Was ist die Cloud und wie sicher darin sind die Unternehmensdaten?
„Ihre Daten werden in der Cloud sicher gespeichert“ ist eine häufig gehörte Aussage. Aber was ist die Cloud und wie sicher sind die Unternehmensdaten, die wir darin speichern?
Die Cloud ist ein Netzwerk von Computerservern, die in einem Rechenzentrum untergebracht sind. Anstatt Ihre Daten auf Ihrem Notebook oder Desktop oder vielleicht auf einem Server in Ihrem Büro zu speichern, übertragen Sie die Daten über das Internet in ein von einem Dritten betriebenes und gemanagtes Rechenzentrum. Wie bei fast allen technischen Dingen gibt es auch bei der Cloud verschiedene Modelle. Eine Private Cloud ist eine Cloud, die ausschließlich für ein Unternehmen bestimmt ist. Eine Public Cloud dagegen wird von mehreren Unternehmen gemeinsam genutzt.
Mithilfe von ‘Software as a Service‘ (SaaS) kann ein Softwareanbieter Anwendungen in der Cloud bereitstellen, die dann dem Kunden über das Internet zur Verfügung stehen. Cloud Computing bildet den Grundpfeiler vieler von Unternehmen genutzter Anwendungen, sei es für die Speicherung von Dokumenten, für die Verwaltung von Konten sowie Abwicklung von Gehaltsabrechnungen, oder für Customer-Relationship-Management-Systeme – die Liste scheint endlos zu sein.
Unter der Prämisse, dass eine angemessene Due Diligence beim Anbieter durchgeführt wird und grundlegende Sicherheitsvorkehrungen getroffen werden, bietet die Cloud eine Vielzahl von geschäftlichen Vorteilen. Diese umfassen kostengünstige Rechenleistungen, massive Skaleneffekte, kollaboratives Arbeiten aus der Ferne sowie eine Vielzahl von Serviceleistungen, die den Anforderungen eines jeden Unternehmens gerecht werden – unabhängig von Größe oder Branche – bis hin zu einem schnellen Zugriff auf Daten.
Wie sicher ist die Cloud?
Wenn Sie Cloud-Dienste für Ihr Unternehmen in Erwägung ziehen, lautet eine häufige Frage: „Wie sicher ist das?“ Na ja, das kommt darauf an.
Anbieter von Cloud-basierten Diensten wie Microsoft, Amazon Web Services (AWS) und viele andere investieren Millionen von Dollar, um sicherzustellen, dass ihre Systeme sicher und geschützt sind.
Andere Unternehmen wiederum nutzen die von den Technologie-Giganten bereitgestellten Rechenzentren, um ihre Dienste zu hosten und zu betreiben. Fragen Sie Ihren Cloud-Dienstleister wie er Ihre Daten schützt. Unternehmen, die in Zertifizierungen wie ISO 27001, ISO 27017, ISO 27018 und SOC2 investiert haben, nehmen das Thema Sicherheit sehr ernst. Sie werden von unabhängiger Seite geprüft, um sicherzustellen, dass sie die strengen Standards einhalten können.
Doch auch wenn die Cloud-Anbieter Maßnahmen zum Schutz der in der Cloud gespeicherten Daten ergreifen, müssen wir als Benutzer unseren Beitrag leisten, um die Sicherheit der Daten zu gewährleisten.
Klingt kompliziert? Stellen Sie sich vor, Ihr Büro oder Ihr Haus wäre das Pendant zur Cloud-Umgebung. Sie haben vielleicht in eine kostspielige Alarmanlage, Tür- und Fensterschlösser sowie vielleicht in einen Sicherheitsdienst investiert, der ab und zu vorbeischaut. Dann stellen Sie fest, dass jemand aus Ihrem Haushalt den Haustürschlüssel unter den Blumentopf gelegt hat, dass die Reinigungskraft den Alarmcode an einen Freund weitergegeben hat, dass ein Fenster offengelassen wurde und so weiter. Somit wurde trotz aller Investitionen in Sicherheitsmaßnahmen die Sicherheit durch jemanden gefährdet.
So machen Sie die Cloud sicher
Der Benutzer einer Cloud muss grundlegende Maßnahmen ergreifen, damit das System sicher bleibt und nicht kompromittiert wird.
Zum Beispiel: Verwenden Sie ein sicheres Passwort für den Zugriff auf das System? Haben Sie eine mehrstufige Authentifizierung (Multifactor Authentication, MFA) eingerichtet? Dazu muss der Benutzer über zwei oder mehr Informationselemente verfügen, um auf das System zugreifen zu können. Im Fall einer Kompromittierung (z. B. wenn das Passwort erraten wird) ist demnach mindestens ein weiterer Schritt erforderlich z. B. Zusendung eines Sicherheitscodes an ein Mobiltelefon oder eine E-Mail-Adresse, biometrische Erkennung), bevor der Zugriff gewährt wird.
Neben dem Systemzugang sollten Sie zudem die Berechtigungen innerhalb des Systems im Auge behalten. Wer braucht Zugriff auf was? Stellen Sie sicher, dass der Zugang zu den “Kronjuwelen“ Ihres Unternehmens beschränkt ist, so wie Sie vielleicht auch Ihre Reisepässe oder Wertgegenstände zu Hause in einem Safe aufbewahren. Bei der regelmäßigen Überprüfung der Zugriffsrechte: besteht ein Prozess zur Benutzerverwaltung? Werden Personen, die keinen Zugriff mehr benötigen, entfernt? Oder werden Zugriffsrechte angepasst, wenn Personen die Rolle wechseln?
Weitere Informationen
Dieser Leitfaden wurde in Zusammenarbeit mit Risk Evolves erstellt.
Risikomanagement-Service für QBE-Kunden
QBE unterstützt Unternehmen, ihre Resilienz durch Risikomanagement und Versicherungen zu stärken.Weitere Informationen zu unserem Cyber-Angebot finden Sie hier.