Datenschutz in der Cloud spielend einfach
Autor: Elmar Eperiesi-Beck, Gründer und CTO von eperi/gg
Software as a Service, Storage as a Service und viele andere as a Service-Modelle sind für Unternehmen eine prima Sache mit diversen Vorteilen. Junge, verteilte und agile Unternehmen etwa binden sich weniger interne IT und aufwendige Administration ans Bein und etablierte Unternehmen reduzieren den Aufwand im hauseigenen Rechenzentrum. IT, Computing und vor allem Anwendungen kommen quasi wie Strom aus der Steckdose. Möglich macht dies vornehmlich die Cloud. Die Parallele hat allerdings einen kleinen Hacken: Während Strom in den meisten Fällen ausschließlich aus der Steckdose entnommen wird, ist es bei der Cloud häufig eine bi-direktionale Beziehung. Man erhält den gebuchten Dienst – ganz ähnlich wie beim Strom – allerdings gibt man gleichzeitig etwas in die Cloud, nämlich wertvolle und sensitive Daten. Und nachdem beispielsweise das EU Cyber-Resilienz-Gesetz und die verschärfte Geschäftsführerhaftung in Kraft getreten sind, ist es für Unternehmen an der Zeit, eine vielleicht zu laxe Handhabung von Daten in der Cloud neu zu überdenken – beispielsweise mit einer datenzentrischen Verschlüsselung.
Ein häufiges Missverständnis
Nicht selten kursiert die Meinung, dass der Cloud-Provider für die Sicherheit der Daten zuständig sei. Nun ist im ersten Schritt zu klären, von welcher Art der Sicherheit gesprochen wird. Für die Sicherheit im Sinne der technischen Verfügbarkeit ist der Provider verpflichtet. Er hat vornehmlich für die Ausfallsicherheit der Systeme und Dienste sowie für die Verfügbarkeit der Daten zu sorgen. Die Sicherheit der Daten selbst obliegt dem Cloud-Nutzer, also dem Unternehmen, das die Cloud-Dienste in Anspruch nimmt. Das betrifft insbesondere den Schutz im Sinne einer Datensicherung, als auch den Schutz der Daten vor einem Zugriff von Cyberkriminellen. Einige Cloud-Anbieter haben zusätzliche Services im Portfolio, mit denen eine erweiterte Sicherheit dazugebucht und sichergestellt werden kann. Beispielsweise lassen sich die Daten in der Cloud durch den Provider verschlüsseln. Damit der Cloud-Anbieter die Daten verschlüsseln kann, müssen ihm diese jedoch in Klartext vorliegen. Bei einer solchen Vorgehensweise bleiben einige sicherheitsrelevante Fragen offen: wer kontrolliert den Schlüssel für die Verschlüsselung, wie werden die Daten auf dem Weg vom Anwender in die Cloud geschützt und wie können die immer noch bestehenden Angriffsvektoren durch die Übertragung der Klardaten in die Cloud und an den Provider eliminiert werden? Ein Beispiel einer solchen Verschlüsselung seitens des Providers ist die Microsoft Double Key Encrytion (DKE), die im Rahmen der Microsoft 365 E5 Lizenz zur Verfügung steht. Hier kann ein Unternehmen zwar davon ausgehen, dass die Verschlüsselungsalgorithmen einen sehr hohen Sicherheitsstandard etablieren, allerdings bleiben die zuvor genannten Sicherheitsbedenken bestehen. Darüber hinaus hat das DKE gravierende Nachteile für die Funktionalität. Selbst Microsoft rät zum sparsamen Einsatz dieser Verschlüsselungsfunktionalität, da beispielsweise die Suchfunktion großteils oder gänzlich eingeschränkt ist, was für den Anwender kaum akzeptabel erscheint. Ähnliches gilt auch bei Services wie etwa Teams, Sharepoint, OneDrive oder mit Diensten von anderen Cloud-Diensteanbietern wie Salesforce oder AWS.
Daten in der Cloud zu haben und für deren Schutz und die nötige Compliance zu garantieren, ist folglich komplexer im Vergleich zu einer rein firmeninternen IT-Infrastruktur, um die man theoretisch einen wirksamen und geschlossenen Schutzperimeter errichten könnte. Allerdings ist der rein interne Ansatz für kaum ein Unternehmen realistisch, denn die internationale Zusammenarbeit, Remote- und Homeoffices sowie der Zwang mancher Anwendungsanbieter, wie beispielsweise Microsoft mit Office 365 oder SAP mit S/4HANA, lassen den Unternehmen keine Wahl. Ob sie wollen oder nicht, die Cloud ist omnipräsent und es führt kein Weg daran vorbei.
Ganzheitlicher Ansatz der Datensicherheit für die Cloud
Es ist wenig erfolgversprechend, Cloud-Dienste mit einem Flickenteppich an Tools und Zusatzservices sicher für die Daten zu gestalten. Die Gefahr von Lücken zwischen den diversen Schutzmechanismen ist hoch und die kontinuierliche Entwicklung der IT kombiniert mit den steigenden Anforderungen an Flexibilität, Skalierbarkeit und Agilität sind zusätzliche Faktoren, die den Datenschutz auf klassische Art und Weise kaum möglich machen. Ergo bleibt nur die Option einer komplett durchgängigen Verschlüsselung der Daten, beginnend bei deren Entstehung, über den Transfer im Internet bis hin zum Cloud-Provider. Damit kann eine hohe Datensicherheit gewährleistet werden – unabhängig von Faktoren wie Skalierung, Technologiesprüngen, Provider-Wechsel oder veränderten gesetzlichen Anforderungen. Mit einer durchgängigen Verschlüsselung kann zu keinem Zeitpunkt ein unbefugter die Daten lesen oder missbrauchen. Entscheidend dabei ist, dass der Schlüssel für die Verschlüsselung allein beim Unternehmen liegt und keinesfalls bei einem Verschlüsselungsdienstleister oder beim Cloud-Provider.