Sysbus
ArtikelCloud

Cloud ohne Datenverschlüsselung birgt unkontrollierbare Risiken

dcg

Autor/Redakteur: Andreas Steffen, CEO bei eperi/gg

Viele Unternehmen verfolgen eine „Cloud First“-, wenn nicht sogar eine „Cloud Only“-Strategie. Laut dem Cloud-Monitor 2023 von KPMG nutzen 97 Prozent der befragten Unternehmen die Cloud. Davon setzen 82 Prozent der Unternehmen auf Cloud-Dienste verschiedener Anbieter (Multi-Cloud) und 57 Prozent verfolgen sogar eine Cloud-First-Strategie. Die Beweggründe, in die Cloud zu gehen, sind vielschichtig: Für viele ist die Senkung der IT-Kosten ein wichtiger Aspekt und laut KPMG-Studie wollen viele mit ihrer Cloud-Strategie sogar die IT-Sicherheit erhöhen. Und genau an diesem Punkt kann es kniffelig werden, denn Angriffe auf Cloud-Umgebungen von Unternehmen sind das Tagesgeschäft von Cyberkriminellen. Wie beim Katz-und-Maus-Spiel hinken Unternehmen bei dem Versuch hinterher, ihre Daten vor Angriffen zu schützen. Über verschiedene Methoden gelangen Cyberkriminelle immer wieder auf Cloud-Ressourcen, wo sie sich bedienen oder Schaden anrichten. Worst case: Die Angreifer gelangen an sensible und schützenswerte Daten, für die sie Lösegeld fordern und die sie auf dunklen Kanälen weiter veräußern. Damit hat das Unternehmen nicht nur mit der Wiederherstellung von Daten zu kämpfen, sondern muss sich zudem vor Behörden rechtfertigen, die mit potenziell hohen Strafen aufwarten.

Quelle: eperi

Die Liste der Unternehmen, die davon bereits betroffen waren, ist lang und wird immer länger. Manager sollten sich überlegen, ob sie ihr Unternehmen schon bald ebenso auf dieser Liste steht – oder ob sie vielleicht bereits zu denjenigen gehören, deren Cloud-Daten beim Microsoft-Hack und dem Diebstahl des zentralen Signatur-Schlüssels kompromittiert wurden. Keines davon ist eine gute Option.

Pflicht zum Schutz

Wenn Unternehmen die Cloud ohne die gebotenen Sicherheitsmaßnahmen nutzen, ist das ähnlich wie Autofahren ohne Sicherheitsgurt: vielleicht passiert eine Zeit lang nichts, aber wenn es kracht, dann wird es richtig schlimm. Und es ist fahrlässig. Denn Fakt ist, dass Unternehmen laut DSGVO und diversen weiteren Regularien verpflichtet sind, ihre Daten vor unautorisiertem Zugriff zu schützen – völlig unabhängig davon, ob die Daten im eigenen Rechenzentrum oder in der Cloud sind. Übrigens, die Haftung dafür trägt schlussendlich die Geschäftsleitung eines jeden Unternehmens und mit dem aktuellen Haftungsgesetz für Geschäftsführer, Vorstände oder Aufsichtsräte sogar persönlich. Zusätzlich haben die NIS2-Richtlinien der EU die Anforderungen an die nötige Cybersecurity und den Datenschutz nochmals intensiviert. Doch wie kann man der Datensicherheit und dem Schutz der Informationen, die in der Cloud gespeichert sind, trauen und was genau muss dafür unternommen werden?

Konsequente Verschlüsselung anstatt Perimetersicherheit

Während viele Unternehmen den internen Schutz ihrer Daten mit klassischen Security-Tools realisieren, birgt die Cloud ihre ganz eigenen Tücken. Erstens besteht oft Unklarheit darüber, wer für den Datenschutz in der Cloud verantwortlich ist; es ist faktisch das Unternehmen, das die Clouddienste in Anspruch nimmt. Zweitens – und das ist der wesentlich wichtigere Aspekt – wird der Datenschutz vielfach nur auf die Daten in der Cloud angewandt, jedoch nicht auf dem Weg dorthin. Dabei gilt es die Daten vor allem auf dem Weg von A nach B vor virtuellen Wegelagerern zu schützen. Zudem birgt die Nutzung der nativen Verschlüsselungslösungen der Cloud-Anbieter eine zusätzliche Gefahr: Denn zur Verschlüsselung der Daten müssen diese dem Cloud-Provider auch in Klartext vorliegen. Damit geben Unternehmen den Schutz ihrer Daten defacto außer Haus. Sie sind nicht alleiniger Herr ihrer Daten und des angestrebten Schutzes. Das kann zu einem Problem werden, wenn Hacker wie beispielsweise kürzlich bei Microsoft, den zentralen Schlüssel stehlen und damit Zugang zu nahezu allen Kundendaten des Providers haben. Drittens kann die Konfiguration von Clouddiensten sehr komplex sein und bereits kleinste Konfigurationsfehler können gravierende Sicherheitslücken nach sich ziehen. Die Lösung: Unternehmen, die ihre Daten konsequent und mit einem allein von ihnen kontrollierten Tool verschlüsseln, haben die Gewissheit, dass mit den Daten in der Cloud oder auf dem Weg dorthin nichts passieren kann. Zwar wäre etwa bei einem Konfigurationsfehler oder bei einem Hack auf den Provider der Datendiebstahl weiterhin möglich, aber die Daten wären dann für die Cyberkriminellen vollkommen nutzlos, weil sie verschlüsselt sind.

Aspekte auf die Unternehmen für eine wirksame Datenverschlüsselung in der Cloud achten sollten

  1. Durchgängige Verschlüsselung: Unternehmen sollten sicherstellen, dass alle Daten durchgängig verschlüsselt sind. Beispielsweise sorgt ein Verschlüsselungs-Tool dafür, dass die Daten nicht nur in der Cloud, sondern auch auf dem Weg verschlüsselt sind. Damit ist garantiert, dass niemals Klardaten außerhalb des Unternehmens vorhanden sind.
  2. Kompatibilität mit der IT-Umgebung: Um eine durchgängige Sicherheit für Daten in der Cloud zu gewährleisten ist es von entscheidender Bedeutung, dass eine Verschlüsselungstechnologie unabhängig und damit kompatibel zu jeglicher bestehenden IT-Infrastruktur und Anwendungsumgebung ist. Mit einem Gateway stellen Unternehmen sicher, dass Anwendungen wie etwa SharePoint, Microsoft 365 oder ERP/CRM-Lösungen keine Ausnahmen erfordern, bei denen Daten unverschlüsselt in die Cloud gelangen.
  3. Uneingeschränkte Nutzbarkeit der Daten: Eine reine Datenverschlüsselung schränkt unweigerlich die Nutzbarkeit der Daten ein, beispielsweise bei der Suche nach Inhalten. Gute Verschlüsselungs-Tools verschlüsseln die Daten nicht nur, sie legen gleichzeitig einen Index an. Diese Pseudonymisierung verhindert, dass Klardaten in fremde Hände gelangen, erlaubt jedoch weiterhin die Nutzung wichtiger Funktionalitäten.
  4. Geringe Komplexität: Während viele klassische Security-Lösungen die Ressourcen der Administratoren kontinuierlich belasten, muss eine Verschlüsselungstechnologie für die Cloud unauffällig im Hintergrund laufen. Das ist beispielsweise der Fall, wenn das Verschlüsselungs-Tool im Unternehmen als unkomplizierter Proxy eingerichtet und betrieben werden kann. Firmen, welche darüber hinaus Ressourcen einsparen wollen, können ein solches Tool komplett als Service von einem spezialisierten IT-Dienstleister bereitstellen lassen.
  5. Verschlüsselung für Multi- und Hybrid Cloud: Verschlüsselungstechnologien sind zumeist speziell für einen dedizierten Clouddienst angelegt. Fakt ist allerdings, dass Unternehmen oft diverse Clouddienste von unterschiedlichen Anbietern in Anspruch nehmen. Um die Komplexität und Administration nicht zusätzlich zu erhöhen, sollten Unternehmen darauf achten, dass die Cloud-Verschlüsselungslösung alle Szenarien bedienen und flexibel an die Datenschutz-Vorgaben angepasst werden kann.

Fazit

Eine Möglichkeit der rechtskonformen Datenverarbeitung in der Cloud ist die Datenverschlüsselung. Laut KuppingerCole sind derzeit diverse Verschlüsselungslösungen für Cloud-Daten auf dem Markt. Nach Einschätzung der Analysten setzen allerdings nur wenige den von der DSGVO geforderten Grundsatz vollständig um und stellen sicher, dass ausschließlich derjenige, der seine Daten in der Cloud speichert, die Kontrolle über deren Verschlüsselung hat. Eine geeignete Lösung muss die Daten verschlüsseln, bevor diese an die Cloud übertragen werden und sie darf dem Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf Schlüssel und Verschlüsselung gewähren. Eine Verschlüsselungs-Lösung via Gateway wie von eperi bietet eine für den Anwender vollständige Transparenz, die Beibehaltung gewohnter und effizienter Arbeitsabläufe sowie den Erhalt wichtiger Anwendungsfunktionen wie etwa Suche, Sortierung und Kollaboration. Zusammengefasst bedeutet dies: Jedes Unternehmen kann mit einem Verschlüsselungs-Gateway die Vorteile der Cloud nutzen und läuft nicht Gefahr, bei einem Hack sensible Daten an Cyberkriminelle zu verlieren.

Ähnliche Beiträge:

  1. Datenschutz in der Cloud spielend einfach
  2. Gemalto ermöglicht Serviceanbietern sicheres Key Management in der Cloud
  3. Cloud-Technologien: Die allgegenwärtige IT
  4. Datenklau und Co: Wären Ihre Daten im Ernstfall sicher?

Das könnte dir auch gefallen

Verantwortungsvoller Umgang mit Künstlicher Intelligenz – was Ethik, Erklärbarkeit und Effizienz mit einem Film aus den 80ern zu tun haben

gg

Bomgar Secure Cloud für Remote Support jetzt in Europa verfügbar

gcg

Revolution im Wissensmanagement: Warum Unternehmen jetzt in KI-basierte Systeme investieren sollten

gg