Das Zero-Trust-Konzept
Eine zentrale Sicherheitsmaßnahme ist das Authentifizieren der Mitarbeitenden. Nur wer befugt ist, sollte auf Daten und Ressourcen in einer Cloud-Umgebung zugreifen dürfen. Mit einer Zero-Trust-Architektur wird sichergestellt, dass nur autorisierte Nutzer und Geräte Zugriff auf die benötigten Anwendungen haben. Dies geschieht mit Lösungen, die sicherstellen, dass Benutzer und Geräte unabhängig von deren Standort eine sichere Verbindung zum Internet herstellen können.
Das Prinzip von Least Privilege
Um Sicherheitsrisiken, die durch den Faktor Mensch bestehen, so gering wie möglich zu halten, sollte sichergestellt werden, dass Genehmigungen nach dem Prinzip der geringsten Rechte (engl. Least Privilege) erteilt werden. Unternehmen sollten daher Rollen und Zugriffsrechte definieren (Role Based Access Control): Welche Mitarbeiter dürfen in welchem Umfang worauf (Programme, Dateien etc.) zugreifen? Viele Unternehmen scheuen diesen Aufwand jedoch. Was gerne vergessen wird: Ein eindeutiges Rechtemanagement beinhaltet auch, Beschäftigten, welche die Firma verlassen, diese Rechte wieder zu entziehen.
Die Daten klassifizieren
Die Art und Weise, wie Unternehmen ihre Daten in der Cloud aufbewahren, ist ein wichtiger Schritt auf ihrer Cloud-Journey. Betriebe sollten sich genau überlegen, welche Daten sie in die Cloud hochladen möchten und welches Risiko durch die Speicherung besteht. Beispielsweise könnten mindestens drei Corporate-Datenklassen definiert werden – öffentlich, intern, vertraulich. Jeder Klasse sollte ein entsprechender Data Protection Level zugeordnet werden, anhand dessen alle Daten auch dort bleiben, wo sie sollen.
Verschlüsselter Datentransfer
Ortsunabhängig arbeiten, stets Zugriff auf Daten und Applikationen haben – das ist eine der angenehmsten Seiten der Cloud. Der Transfer erfolgt meist über das Internet. Das Thema Verschlüsselung (Encryption) hat für die Cloud-Sicherheit daher hohe Relevanz. Hier kommt beispielsweise End-2-End-Verschlüsselung ins Spiel, dank der umständliche Mobile VPN Clients der Vergangenheit angehören. Unternehmen mit besonders hohen Sicherheitsanforderungen können außerdem eine Verschlüsselungshardware (Hardware Security Module, HSM) einsetzen.
Erfolgsfaktor Provider-Wahl
Eine der wichtigsten Sicherheitsregeln: Wer eine Cloud nutzt, muss wissen, wo seine Daten gespeichert sind. Immerhin geht es um personenbezogene Daten und geschäftskritische Informationen. Steht der Server im Ausland, können die Daten der Rechtsprechung des jeweiligen Landes unterliegen. 96 Prozent der Unternehmen ist die Konformität mit der DSGVO wichtig bei der Auswahl eines Cloud-Providers, so eine Studie von Bitkom Research. Kleiner Hinweis: Die A1 Data Center stehen alle in Österreich. Neben dem Ort der Datenspeicherung und -verarbeitung ist auch das weitere Umfeld des Rechenzentrums zu beachten: Welche Zertifizierungen muss ein Anbieter mitbringen, damit er als Cloud-Anbieter zum Unternehmen passt? Welche Nutzungsbedingungen und eigenen Datenschutzbestimmungen stellt der Anbieter auf? Werden Angaben zur Gerichtsbarkeit gemacht? Bestehen Offenbarungspflichten gegenüber und Ermittlungsbefugnisse von Behörden? Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat den Anforderungskatalog Cloud Computing mit insgesamt 17 Bereichen erstellt. Dieser bietet Cloud-Nutzern eine wichtige Orientierung für die Auswahl des passenden Anbieters.