung. Unternehmen sind sich dabei ihrer Verantwortung sehr wohl bewusst: 90 % nannten in der eingangs zitierten Studie die Konformität mit der EU-Datenschutzgrundverordnung (DSGVO) als Hauptkriterium für die Wahl eines Cloud-Providers – schließlich ist die Regelung für alle Unternehmen innerhalb der EU bindend, also auch für Cloud-Provider und ihre Kunden, und Verstöße können und werden mit empfindlichen Bußgeldern geahndet.

So wurde beispielsweise das Immobilienunternehmen Deutsche Wohnen vor wenigen Monaten öffentlichkeitswirksam zur Zahlung von mehr als 14 Millionen Euro Bußgeld aufgefordert: Das Archivsystem des Unternehmens sei widerrechtlich nicht in der Lage, nicht mehr benötigte Daten zu löschen – eine zweijährige Frist zur Behebung des Mangels hatte die Deutsche Wohnen verstreichen lassen. Dieses Beispiel zeigt eindrücklich, dass Unternehmen die Sicherstellung der erforderlichen Vorkehrungen rund um die DSGVO-Verantwortung nicht nur ihrem Provider allein überlassen können.

Während die DSGVO grundsätzlicher Natur ist, gibt es zahlreiche weitere, sinnvolle Standards und Zertifizierungsmöglichkeiten, die cloudspezifischer sind: Der ISO-Standard 27018 „Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors“ (eine Erweiterung der ISO 27001) empfiehlt etwa geeignete Maßnahmen für den Schutz personenbezogener Daten in der Cloud – rechtlich vorgeschrieben ist sie im Gegensatz zur DSGVO jedoch nicht.

Mit der „Cloud Control Matrix“ (CCM, [2]) stellt die Cloud Security Alliance (CSA) Informationen, Maßnahmen und Prüfmechanismen zur Verfügung, mit der Unternehmen Cloud-Risiken besser abschätzen können sollen. Die CSA ist eine Non-Profit-Organisation, welche die Erforschung von Best-Practices zur Absicherung von Cloud-Umgebungen fördert – zahlreiche Cloud-Service-Anbieter aller Ebenen bringen sich hier ein.

Mit dem Cloud Computing Compliance Controls Catalogue (kurz C5, [3]) stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls ein umfassendes Werk vor, das sich in der Praxis bereits gut etabliert hat. Es legt fest, welche Anforderungen professionelle Cloud-Dienstleister mindestens erfüllen müssen, und kümmert sich zugleich um das Umfeld der Cloud. Angaben zu Datenlokation, zur Diensterbringung, zum Gerichtsstandort und zu Offenbarungspflichten gegenüber staatlichen Stellen fließen in eine Beurteilung mit ein.

Gütesiegel „Trusted Cloud“

Als wichtige Orientierungshilfe hat sich in Deutschland auch das Gütesiegel „Trusted Cloud“ etabliert. Mit der vom Bundesministerium für Wirtschaft und Energie (BMWi) initiierten Trusted-Cloud-Zertifizierung gibt das gleichnamige Kompetenznetzwerk aus unabhängigen Vertretern von Verbänden, Wirtschaft und Wissenschaft einen unabhängigen Überblick zu vertrauenswürdigen Cloud-Services im Markt (www.trusted-cloud.de). Der Zertifizierung geht ein umfangreicher Auditierungsprozess der Anbieter hinsichtlich Qualität, Sicherheit und Rechtskonformität der angebotenen Cloud-Lösungen voraus. Rechenzentren im Inland, die strenge Einhaltung hiesiger Datenschutzbestimmungen und eine Vertragsgestaltung nach deutschem Recht sind dabei genauso wichtige Prüfkriterien wie die Ausgestaltung der Service-Level-Agreements (SLAs) sowie aller technischen und organisatorischen Maßnahmen im operativen täglichen Geschäftsbetrieb.

Aktuelle Entwicklung: Europa-Cloud

Wenn von Datenschutz und Datensicherheit vor allem im rechtlichen Sinne die Rede ist, spielt es nach wie vor eine Rolle, wo der Cloud-Provider als Unternehmen ansässig ist. Auch wenn die DSGVO hier teilweise Klärung schafft (DSGVO-Konformität ist bei amerikanischen Cloud-Anbietern nicht immer gegeben), bleibt das Thema doch komplex. Folgerichtig passt hier die Initiative für eine europäische Cloud „Gaia X“ der Bundesregierung ins Bild (siehe www.daten-infrastruktur.de), die mehr Unabhängigkeit von US-Anbietern schaffen soll – für mehr Sicherheit in der Cloud ein Schritt in die richtige Richtung.

Henrik Hasenkamp ist CEO des Infrastructure- und Platformas-a-Service-Anbieters gridscale GmbH.

Literatur

[1] Dr. Axel Pols, Marko Vogel, Cloud-Monitor 2019, Eine Studie von Bitkom Research im Auftrag von KPMG, Vortragsfolien, Juni 2019, www.bitkom.org/sites/default/files/2019-06/bitkom_kpmg_pk_charts_cloud_monitor_18_06_2019.pdf – Studie verfügbar via https://hub.kpmg.de/cloud-monitor-2019 (Registrierung erforderlich)
[2] Cloud-Security Alliance, Cloud Controls Matrix (CCM), Version v3.0.1, März 2019, verfügbar via https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v3-0 -1/ (Registrierung erforderlich)
[3] Bundesamt für Sicherheit in der Informationstechnik, Anforderungskatalog Cloud Computing (C5), Kriterien zur Beurteilung der Informationssicherheit von CloudDiensten, www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html