Der Cloud-Markt ist in Bewegung und entwickelt sich anders, als die Anfangsprognosen erwarten ließen. Ein vollständiges Abwandern der IT-Services in die Cloud ist ausgeblieben und wird auch nicht stattfinden. Es gibt nicht die eine große Cloud, sondern viele Cloud-Services.
Trotzdem ist die Cloud eine Erfolgsgeschichte. 65 Prozent der Unternehmen in Deutschland nutzen bereits Cloud-Services, wie die aktuelle Studie "Cloud Security 2019" von IDG Research Services zeigt. Nur für acht Prozent der Unternehmen kommen Cloud-Services nicht in Frage. 92 Prozent der Unternehmen nutzen bereits Cloud-Dienste, sie planen es in den nächsten zwölf Monaten (17 Prozent) oder prüfen es intern (11 Prozent).
Jetzt Studie "Cloud Security 2019" herunterladen
Als Bezugsmodell für Cloud-Dienste liegt die Private Cloud mit 61 Prozent der Antworten vorne. Public Clouds nutzen 45 Prozent der befragten Unternehmen. Hybrid Clouds sind bei 32 Prozent im Einsatz, Community Clouds und Multi-Clouds bei 20 Prozent.
Die Wahl des Bezugsmodells kommt nicht von ungefähr: Fragt man Unternehmen nach ihrem Sicherheitsempfinden bei Cloud Computing, wird die Sicherheit der Private Cloud am besten benotet (2,4), Multi-Clouds erreichen nur eine 2,7, Community Clouds eine 2,8.
Nicht der Preis führt die Liste der zehn wichtigsten Kriterien bei der Auswahl von Cloud-Diensten an. Ganz oben steht die Sicherheit des Datenzugriffs, gefolgt von der Datenverschlüsselung und der Zuverlässigkeit des Anbieters.
Cloud-Sicherheit ist bedroht
Auch wenn Cloud-Dienste mehrheitlich als relativ sicher eingestuft werden, berichten die Unternehmen in der neuen Studie von Angriffen auf die von ihnen genutzten Services aus der Cloud. Fast die Hälfte (47 Prozent) der Unternehmen hat bereits Cyber-Angriffe auf ihre Cloud-Services festgestellt, zwölf Prozent wissen nicht, ob bereits eine Online-Attacke auf ihre Cloud-Dienste erfolgt ist.
Offensichtlich besteht weiterer Handlungsbedarf bei der Absicherung der Cloud-Services. Wie die neue Studie zeigt, setzen viele Unternehmen auf vertraute Security-Konzepte wie Verschlüsselung, Firewall und lokale Backups. Auch von den Cloud-Providern erwarten die Anwenderunternehmen eher Security-Klassiker als neue Konzepte für die Cloud-Sicherheit.
Einer der Gründe für diese Sicht auf Cloud Security ist die zu einseitige Wahrnehmung der Cloud-Risiken, die in den Umfragen deutlich wird. Bestimmte Typen von Cloud-Attacken werden kaum durch Security-Maßnahmen adressiert, obwohl die Angriffe stattfinden.
Neue Anforderungen an Cloud-Security
Was für die Absicherung eines Cloud-Dienstes getan wird, darf nicht von einer zu engen Wahrnehmung der Cloud-Risiken abhängen. Es gibt klare Forderungen an die Sicherheit im Cloud Computing.
Neben KRITIS-Betreibern haben auch Anbieter von Cloud-Computing-Diensten Sicherheitsvorfälle mit erheblichen Auswirkungen an das BSI zu melden, wie das Bundesamt für Sicherheit in der Informationstechnik in dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland klarstellt. Weiterhin sehen die Regelungen für Betreiber digitaler Dienste ein Mindestniveau an Maßnahmen zur präventiven IT-Sicherheit sowie zur reaktiven Bewältigung von Sicherheitsvorfällen vor.
"Die Einforderung und Umsetzung von Sicherheitsanforderungen ist ein wichtiger Aspekt bei der Inanspruchnahme von Cloud-Diensten", so BSI-Präsident Arne Schönbohm.
Mit dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue - C5) hat das Bundesamt für Sicherheit in der Informationstechnik neue Standards in der Cloud-Branche gesetzt. Im C5-Katalog hat das BSI Anforderungen zusammengefasst, die Cloud-Anbieter unabhängig von Anwendungskontext erfüllen sollten, um ein Mindestmaß an Sicherheit ihrer Cloud-Dienste zu gewährleisten. Der C5-Katalog ist ein Standard, der prüfbare Anforderungen beinhaltet, aber nicht vorschreibt, durch welche Maßnahmen diese zu erfüllen sind.
Wie die neue Studie "Cloud Security 2019" zeigt, gehört das Cloud-Testat nach dem C5-Katalog des BSI bereits zu den wichtigen Compliance-Kriterien bei der Auswahl eines Cloud-Anbieters. Mit einer Benotung von 2,4 liegt das C5-Testat vor der Anforderung, dass der Cloud-Anbieter seinen Hauptsitz in Deutschland haben soll (2,6).
Datenschutz dominiert die Auswahlkriterien
Unter den Anforderungen an einen Cloud-Service und Cloud-Provider tritt der Datenschutz besonders stark hervor. So nennen 35 Prozent der Unternehmen Sicherheitsbedenken und 29 Prozent Datenschutzfragen als Gründe gegen die Cloud-Nutzung. Andererseits erwarten sich die Unternehmen von Cloud-Services ein höheres Sicherheits- und Datenschutzniveau (34 Prozent und 32 Prozent).
Ein angemessenes Datenschutzniveau bei Cloud Computing ist nicht nur wünschenswert, sondern eine rechtliche Voraussetzung, um überhaupt Cloud-Services nutzen zu dürfen.
Nach Datenschutz-Grundverordnung (DSGVO / GDPR) sind Cloud-Dienste als sogenannte Auftragsverarbeitung einzustufen. Hierzu besagt die DSGVO: "Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Bevor ein Cloud-Dienst genutzt werden darf, muss sich ein Unternehmen von den Datenschutzmaßnahmen des Cloud-Anbieters überzeugen, es muss Garantien für diese Maßnahmen geben. Als mögliche Garantien und Nachweise nennt die DSGVO eine Datenschutz-Zertifizierung auf Grundlage der EU-Verordnung.
Diese Bedeutung einer Datenschutz-Zertifizierung sind sich die Unternehmen in Deutschland bewusst. 34 Prozent der befragten Unternehmen prüfen die Cloud-Zertifikate der Anbieter. Fehlen die Zertifikate, achten sie auf Datenschutz-Audits bei den Providern.
Für fast 60 Prozent der Unternehmen hat die Datenschutz-Grundverordnung einen starken oder sehr starken Einfluss darauf, wie sie mit Daten umgehen, die in einer Cloud verarbeitet werden. Keine Auswirkung der DSGVO sehen gerade einmal zwei Prozent der befragten Unternehmen.