Warum Sie sensible Daten in der Cloud speichern sollten

Cloud Computing bietet zahlreiche Vorteile, wird aber – vor allem, wenn es um sensible Unternehmensdaten geht – noch immer mit Skepsis und Vorurteilen bedacht. Die Cloud sei unsicher und für Hacker ein leichtes Spiel, bei dem sie nur zuzugreifen brauchen. Seit zwei Jahren verändert sich die Haltung gegenüber der Wolke zwar langsam, doch Vorsicht ist vor allem im Unternehmensbereich die Mutter der Porzellankiste.

Bei wirklich heiklen und sensiblen Daten vertraut man immer noch dem eigenen Server im Keller oder dem lokalen IT-Dienstleister, wobei der Standort im eigenen Land oder zumindest in der EU überzeugt. Der Cloud-Monitor aus 2017, bei dem 550 Mitarbeiter relevanter Unternehmen in Deutschland befragt wurden, bestätigt: 84 Prozent der Befragten gaben an, dass ihr Unternehmen vermeintlich unkritische Business-Informationen in der Public Cloud speichern, doch nur 19 Prozent legen dort auch sensible Unternehmensdaten ab. Dabei halten mehr als die Hälfte der befragten IT-Verantwortlichen die Unternehmensdaten in der Public Cloud für „sehr sicher“ aufgehoben.

Tatsächlich ist die Cloud sicherer als das Rechenzentrum On-Premise. Die folgenden vier Aspekte beziehen sich auf alle seriösen Business-Cloud Anbieter, wobei wir Microsoft als Beispiel herausgreifen.

1. Datenschutz: Zugriffsrechte

In vielen Unternehmen gibt es einen Administrator, der über sämtliche Zugriffsrechte verfügt. Bei Microsoft ist das anders. Zwar verfügen die Admins weltweit über Betriebs- und Supportmitarbeiter, doch ein Großteil der Dienstabläufe läuft automatisiert ab, wodurch nur ein geringer Anteil menschlicher Interaktion notwendig ist. Die Techniker erhalten zum Beispiel keinen automatischen Standardzugriff auf Cloud-Kundendaten. Zugriff wird nur bei Bedarf unter Aufsicht des Managements gewährt.

Brisant wird es bei Regierungsanfragen nach Kundendaten, was in der jüngsten Vergangenheit häufig für Aufsehen sorgte. Microsoft definierte klare Bedingungen mit folgendem Wortlaut:

• „Darüber hinaus geben wir keine Daten, die in Microsoft- Unternehmensdiensten gehostet werden, an Regierungsbehörden weiter, es sei denn, dies ist gesetzlich vorgeschrieben.“
• „Wenn wir gesetzlich verpflichtet sind, Kundendaten Justizbehörden gegenüber offenzulegen, informieren wir den Kunden unverzüglich und legen eine Kopie der Forderung vor, sofern gesetzlich zulässig.“

2. Compliance: Zertifizierungen

Die DSGVO ist mittlerweile jedem ein Begriff. Seit 25. Mai 2018 müssen Unternehmen jederzeit nachweisen können, wo personenbezogene Daten gespeichert sind und bestimmte Sicherheitsstandards erfüllen. Datenschutz wird sehr ernst genommen, weshalb die Entscheidung bei der Wahl einer Cloud-Variante auf einen Dienstleister fallen muss, der den Grundsätzen Vertrauen, Transparenz, Standardkonformität und regulatorische Compliance auf höchstem Niveau verpflichtet ist.

Microsoft bietet ein übersichtliches und umfassendes Complianceangebot, um sich im Dickicht der nationalen, regionalen und branchenspezifischen Anforderungen für die Erfassung und Nutzung von personenbezogenen Daten zurechtzufinden. In einer interaktiven Tabelle lässt sich transparent prüfen, über welche Zertifikate die Cloud-Angebote verfügen. Besonders hervorzuheben sind ISO 27001 (Standards für Informationssicherheitsverwaltung) sowie SOC 1 bis 3 (Standard-Framework für Kontrollen für Vertraulichkeit und zum Schutz von Information).

Neben Zertifizierungen regeln Standardvertragsklauseln der Europäischen Union, dass personenbezogene Daten von Microsoft-Kunden, die den EWR-Raum verlassen, nur unter Einhaltung der Compliance mit dem europäischen Datenschutzgesetz übertragen werden und den Anforderungen der EU-Datenschutzrichtlinie 95/46/EG erfüllen. User können sich somit daher darauf verlassen, dass sämtliche technischen wie rechtlichen Compliance-Regeln eingehalten werden.

3. Sicherheit: Verschlüsselung

Daten in Microsoft-Clouds werden mittels Verschlüsselung davor geschützt, von nicht autorisierten Personen gelesen zu werden. Selbst wenn diese eine Firewall überwinden, sich innerhalb des Netzwerks befinden, physischen Zugriff auf die Geräte haben oder die Berechtigung auf dem lokalen PC umgehen können. Die Verschlüsselung garantiert, dass Daten so umgewandelt werden, dass sie nur von Personen mit passendem Entschlüsselungsschlüssel gelesen werden können. So behalten die User die Kontrolle über ihre Daten und können sich auf sichere Identitäten, sichere Infrastruktur und sichere Anwendungen und Daten verlassen.

Bei On-Premise-Rechenzentren wird auf Verschlüsselung häufig verzichtet, weil davon ausgegangen wird, dass nur befugte Personen Zutritt zum Serverraum haben.

4. Schutz des Datencenters: Umgang mit Bedrohungen

Hacker-Angriffe, Schadsoftware-Bedrohungen oder DoS-Angriffe (Denial-of-Service) können den ungehinderten Zugang des Users auf Daten und wichtige Ressourcen verhindern, was wiederum zu Produktivitätsverlusten führt. Microsoft hat eine Antimalware speziell für die Cloud entwickelt, um sie gegen diese Angriffe zu verteidigen. Die verantwortungsbewusste Auseinandersetzung mit Angriffen auf Systeme und Netzwerke ist unerlässlich. Die entsprechenden Technologien sind in die Produkte und Dienste integriert, womit der User automatisch vor diesen Angriffen geschützt ist. Auch hier sind sichere Identitäten, eine sichere Infrastruktur sowie sichere Anwendungen und Daten die Schlüsselfaktoren.

Ein eigens für den Umgang mit Bedrohungsprozessen konzipiertes Team ist das sogenannte Microsoft Red Teaming. Die hochspezialisierte Gruppe aus Sicherheitsexperten setzt ihre Fachkenntnisse täglich ein, um die Bedrohungserkennung, die Beseitigung und die Verteidigung für die Cloud-Services zu stärken. Das Team simuliert dabei Angriffe beziehungsweise Einbrüche und prüft die permanente Sicherheitsüberwachung. Das Ziel ist es, die Reaktion auf Sicherheitsvorfälle zu trainieren und zu optimieren.

Üblicherweise verfügen Unternehmen, die nicht darauf spezialisiert sind, weder über die zeitlichen und finanziellen Ressourcen, noch über das entsprechende Personal, um sich Sicherheitslücken sofort und in der notwendigen Tiefe zu widmen. Angreifer werden sich daher eher auf On-Premise-Rechenzentren konzentrieren, als auf seriöse Business-Clouds.

Fazit: Eine sichere Cloud-Lösung mit dem richtigen Partner

Sicherheitsbedenken gegenüber Cloud-Lösungen sind mittlerweile nicht mehr notwendig, sofern man auf einen Partner setzt, der das Thema Sicherheit ernst nimmt und vorlebt. Investitionen in aktuelle Systeme, Software und Mitarbeiter-Knowhow sind nicht mehr notwendig und die IT-Abteilungen können entlastet werden. Professionelle Anbieter legen ihre Sicherheitsstandards hoch und kommunizieren diese transparent. Der Umgang mit gesetzlichen Bestimmungen, aber auch technischen State-of-the-art-Lösungen sind transparent und überzeugend.