{"id":26003,"date":"2024-01-29T10:07:29","date_gmt":"2024-01-29T09:07:29","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=26003"},"modified":"2024-01-22T10:35:20","modified_gmt":"2024-01-22T09:35:20","slug":"cloud-ohne-datenverschluesselung-birgt-unkontrollierbare-risiken","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=26003","title":{"rendered":"Cloud ohne Datenverschl\u00fcsselung birgt unkontrollierbare Risiken"},"content":{"rendered":"\n

Autor\/Redakteur: Andreas Steffen, CEO bei eperi<\/a>\/gg<\/p>\n\n\n\n

Viele Unternehmen verfolgen eine \u201eCloud First\u201c-, wenn nicht sogar eine \u201eCloud Only\u201c-Strategie. Laut dem Cloud-Monitor 2023 von KPMG<\/a> nutzen 97 Prozent der befragten Unternehmen die Cloud. Davon setzen 82 Prozent der Unternehmen auf Cloud-Dienste verschiedener Anbieter (Multi-Cloud) und 57 Prozent verfolgen sogar eine Cloud-First-Strategie. Die Beweggr\u00fcnde, in die Cloud zu gehen, sind vielschichtig: F\u00fcr viele ist die Senkung der IT-Kosten ein wichtiger Aspekt und laut KPMG-Studie wollen viele mit ihrer Cloud-Strategie sogar die IT-Sicherheit erh\u00f6hen. Und genau an diesem Punkt kann es kniffelig werden, denn Angriffe auf Cloud-Umgebungen von Unternehmen sind das Tagesgesch\u00e4ft von Cyberkriminellen. Wie beim Katz-und-Maus-Spiel hinken Unternehmen bei dem Versuch hinterher, ihre Daten vor Angriffen zu sch\u00fctzen. \u00dcber verschiedene Methoden gelangen Cyberkriminelle immer wieder auf Cloud-Ressourcen, wo sie sich bedienen oder Schaden anrichten. Worst case: Die Angreifer gelangen an sensible und sch\u00fctzenswerte Daten, f\u00fcr die sie L\u00f6segeld fordern und die sie auf dunklen Kan\u00e4len weiter ver\u00e4u\u00dfern. Damit hat das Unternehmen nicht nur mit der Wiederherstellung von Daten zu k\u00e4mpfen, sondern muss sich zudem vor Beh\u00f6rden rechtfertigen, die mit potenziell hohen Strafen aufwarten.<\/p>\n\n\n\n

\"\"
Quelle: eperi<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Liste der Unternehmen, die davon bereits betroffen waren, ist lang und wird immer l\u00e4nger. Manager sollten sich \u00fcberlegen, ob sie ihr Unternehmen schon bald ebenso auf dieser Liste steht – oder ob sie vielleicht bereits zu denjenigen geh\u00f6ren, deren Cloud-Daten beim Microsoft-Hack und dem Diebstahl des zentralen Signatur-Schl\u00fcssels kompromittiert wurden. Keines davon ist eine gute Option.<\/p>\n\n\n\n

Pflicht zum Schutz<\/strong><\/p>\n\n\n\n

Wenn Unternehmen die Cloud ohne die gebotenen Sicherheitsma\u00dfnahmen nutzen, ist das \u00e4hnlich wie Autofahren ohne Sicherheitsgurt: vielleicht passiert eine Zeit lang nichts, aber wenn es kracht, dann wird es richtig schlimm. Und es ist fahrl\u00e4ssig. Denn Fakt ist, dass Unternehmen laut DSGVO und diversen weiteren Regularien verpflichtet sind, ihre Daten vor unautorisiertem Zugriff zu sch\u00fctzen – v\u00f6llig unabh\u00e4ngig davon, ob die Daten im eigenen Rechenzentrum oder in der Cloud sind. \u00dcbrigens, die Haftung daf\u00fcr tr\u00e4gt schlussendlich die Gesch\u00e4ftsleitung eines jeden Unternehmens und mit dem aktuellen Haftungsgesetz f\u00fcr Gesch\u00e4ftsf\u00fchrer, Vorst\u00e4nde oder Aufsichtsr\u00e4te sogar pers\u00f6nlich. Zus\u00e4tzlich haben die NIS2-Richtlinien der EU die Anforderungen an die n\u00f6tige Cybersecurity und den Datenschutz nochmals intensiviert. Doch wie kann man der Datensicherheit und dem Schutz der Informationen, die in der Cloud gespeichert sind, trauen und was genau muss daf\u00fcr unternommen werden?<\/p>\n\n\n\n

Konsequente Verschl\u00fcsselung anstatt Perimetersicherheit<\/strong><\/p>\n\n\n\n

W\u00e4hrend viele Unternehmen den internen Schutz ihrer Daten mit klassischen Security-Tools realisieren, birgt die Cloud ihre ganz eigenen T\u00fccken. Erstens besteht oft Unklarheit dar\u00fcber, wer f\u00fcr den Datenschutz in der Cloud verantwortlich ist; es ist faktisch das Unternehmen, das die Clouddienste in Anspruch nimmt. Zweitens \u2013 und das ist der wesentlich wichtigere Aspekt \u2013 wird der Datenschutz vielfach nur auf die Daten in der Cloud angewandt, jedoch nicht auf dem Weg dorthin. Dabei gilt es die Daten vor allem auf dem Weg von A nach B vor virtuellen Wegelagerern zu sch\u00fctzen. Zudem birgt die Nutzung der nativen Verschl\u00fcsselungsl\u00f6sungen der Cloud-Anbieter eine zus\u00e4tzliche Gefahr: Denn zur Verschl\u00fcsselung der Daten m\u00fcssen diese dem Cloud-Provider auch in Klartext vorliegen. Damit geben Unternehmen den Schutz ihrer Daten defacto au\u00dfer Haus. Sie sind nicht alleiniger Herr ihrer Daten und des angestrebten Schutzes. Das kann zu einem Problem werden, wenn Hacker wie beispielsweise k\u00fcrzlich bei Microsoft, den zentralen Schl\u00fcssel stehlen und damit Zugang zu nahezu allen Kundendaten des Providers haben. Drittens kann die Konfiguration von Clouddiensten sehr komplex sein und bereits kleinste Konfigurationsfehler k\u00f6nnen gravierende Sicherheitsl\u00fccken nach sich ziehen. Die L\u00f6sung: Unternehmen, die ihre Daten konsequent und mit einem allein von ihnen kontrollierten Tool verschl\u00fcsseln, haben die Gewissheit, dass mit den Daten in der Cloud oder auf dem Weg dorthin nichts passieren kann. Zwar w\u00e4re etwa bei einem Konfigurationsfehler oder bei einem Hack auf den Provider der Datendiebstahl weiterhin m\u00f6glich, aber die Daten w\u00e4ren dann f\u00fcr die Cyberkriminellen vollkommen nutzlos, weil sie verschl\u00fcsselt sind.<\/p>\n\n\n\n

Aspekte auf die Unternehmen f\u00fcr eine wirksame Datenverschl\u00fcsselung in der Cloud achten sollten<\/strong><\/p>\n\n\n\n

    \n
  1. Durchg\u00e4ngige Verschl\u00fcsselung: Unternehmen sollten sicherstellen, dass alle Daten durchg\u00e4ngig verschl\u00fcsselt sind. Beispielsweise sorgt ein Verschl\u00fcsselungs-Tool daf\u00fcr, dass die Daten nicht nur in der Cloud, sondern auch auf dem Weg verschl\u00fcsselt sind. Damit ist garantiert, dass niemals Klardaten au\u00dferhalb des Unternehmens vorhanden sind.<\/li>\n\n\n\n
  2. Kompatibilit\u00e4t mit der IT-Umgebung: Um eine durchg\u00e4ngige Sicherheit f\u00fcr Daten in der Cloud zu gew\u00e4hrleisten ist es von entscheidender Bedeutung, dass eine Verschl\u00fcsselungstechnologie unabh\u00e4ngig und damit kompatibel zu jeglicher bestehenden IT-Infrastruktur und Anwendungsumgebung ist. Mit einem Gateway stellen Unternehmen sicher, dass Anwendungen wie etwa SharePoint, Microsoft 365 oder ERP\/CRM-L\u00f6sungen keine Ausnahmen erfordern, bei denen Daten unverschl\u00fcsselt in die Cloud gelangen.<\/li>\n\n\n\n
  3. Uneingeschr\u00e4nkte Nutzbarkeit der Daten: Eine reine Datenverschl\u00fcsselung schr\u00e4nkt unweigerlich die Nutzbarkeit der Daten ein, beispielsweise bei der Suche nach Inhalten. Gute Verschl\u00fcsselungs-Tools verschl\u00fcsseln die Daten nicht nur, sie legen gleichzeitig einen Index an. Diese Pseudonymisierung verhindert, dass Klardaten in fremde H\u00e4nde gelangen, erlaubt jedoch weiterhin die Nutzung wichtiger Funktionalit\u00e4ten.<\/li>\n\n\n\n
  4. Geringe Komplexit\u00e4t: W\u00e4hrend viele klassische Security-L\u00f6sungen die Ressourcen der Administratoren kontinuierlich belasten, muss eine Verschl\u00fcsselungstechnologie f\u00fcr die Cloud unauff\u00e4llig im Hintergrund laufen. Das ist beispielsweise der Fall, wenn das Verschl\u00fcsselungs-Tool im Unternehmen als unkomplizierter Proxy eingerichtet und betrieben werden kann. Firmen, welche dar\u00fcber hinaus Ressourcen einsparen wollen, k\u00f6nnen ein solches Tool komplett als Service von einem spezialisierten IT-Dienstleister bereitstellen lassen.<\/li>\n\n\n\n
  5. Verschl\u00fcsselung f\u00fcr Multi- und Hybrid Cloud: Verschl\u00fcsselungstechnologien sind zumeist speziell f\u00fcr einen dedizierten Clouddienst angelegt. Fakt ist allerdings, dass Unternehmen oft diverse Clouddienste von unterschiedlichen Anbietern in Anspruch nehmen. Um die Komplexit\u00e4t und Administration nicht zus\u00e4tzlich zu erh\u00f6hen, sollten Unternehmen darauf achten, dass die Cloud-Verschl\u00fcsselungsl\u00f6sung alle Szenarien bedienen und flexibel an die Datenschutz-Vorgaben angepasst werden kann.<\/li>\n<\/ol>\n\n\n\n

    Fazit<\/strong><\/p>\n\n\n\n

    Eine M\u00f6glichkeit der rechtskonformen Datenverarbeitung in der Cloud ist die Datenverschl\u00fcsselung. Laut KuppingerCole sind derzeit diverse Verschl\u00fcsselungsl\u00f6sungen f\u00fcr Cloud-Daten auf dem Markt. Nach Einsch\u00e4tzung der Analysten setzen allerdings nur wenige den von der DSGVO geforderten Grundsatz vollst\u00e4ndig um und stellen sicher, dass ausschlie\u00dflich derjenige, der seine Daten in der Cloud speichert, die Kontrolle \u00fcber deren Verschl\u00fcsselung hat. Eine geeignete L\u00f6sung muss die Daten verschl\u00fcsseln, bevor diese an die Cloud \u00fcbertragen werden und sie darf dem Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf Schl\u00fcssel und Verschl\u00fcsselung gew\u00e4hren. Eine Verschl\u00fcsselungs-L\u00f6sung via Gateway wie von eperi bietet eine f\u00fcr den Anwender vollst\u00e4ndige Transparenz, die Beibehaltung gewohnter und effizienter Arbeitsabl\u00e4ufe sowie den Erhalt wichtiger Anwendungsfunktionen wie etwa Suche, Sortierung und Kollaboration. Zusammengefasst bedeutet dies: Jedes Unternehmen kann mit einem Verschl\u00fcsselungs-Gateway die Vorteile der Cloud nutzen und l\u00e4uft nicht Gefahr, bei einem Hack sensible Daten an Cyberkriminelle zu verlieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Viele Unternehmen verfolgen eine \u201eCloud First\u201c-, wenn nicht sogar eine \u201eCloud Only\u201c-Strategie. Laut dem Cloud-Monitor 2023 von KPMG nutzen 97 Prozent der befragten Unternehmen die Cloud. Davon setzen 82 Prozent der Unternehmen auf Cloud-Dienste verschiedener Anbieter (Multi-Cloud) und 57 Prozent verfolgen sogar eine Cloud-First-Strategie. Die Beweggr\u00fcnde, in die Cloud zu gehen, sind vielschichtig: F\u00fcr viele ist die Senkung der IT-Kosten ein wichtiger Aspekt und laut KPMG-Studie wollen viele mit ihrer Cloud-Strategie sogar die IT-Sicherheit erh\u00f6hen. Und genau an diesem Punkt kann es kniffelig werden, denn Angriffe auf Cloud-Umgebungen von Unternehmen sind das Tagesgesch\u00e4ft von Cyberkriminellen. Wie beim Katz-und-Maus-Spiel hinken Unternehmen bei dem Versuch hinterher, ihre Daten vor Angriffen zu sch\u00fctzen. \u00dcber verschiedene Methoden gelangen Cyberkriminelle immer wieder auf Cloud-Ressourcen, wo sie sich bedienen oder Schaden anrichten. Worst case: Die Angreifer gelangen an sensible und sch\u00fctzenswerte Daten, f\u00fcr die sie L\u00f6segeld fordern und die sie auf dunklen Kan\u00e4len weiter ver\u00e4u\u00dfern. Damit hat das Unternehmen nicht nur mit der Wiederherstellung von Daten zu k\u00e4mpfen, sondern muss sich zudem vor Beh\u00f6rden rechtfertigen, die mit potenziell hohen Strafen aufwarten.<\/p>\n","protected":false},"author":81,"featured_media":26005,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,22],"tags":[13233,1320,1323,7706,6267],"class_list":["post-26003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-cloud","tag-eperi","tag-gateway","tag-kompatibilitat","tag-rechtskonformitaet","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=26003"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26003\/revisions"}],"predecessor-version":[{"id":26006,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26003\/revisions\/26006"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/26005"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=26003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=26003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=26003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}