Close

Cloud-Sicherheit verstehen

Was ist Cloud-Sicherheit?

Cloud-Sicherheit beschreibt die Technologien und Prozesse, mit denen du deine Cloud-Infrastruktur, -Daten und -Anwendungen schützt. So wie physische Sicherheitsmaßnahmen (wie Türschlösser, Sicherheitspersonal und Zugangskontrollen) dein Büro schützen, schützen Cloud-Sicherheitsmaßnahmen (wie Zero-Trust-Sicherheit oder Single-Sign-On) dich vor Sicherheitsverletzungen digitaler Art.

Egal, ob du die Public Cloud (Hosting auf einem gemeinsamen Server), die Private Cloud (Hosting auf einem privaten Server) oder die Hybrid Cloud (eine Kombination aus beidem) nutzt: Sicherheit steht bei den meisten Unternehmen an erster Stelle – aus gutem Grund. Allein in der ersten Hälfte des Jahres 2019 legten mehr als 3.800 Sicherheitsverletzungen 4,1 Milliarden Datensätze offen. Eine einzelne Sicherheitsverletzung verursacht dabei durchschnittlich Kosten in Höhe von 3,92 Millionen US-Dollar.

Cloud-Sicherheit vs. lokale Sicherheit

Viele Unternehmen fragen sich: Ist die Cloud genauso sicher wie unsere lokalen Lösungen? In den ersten Jahren der Cloud lautete die Antwort "nicht ganz". Aber seitdem ist viel Zeit vergangen und die heutige Antwort überrascht dich vielleicht:

Die Datenlage spricht dafür, dass Cloud-Lösungen mittlerweile sicherer als lokale Lösungen sind. 94 % der Unternehmen, die auf die Cloud umgestiegen sind, sagen, dass sich die Sicherheit verbessert hat. Auch in einer TechValidate-Umfrage unter 300 Atlassian-Kunden, die in die Cloud migriert sind, gaben 92 % an, dass die Sicherheit in der Cloud im Vergleich zu lokalen Lösungen genauso hoch oder sogar höher ist.

Jarrett Prosser, Lead Engineer bei Rollercoaster Digital, beschreibt die Migration seines Unternehmens zu Atlassian Cloud so: "Im Vergleich zu unseren lokalen Lösungen haben sich die Stabilität und Sicherheit deutlich verbessert. Die Skalierung mit individuellen Benutzerlizenzen ist sehr kostengünstig."

Die wichtigsten Unterschiede zwischen lokaler Sicherheit und Cloud-Sicherheit

Warum ist die Sicherheit in der Cloud höher? Die Antwort sind rigorose Sicherheitstests, Disaster-Recovery-Pläne, die Verschlüsselung von Daten bei der Übertragung und im Ruhezustand und weitere Best Practices. Außerdem wird in der Cloud ein Zero-Trust-Ansatz verfolgt, der mehrere Sicherheitsprüfungen umfasst, während es bei lokalen Lösungen oft nur eine Sicherheitsprüfung gibt.

Das Castle-and-Moat-Sicherheitsmodell lokaler Lösungen

Wenn wir beschreiben möchten, dass es bei lokalen Lösungen oft nur eine Sicherheitsprüfung gibt, sprechen wir vom Castle-and-Moat-Ansatz. Bei diesem Ansatz stellen wir uns das System als eine Burg vor und die Sicherheitsprüfung ist unser Burggraben (zum Beispiel ein unternehmensweites VPN oder eine Firewall). Das System funktioniert solange, wie der Burggraben nicht überwunden wird. Geschieht dies jedoch, haben wir ein Problem. Der Angreifer kann sich nun in der gesamten Burg bewegen. Oder anders ausgedrückt: Er hat Zugriff auf all deine Daten.

Das Zero-Trust-Sicherheitsmodell der Cloud

Das Zero-Trust-Sicherheitsmodell umfasst kontinuierliche Überprüfungen anstatt eines einzelnen Sicherheitschecks. Es basiert unter anderem auf folgenden Prinzipien:

  • Häufige Authentifizierung basierend auf Anmeldedaten, Gerät usw.
  • Beschränkter Zugriff (nur auf erforderliche Ressourcen)
  • Ende-zu-Ende-Verschlüsselung von Sitzungen

Beim Zero-Trust-Modell wird nicht davon ausgegangen, dass alles hinter deiner Firewall automatisch sicher ist. Stattdessen wird jede Zugriffsanfrage verschlüsselt und es sind immer Authentifizierungen und Genehmigungen erforderlich.

Anstatt des Modells von einer Burg mit Burggraben kann man sich beim Zero-Trust-Modell mehrere Inseln vorstellen. Schafft es ein Angreifer, zu einer Insel hinüberzuschwimmen, sind die anderen Inseln weiterhin sicher. Oder anders gesagt: Wenn ein Angreifer eine Schwachstelle ausnutzt, hat er nicht Zugriff auf das gesamte System.

Identitätsmanagement in der Cloud

Zum Identitätsmanagement in der Cloud gehört es, die Rollen und den Zugriff einzelner Benutzer in und über deine Cloud-Systeme hinweg zu definieren und zu verwalten. Ein gutes Identitätsmanagementprogramm sollte jedem Benutzer eine einzige Identität zuweisen und ihm basierend auf den Berechtigungen, die du ihm erteilt hast, Zugriff auf Tools und Systeme gewähren.

Zu den wichtigsten Funktionen eines Cloud-Identitätsmanagers gehören:

  • SAML-Single-Sign-On, was es Nutzern erlaubt, über eine einzelne, sichere Anmeldung auf mehrere Produkte und Systeme zuzugreifen
  • Zwei-Faktor-Authentifizierung, um Nutzer zu authentifizieren
  • Passwortrichtlinien, die auf bewährten Verfahren für Passwörter basieren
  • Priority-Support, um Sicherheitsvorfälle so schnell wie möglich zu beheben

Die Grundlagen der Cloud-Sicherheit

Falls du einen Wechsel in die Cloud planst, haben wir drei Tipps für dich, mit denen du für optimale Sicherheit sorgst:

1. Entscheide dich für die richtigen Anbieter

In einer TechValidate-Umfrage unter 300 Atlassian-Kunden, die in die Cloud migriert sind, gaben 92 % an, dass die Sicherheit in der Cloud genauso hoch oder sogar höher ist. Dies gilt aber vielleicht nicht für jeden Cloud-Anbieter. Deshalb ist die Wahl des Anbieters wichtig, wenn es um die Sicherheit geht.

Glücklicherweise hast du heute die Wahl zwischen einer Vielzahl an Cloud-Anbietern, die Compliance-Vorgaben erfüllen. Cloud-Anbieter setzen meist mehr Ressourcen für Sicherheit, Datenschutz und Compliance ein, als es sich eine durchschnittliche IT-Abteilung leisten kann. Viele Anbieter beschäftigen zudem Expertenteams, die sie immer über die aktuellsten Best Practices im Bereich Sicherheit informieren. Schließlich baut ihr Ruf – und ihre gesamte Plattform – auf dem Vertrauen der Kunden auf.

Wie aber kann man feststellen, ob ein Cloud-Anbieter die eigenen Sicherheits- und Datenschutz-Anforderungen erfüllt? Bei der Entscheidung für einen Cloud-Anbieter solltest du wie folgt vorgehen:

  • Frage beim Anbieter nach, über welche Compliance-Zertifizierungen er verfügt.
  • Berücksichtige dabei die Art der Daten, die dein Team in die Anwendung eingeben wird, und welche geschäftlichen Risiken tatsächlich bei einer Offenlegung dieser Daten entstehen würden (da beim Risikomanagement nicht für alle Daten dasselbe Niveau erforderlich ist).
  • Informiere dich darüber, wie der Anbieter Berechtigungen und den Zugriff der einzelnen Benutzer auf die Daten im System verwaltet.

2. Teile die Verantwortung

Dein Cloud-Anbieter sollte die meisten Sicherheitsaufgaben für dein Team übernehmen. Aber du musst trotzdem deinen Teil betragen. Die meisten Unternehmen setzen auf Zusammenarbeit, um ihre Systeme und Daten zu schützen.

Ein guter Cloud-Anbieter sollte die Verantwortung dafür übernehmen, dass Anwendungen, die Systeme, auf denen diese ausgeführt werden, und die Umgebungen, in denen die Systeme gehostet werden, sicher sind. Außerdem sollte er automatische Updates und Bugfixes anbieten und dein Team so entlasten.

Dein Team hingegen sollte die Verantwortung für das Management der Daten in deinen Konten, der Benutzer und der erforderlichen Berechtigungen übernehmen. Außerdem sollte es entscheiden, welche Marketplace-Apps dein Unternehmen als vertrauenswürdig einstuft und installiert.

3. Plane dauerhafte Kontrollen ein

Die Sicherheit muss immer wieder kontrolliert werden – sowohl von deinem Cloud-Anbieter als auch von deinem Team. Dein Team sollte nicht nur auf dem neuesten Stand sein, was die Sicherheitsupdates und -richtlinien deines Cloud-Anbieters oder deiner Anwendungen betrifft, sondern auch regelmäßige Audits durchführen, um Schatten-IT und ungeeignete Datenspeicher außerhalb deiner Systeme ausfindig zu machen, die in dein Sicherheitssystem integriert werden müssen.

Sicherheitsrisiken der Cloud (und wie du sie reduzieren kannst)

Schatten-IT

Unter Schatten-IT versteht man die Nutzung von Systemen oder Tools, die nicht von der IT genehmigt wurden. Da es immer mehr günstige oder sogar kostenlose Tools gibt, wächst auch die Schatten-IT immer schneller. Laut McAfee kommen Unternehmen, die die Nutzung von Schatten-IT-Anwendungen überprüfen, meist zu dem Schluss, dass ihre Mitarbeiter 10 Mal häufiger Anwendungen dieser Art nutzen, als erwartet.

Was bedeutet dies für die Cloud-Sicherheit? Gartner drückt es so aus: "CIOs müssen die Fragestellung von "Ist die Cloud sicher?" zu "Nutze ich die Cloud auf sichere Weise?" ändern."

Die Datenlage ist unmissverständlich: Alle Unternehmen – auch solche, die meinen, nur lokal zu arbeiten – nutzen Cloud-Tools. Nur ist die IT nicht immer darüber informiert.

Um die Risiken der Schatten-IT zu reduzieren, solltest du zuerst ein Audit durchführen, um zu überprüfen, welche Tools in deinem Unternehmen verwendet werden. Wie sieht das Schatten-IT-Ökosystem deines Unternehmens wirklich aus? Nachdem du dies herausgefunden hast, solltest du:

  • Die Sicherheit der Tools prüfen
  • Sicherheitsebenen hinzufügen und die Tools in dein IT-System integrieren
  • Unsichere Tools abschaffen und deinen Mitarbeitern gute Alternativen anbieten

Außerdem ist es sinnvoll, dokumentierte Schatten-IT-Richtlinien einzuführen und Mitarbeiter darüber zu informieren, was von ihnen verlangt wird und warum.

BYOD-Richtlinie (Bring Your Own Device)

Einer der großen Vorteile der Cloud besteht darin, dass Mitarbeiter von überall aus und auf mehreren Geräten arbeiten können. Dabei musst du allerdings sicherstellen, dass alle Geräte den Sicherheitsstandards deines Unternehmens entsprechen. Um das Risiko zu reduzieren, dass Mitarbeiter unsichere Geräte nutzen, verfügen viele Unternehmen über BYOD-Richtlinien, die Informationen zu folgenden Themen enthalten:

  • Was Mitarbeiter auf unternehmensfremden Geräten tun dürfen und was nicht (Gibt es bestimmte Daten, auf die sie nicht zugreifen dürfen oder die sie nicht herunterladen sollten? Gibt es Anwendungen, die nur auf sicheren Unternehmensgeräten verfügbar sind?)
  • Beschränkte (oder unsichere) Websites, Anwendungen oder Anwendungsfälle
  • Was passiert, wenn ein Mitarbeitergerät mit Unternehmensdaten gestohlen wird und gelöscht werden muss?
  • Sicherheitsanforderungen für Geräte, die auf Unternehmensdaten zugreifen (z. B. Passwortanforderungen)
  • Zahlungsrichtlinien (Übernimmt dein Unternehmen die Rechnung vollständig oder teilweise, wenn ein Mitarbeiter ein Gerät für die Arbeit nutzt?)

Datensichtbarkeit und Datenschutz

Datenschutz ist wichtiger denn je. Neben der DSGVO und dem California Consumer Privacy Act werden jedes Jahr neue Vorschriften in diesem Bereich eingeführt. Und auch deine Mitarbeiter und Kunden haben hohe Erwartungen daran, wie du mit ihren vertraulichen Daten umgehst.

Um das Risiko von Datenschutzverletzungen und Nichteinhaltung der DSGVO zu reduzieren, musst du Anbieter finden, die Daten während der Übertragung und im Ruhezustand verschlüsseln, hohe Datenschutzstandards von Drittanbieter-Apps verlangen und Cloud-Produkte anbieten, die standardmäßig die Datenschutzgesetze einhalten.

App-Sicherheit

Gute Anbieter stellen Sicherheitsanforderungen an ihre Drittanbieter-Apps. Setze auf Anbieter, die sich durch strenge Sicherheitsanforderungen, DSGVO-Compliance und Bug-Bounty-Programme auszeichnen. Und solltest du doch einmal Apps oder Integrationen nutzen, die nicht von deinem Anbieter überprüft wurden, ist es sinnvoll, Experten zur Einschätzung von Sicherheitsrisiken zurate zu ziehen.

Sicherheit bei Atlassian

Es gibt einen guten Grund dafür, dass 92 % der Atlassian-Kunden angeben, dass die Sicherheit in der Cloud genauso gut oder sogar besser ist. Unsere Cloud-Produkte, -Infrastruktur und -Prozesse sind von Anfang an auf Sicherheit ausgerichtet. Und wir arbeiten jeden Tag daran, sie zu optimieren.

Transparenz ist der Schlüssel zu unserer Sicherheitsphilosophie. Deshalb arbeiten wir mit der Cloud Security Alliance (CSA) zusammen und stellen alle unsere Verfahren, Richtlinien und vieles mehr öffentlich zugänglich zur Verfügung.

Weitere Informationen darüber, wie Atlassian deine Systeme und Daten schützt, findest du in unserem Trust Center oder in den folgenden Sicherheitsressourcen:

* Basierend auf einer TechValidate-Umfrage unter mehr als 320 Atlassian-Kunden.


Besuche unser Security Center


Demnächst …

Cloud-Plattform

Ein Besuch im Atlassian Trust Center

Erhalte aktuelle Informationen zur Sicherheit, Zuverlässigkeit, Datenschutzfähigkeit und Compliance unserer Produkte und Services.

Cloud-Migration

Weitere Informationen zur Cloud-Migration

Finde Ressourcen, Tools und Unterstützung zur Evaluierung, ob die Cloud das Richtige für dein Unternehmen ist.