{"id":19721,"date":"2021-10-11T11:11:00","date_gmt":"2021-10-11T09:11:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19721"},"modified":"2021-09-20T10:22:07","modified_gmt":"2021-09-20T08:22:07","slug":"die-groessten-missverstaendnisse-der-cloud-security-werden-wir-mit-zertifizierungen-und-labeln-geblendet","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19721","title":{"rendered":"Die gr\u00f6\u00dften Missverst\u00e4ndnisse der Cloud-Security – Werden wir mit Zertifizierungen und Labeln geblendet?"},"content":{"rendered":"\n

Autor\/Redakteur: Matthias Bollwein, Mitgr\u00fcnder des IT-Startups Uniki<\/a>\/gg<\/p>\n\n\n\n

Gibt man in eine Suchmaschine den Begriff \u201eCloud-Anbieter\u201c ein, werden \u00fcber 40 Millionen Suchergebnisse angezeigt. Unternehmen, die einen neuen Cloud-Dienst einf\u00fchren m\u00f6chten, haben die Qual der Wahl und sind einer kaum bezwingbaren Informationsflut ausgesetzt. Ein Thema, das dabei seit jeher im Fokus steht: Sicherheit. Doch wie erkennt man einen Cloud-Anbieter, der gerade bei dieser sensiblen Materie transparent, kompetent und dauerhaft zuverl\u00e4ssig agiert? Um eine vertrauensvolle Basis zu schaffen, verweisen viele Cloud-Dienste auf ihre ISO-Zertifizierung oder werben mit bestimmten G\u00fctesiegeln. Doch es ist nicht alles Gold was gl\u00e4nzt. Wie verl\u00e4sslich, unabh\u00e4ngig und vor allem sicherheitsrelevant sind diese Auszeichnungen wirklich? Ein Leitfaden f\u00fcr mehr Verst\u00e4ndnis bei Kaufentscheidungen von Cloud-L\u00f6sungen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Uniki<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Sicherheit in der Cloud \u2013 selbst f\u00fcr Experten schwer absch\u00e4tzbar<\/strong><\/p>\n\n\n\n

Vornweg ist es elementar zu erw\u00e4hnen, dass Sicherheit im Kontext der Cloud verschiedene Auspr\u00e4gungen hat. Soll die Gesamtsicherheit einer Cloud-L\u00f6sung bewertet werden, ist dies f\u00fcr Au\u00dfenstehende, selbst f\u00fcr IT-Experten, nicht l\u00fcckenlos m\u00f6glich. Denn einige Segmente bleiben f\u00fcr Externe verschlossen – beispielsweise der Code einer Cloud-Anwendung, das Betriebssystem oder gar Teile eines offiziellen Audits. Einzig und allein Open Source Cloud-Anwendungen kann vollst\u00e4ndige Transparenz attestiert werden, da der gesamte Quellcode frei zug\u00e4nglich ist und einer gro\u00dfen Entwickler-Community zur \u00dcberpr\u00fcfung und Verbesserung zur Verf\u00fcgung gestellt wird.<\/p>\n\n\n\n

Was macht sicheres Cloud Computing aus?<\/strong><\/p>\n\n\n\n

Unterschieden werden kann insbesondere in drei sicherheitsrelevante Aspekte, von welchem kein einziger vernachl\u00e4ssigt werden darf, wenn das Sicherheits-Niveau hochgehalten werden soll: Informations- beziehungsweise Datensicherheit, Ausfallsicherheit und Rechtssicherheit einer Cloud-L\u00f6sung. Teilweise sind die Punkte miteinander verzahnt. Jeder einzelne Aspekt kann jedoch schwerwiegende Konsequenzen nach sich ziehen, wenn er seitens des Anbieters mangelhaft umgesetzt wurde: Ob Abmahnungen und Bu\u00dfgelder, Arbeits- oder Produktionsstillstand oder unwiederbringbarer Verlust aller Unternehmensdaten. Wichtig zu merken: Die Basis f\u00fcr obige vier Sicherheitspunkte wird durch die interne Qualit\u00e4tssicherung des jeweiligen Cloud-Anbieters geschaffen – Die Basis!<\/p>\n\n\n\n

Darauf verlassen sich Unternehmen<\/strong><\/p>\n\n\n\n

Neben gro\u00dfen Markennamen sind ISO-Zertifizierung und Siegel bei Unternehmensentscheidern positiv besetzt, da diese Kompetenz und Wertigkeit suggerieren. Der grundlegende Ansatz hinter Zertifikaten ist, dass ein Cloud-Anbieter einen fest definierten Anforderungskatalog umsetzt und anschlie\u00dfend ein Audit einer unabh\u00e4ngigen Pr\u00fcfstelle erfolgt. Doch auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) mahnt, dass die Aussagekraft des Zertifikats betrachtet werden muss, um sicherzugehen, dass firmeninterne Anforderungen eingehalten werden k\u00f6nnen.<\/p>\n\n\n\n

Wichtig ist in diesem Zusammenhang auch: Anders als bei genormten ISO-Zertifikaten werden einige Cloud-Siegel ohne unabh\u00e4ngigen Audit vergeben und basieren auf einer Selbstauskunft des Anbieters. Ein Beispiel daf\u00fcr ist das beliebte Label \u201eTrusted Cloud\u201c. Zum einen stellen diese ausschlie\u00dflich eine Momentaufnahme dar und zum anderen findet in solch einem Fall nur eine sogenannte Plausibilit\u00e4tspr\u00fcfung statt \u2013 der Anbieter wurde also nicht auf Herz und Nieren gepr\u00fcft.<\/p>\n\n\n\n

Das bekannteste Zertifikat ISO 27001 – Was besagt es?<\/strong><\/p>\n\n\n\n

Hinter ISO 27001 verbirgt sich eine internationale Norm, die einem Cloud-Anbieter ein bestimmtes Niveau an Informationssicherheit zutraut. Was die Pr\u00fcfstelle dabei unter die Lupe nimmt ist, ob beim jeweiligen Cloud-Anbieter ein strukturiertes, internes Informationssicherheits-Managementsystem (ISMS) vorliegt und Sicherheitsrisiken und -vorf\u00e4lle ausreichend analysiert und behandelt werden. Um es differenziert zu betrachten: Die Qualit\u00e4tssicherung und interne Prozesse sind Bewertungsgegenstand, nicht aber die tats\u00e4chliche technische Ausgereiftheit der Cloud-L\u00f6sung unter Einbezug aktueller IT-sicherheitsrelevanter Entwicklungen. Ein Beispiel f\u00fcr letztes w\u00e4re etwa eine Beurteilung des Schutzmechanismus vor DDos Attacken.<\/p>\n\n\n\n\n\n\n\n

Keine Aussagekraft \u00fcber tats\u00e4chliche Sicherheitsl\u00fccken<\/strong><\/p>\n\n\n\n

Dass die Sicherheitsmanagementbeurteilung nur eine Seite der Medaille darstellt, zeigen auch aktuelle Sicherheitsvorf\u00e4lle ISO-27001-zertifizierter Unternehmen. F\u00fcr gro\u00dfe Kritik unter IT-Experten sorgte etwa im August 2021 die \u201eProxyShell-Schwachstelle\u201c von Exchange Servern. Wie heise.de berichtete, wurden innerhalb von 48 Stunden \u00fcber 1.900 Systeme von Angreifern \u00fcbernommen. Und das, obwohl ein renommierter Sicherheitsforscher vor solch neuen Angriffsmethoden gewarnt hatte. Die Auswirkungen? Serverausf\u00e4lle. Ein normiertes Qualit\u00e4tsmanagement f\u00fchrt dementsprechend nicht zwingend zu zufriedenstellender Ausfallsicherheit.<\/p>\n\n\n\n

Qualit\u00e4tsmanagement hervorragend \u2013 Rechtssicherheit mangelhaft?<\/strong><\/p>\n\n\n\n

Rechtssicherheit beim Einsatz einer Cloud L\u00f6sung bewahrt Unternehmen vor Abmahnungen, Bu\u00dfgeldern und einem kostspieligen nachtr\u00e4glichen Umzug zu einem alternativen Anbieter. Unter den Aspekt der Rechtssicherheit f\u00e4llt beispielsweise die revisionssichere Archivierung von E-Mails, aber vor allem auch Datenschutz nach europ\u00e4ischen Standards. Leider gibt es in diesem klar abgrenzbaren Bereich noch immer kein EU-weit anerkanntes Erkennungszeichen f\u00fcr Cloud-Dienste. Fakt ist, dass auch eine Zertifizierung nach ISO 27001 kein Garant f\u00fcr DSGVO-Konformit\u00e4t des Anbieters darstellt. Auf der sicheren Seite sind Unternehmen, die im Vorhinein abkl\u00e4ren, ob es sich bei dem gew\u00fcnschten Cloud-Anbieter um einen Dienstleister mit Hauptsitz in der EU handelt, der die Daten auch ausschlie\u00dflich innerhalb der EU speichert und verarbeitet.<\/p>\n\n\n\n

Mehr Verst\u00e4ndnis f\u00fcr IT-Laien und unabh\u00e4ngige Experten<\/strong><\/p>\n\n\n\n

Neben Kosten, Innovationskraft, Leistungsf\u00e4higkeit und Integrierbarkeit, fallen Sicherheitskriterien im Auswahlprozess eines Cloud-Dienstes stark ins Gewicht. Dennoch ist gerade dieser, f\u00fcr Unternehmen gesch\u00e4ftskritische Bereich, von mangelhafter Transparenz und Greifbarkeit gepr\u00e4gt. Vor allem IT-Laien lassen sich dabei leicht in die Irre f\u00fchren. Vollst\u00e4ndige Transparenz w\u00e4re jedoch nur mit immensen Kosten und Aufwand durch unabh\u00e4ngige Pr\u00fcfinstanzen m\u00f6glich, die alle Sicherheitss\u00e4ulen betrachten \u2013 Stand jetzt, ein Ding der Unm\u00f6glichkeit. Unternehmen auf der Suche nach einer neuen Cloud-L\u00f6sung sollten sich vor allem Rat von unabh\u00e4ngigen Experten einholen, sich \u00fcber Inhalte und Aussagekraft von Zertifizierungen und Labeln, vorangegangene Sicherheitsvorf\u00e4lle der Anbieter, sowie deren Ort der Datenlagerung gr\u00fcndlich informieren. Jedoch muss dem jeweiligen Cloud-Anbieter letzten Endes dennoch ein gewisses Restvertrauen geschenkt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Gibt man in eine Suchmaschine den Begriff \u201eCloud-Anbieter\u201c ein, werden \u00fcber 40 Millionen Suchergebnisse angezeigt. Unternehmen, die einen neuen Cloud-Dienst einf\u00fchren m\u00f6chten, haben die Qual der Wahl und sind einer kaum bezwingbaren Informationsflut ausgesetzt. Ein Thema, das dabei seit jeher im Fokus steht: Sicherheit. Doch wie erkennt man einen Cloud-Anbieter, der gerade bei dieser sensiblen Materie transparent, kompetent und dauerhaft zuverl\u00e4ssig agiert? Um eine vertrauensvolle Basis zu schaffen, verweisen viele Cloud-Dienste auf ihre ISO-Zertifizierung oder werben mit bestimmten G\u00fctesiegeln. Doch es ist nicht alles Gold was gl\u00e4nzt. Wie verl\u00e4sslich, unabh\u00e4ngig und vor allem sicherheitsrelevant sind diese Auszeichnungen wirklich? Ein Leitfaden f\u00fcr mehr Verst\u00e4ndnis bei Kaufentscheidungen von Cloud-L\u00f6sungen.<\/p>\n","protected":false},"author":1,"featured_media":19723,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[490,6257,5199,175,1027,15269,15270,14935,2702],"class_list":["post-19721","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bsi","tag-cloud","tag-iso","tag-microsoft","tag-open-source","tag-proxyshell","tag-trusted-cloud","tag-uniki","tag-zertifizierung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19721"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19721\/revisions"}],"predecessor-version":[{"id":19724,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19721\/revisions\/19724"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19723"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}