Zum Hauptinhalt springen
04.03.2020 | Jörg Asma

Die 5 wichtigsten Fragen zur Cloud Security

Datensicherheit in der Cloud

Die kollaborative BIM-Methodik setzt voraus, dass die relevanten Daten für alle Beteiligten in Echtzeit zugänglich sind. Ohne Cloud ist das nicht möglich. Doch sind die Daten in der Cloud sicher?

Drohnen vermessen Land, um eine exakte Planbarkeit von Bauvorhaben zu gewährleisten. Algorithmen berechnen komplexe Projekte. Tablets gehören heute fast zur Standardausstattung auf Baustellen. Und intelligente Geräte helfen dabei, viel effizienter und qualitativ besser zu bauen.
Die moderne Baustelle produziert eine riesige Anzahl an Daten, die elektronisch erhoben, gespeichert und weiterverwendet werden. Um Inkompatibilitäten zwischen dieser Vielzahl an Systemen zu vermeiden und Daten allen relevanten Nutzern in Echtzeit zur Verfügung stellen zu können, sind Cloud-Lösungen heute die komfortabelste Variante.

Doch gerade in Europa gibt es bis heute Vorbehalte gegenüber der sogenannten Datenwolke. Viele Menschen und Unternehmen fühlen sich unsicher hinsichtlich der Frage, was mit ihren Daten passiert und wie diese im schlimmsten Fall missbraucht werden können. Wirklich vorbei kommt die Bauwirtschaft an der Cloud aber auf keinen Fall.

Natürlich kann sich das Management nicht in alle technischen Details einarbeiten – das ist in nahezu jeder Branche so. Aber es gibt Fragen, die Ihnen Ihre IT-Experten beantworten können sollten – und zwar sofort, klar und deutlich. Wer hier nicht weiter weiß, hat eventuell größere Sicherheitsprobleme vorliegen. In der Folge werde ich Ihnen diese Fragen aufzeigen und erläutern, woran Sie erkennen können, ob die Cloud bei Ihnen sicher ist – oder wo mutmaßlich Handlungsbedarf besteht.

Frage 1: Nutzen wir eine eigene Lösung, oder entscheiden wir uns für eine standardisierte Lösung bei einem weltweiten Anbieter?

Paradox: Aus Angst vor Datenverlust und -missbrauch glauben einige Unternehmen bis heute, dass eine eigene IT-Lösung sicherer wäre, als auf die weltweit wichtigsten Anbieter zu vertrauen. In 90 Prozent der Fälle stimmt das nicht.

Der Grund ist banal: Die globalen Cloud-Dienstleister werden täglich aus aller Welt millionenfach von Cyber-Piraten attackiert. Sie halten riesige Abteilungen vor, die nichts anderes tun, als jeden Tag die Löcher, die sich offenbaren, sofort wieder zu stopfen. Niemand hat mehr Erfahrung im Umgang mit Sicherheitslecks als diese Großanbieter.

Eigenlösungen dagegen wirken zunächst attraktiv, weil die Daten vielleicht auf eigenen Servern verbleiben mögen. Aber diese Lösungen können niemals sicherheitstechnisch mit den großen Anbietern mithalten. Sie sind darum deutlich anfälliger, wenn jemand wirklich eindringen möchte.
Überlegen Sie darum genau, warum selbst viele Konzerne eher auf andere Konzerne als Dienstleister vertrauen, als selbst eine Lösung zu bauen. Die ergibt nur in besonderen Spezialfällen Sinn oder bei einer solchen Unternehmensgröße, die es erlaubt, dass Sie sich selbst ausreichenden Schutz leisten können.

Frage 2: Welche Verantwortung übernehmen wir als Nutzer für die Sicherheit, welche der Cloud-Anbieter?

Wer nicht selbst eine Lösung baut – wovon ich in den meisten Fällen wie oben dargelegt abrate –, der arbeitet mit einem Cloud-Service-Provider zusammen. Dieser garantiert Sicherheit. Allerdings stellt er den Nutzer nicht von Verantwortung frei. Diese Verantwortung sollte klar erkennbar, verständlich und abgegrenzt sein. Dabei geht es zum Beispiel um die Frage, wer relevante Sicherheitseinstellungen vornimmt: Kunde oder Anbieter? Oder darum, welche Anwendungsfehler durch den Kunden möglich sind. Je nach Erfahrungsgrad ist es relevant, diese Vereinbarung so zu treffen, dass mögliches eigenes Versagen minimiert wird.

Frage 3: Wo speichert der Anbieter die Daten?

Abseits von einer rechtlichen Fragestellung (Datenschutzgrundverordnung) – wer Daten an zu wenigen Orten gleichzeitig speichert, könnte zum Sicherheitsrisiko werden. Die professionellsten Cloud-Anbieter zeichnen sich dadurch aus, dass sie Daten einzeln, gemeinsam und mehrfach an den unterschiedlichsten Standorten in Ländern und über Ländergrenzen hinweg speichern – und, vereinfacht ausgedrückt, damit permanente Backups erstellen. Einzelne IT-Ausfälle und auch Cyber-Angriffe können damit kompensiert werden.

Frage 4: Wie werden Daten in der Cloud verschlüsselt?

Dass Daten grundsätzlich verschlüsselt werden, sollte selbstverständlich sein. Wichtig ist, dass auch der Cloud-Anbieter die Daten nicht entschlüsseln kann, sondern ausschließlich die relevanten Nutzer – im besten Fall mit einer Zwei- oder Mehr-Faktor-Authentifizierung. Diese Faktoren können ein Passwort und ein Token sein.

Bei vielen Anbietern lassen sich auch innerhalb dieser Cloud besonders sensible Daten mit einer weiteren Software verschließen, sodass selbst Angreifer, die in die Cloud eingedrungen sind, diese nicht ohne erneuten Aufwand einsehen können. Auch der Transport der Daten muss stets verschlüsselt geschehen, zum Beispiel durch HTTPS-Verbindungen.

Frage 5: Sind die Endgeräte sicher, die auf die Cloud zugreifen?

Je weniger Zugänge es zu einer Cloud gibt, desto sicherer ist sie. Darum sollte eine Cloud-Strategie stets die Frage beinhalten: Wer darf mit welchem Endgerät wann und wie auf die Cloud zugreifen? Und es muss sichergestellt sein, dass diese Endgeräte selbst keine Sicherheitslücken aufweisen. Kommen zum Beispiel Smartphones oder Tablets mit einer App-Verbindung zum Einsatz, könnten diese Endgeräte kompromittiert und damit ein Zugang zur Cloud hergestellt werden, von dem der Benutzer selbst gar nichts merkt. Darum ist es entscheidend, dass IT- und Sicherheitsexperten alle Endgeräte genau auf Schwachstellen prüfen und die größtmögliche Sicherheit herstellen. Endgeräte mit nicht vertretbaren Risiko sollten nicht für die Cloud zugelassen werden.

© Alex/stock.adobe.com
Autor

Jörg Asma ist Partner im Bereich Cyber Security & Privacy bei der Wirtschaftsprüfungs-und Beratungsgesellschaft PwC. Er hat Elektrotechnik in Jülich und Aachen studiert und arbeitet seit über 20 Jahren im Bereich der Cybersicherheit in internationalen Konzernen und für globale Beratungsunternehmen.
Jörg Asma ist Autor zahlreicher Fachartikel. pwc.de

Kommentare
  • Keine Kommentare
Diesen Artikel teilen
Anzeige
botMessage_toctoc_comments_9210
Gratis Probeheft bestellen!