Cloud Computing ist ein Fundament der digitalen Transformation, daran besteht kein Zweifel. Trotzdem ist die Bedeutung der Cloud-Sicherheit bei vielen Entscheidern noch nicht präsent genug. Das muss sich schleunigst ändern, denn unzureichende Sicherheit bei Cloud-Diensten kann schwerwiegende Folgen haben.
Wie die aktuelle Studie "Cloud Security 2021" von IDG Research Services in Kooperation mit den Partnern plusserver, Arvato Systems, Ergon Informatik, TÜV Süd und uniscon zeigt, hat jedes dritte Unternehmen in den letzten zwölf Monaten einen Schaden durch Cloud-Attacken erlitten. Besonders häufig kam es zu Betriebsunterbrechungen und Stillstand im Unternehmen. Unternehmen tun also gut daran, die von ihnen genutzten Cloud-Dienste auch als geschäftskritische Infrastrukturen zu verstehen und entsprechend abzusichern.
"Dass Cloud Security nicht vernachlässigt werden darf, war mir schon vor der Studie klar", kommentiert Dr. Martin Burkhart, Head of Product Management Airlock, Ergon Informatik AG. "Dass aber innerhalb nur eines einzigen Jahres sogar 39 Prozent der größeren Unternehmen wirtschaftlichen Schaden durch Cloud-Angriffe erlitten haben, überrascht mich trotzdem. Und wohlgemerkt, wir sprechen hier nicht von Kleinigkeiten!"
Dabei unterstreicht Dr. Martin Burkhart auch die Risiken für die Produktivität: "30,8 Prozent der betroffenen Unternehmen hat geschäftskritische Daten verloren, und mehr als ein Drittel hat sogar einen kompletten Stillstand des Unternehmens erlitten! Was das auf einen Zeithorizont von 5 oder 10 Jahren hinaus bedeutet, kann sich jeder selbst ausmalen."
Offensichtlich wird die Bedeutung der Cloud-Sicherheit für die Produktivität eines Unternehmens noch weiter zunehmen. Dies muss sich aber auch in den Maßnahmen der Cloud Security niederschlagen.
Zur Studie 'Cloud Security 2021' im Aboshop
- Andreas Nolte, Arvato Systems
„Aus meiner Sicht wird sehr deutlich, dass das Thema Schatten-IT auch bei Cloud-Migrationen eine immer größere Relevanz bekommt. So stellt sich immer häufiger die Frage, ob dem IT Management überhaupt alle Cloud-Projekte im Unternehmen bekannt sind. In diesem Kontext muss Cyber-Security deutlich adressiert werden.“ - Martin Burkhart, Ergon Informatik AG
„Dass Cloud-Security nicht vernachlässigt werden darf, war mir schon vor der Studie klar. Dass aber innerhalb nur eines einzigen Jahres sogar 39 Prozent der größeren Unternehmen wirtschaftlichen Schaden durch Cloud-Angriffe erlitten haben, überrascht mich trotzdem.“ - Florian Weigmann, plusserver
„Das Mindset von Unternehmen, Security-Teams erst verspätet in Cloud-Projekte zu involvieren, muss sich dringend ändern, denn in den kommenden Jahren wird die Anzahl der Cloud- und Multi-Cloud-Projekte weiter zunehmen. Gleichzeitig sind die Provider gefragt, denn stärkere Beratung und Empfehlungen durch deren Cloud-Experten werden umso wichtiger, je komplexer solche Projekte werden.“ - Alexander Häußler, TÜV SÜD
„Wer die Chancen der Cloud nutzen will, muss sich auch mit ihren möglichen Sicherheitsrisiken auseinandersetzen. Mit einer entsprechenden Zertifizierung demonstrieren Cloud-Anbieter, dass sie dem Thema IT-Sicherheit eine hohe Bedeutung beimessen. Die Normenreihe ISO/IEC 2700x spielt deshalb auch im Cloud-Umfeld eine zentrale Rolle.“ - Jörg Horn, uniscon
„Die Nutzer sind wesentlich sensibler und anspruchsvoller geworden und gehen deutlich bewusster mit dem Thema Datenschutz um. Sie haben gelernt, dass ihre Daten viel wert sind und bei datenverarbeitenden Unternehmen wie auch bei Cyberkriminellen Begehrlichkeiten wecken. Daher ist es nur konsequent, dass ihre größte Sorge dem Diebstahl sowie Missbrauch ihrer Daten gilt.“
Cloud-Provider sind Security-Partner der Wahl
Es stellt sich die Frage, wie die Cloud-Sicherheit gegenwärtig organisiert ist und ob dies den wachsenden Cloud-Risiken und der Bedeutung der Cloud Security entspricht. So arbeiten 43 Prozent der Unternehmen bei Sicherheitsfragen insbesondere mit ihrem Cloud-Provider zusammen, wie die aktuelle Umfrage "Cloud Security 2021" von IDG Research Services ergab.
"Um das Thema Security so einheitlich und klar wie möglich zu definieren und von Anfang an mitzudenken, müssen interne Security-Expertise und Beratung durch den Cloud-Partner stärker ineinandergreifen - gerade wenn dem Unternehmen kein eigenes umfangreiches Security-Team zur Verfügung steht", betont Florian Weigmann, Chief Product Officer, PlusServer GmbH.
Ohne Frage ist diese enge Zusammenarbeit zwingend notwendig, gerade wenn man an das Modell der geteilten Verantwortung in der Cloud-Sicherheit (Shared-Responsibility-Modell) denkt. Es überrascht deshalb einerseits, wenn die Mehrheit der Cloud-Nutzer einen Datendiebstahl in der Cloud befürchtet, also den ergriffenen Maßnahmen für die Cloud-Sicherheit nicht zutraut, kriminelle Zugriffe auf Cloud-Daten erkennen und abwehren zu können. Trotzdem erhoffen sich laut der neuen Studie viele der Cloud-Anwender eine Verbesserung im Datenschutz, wenn sie auf Cloud-Dienste zurückgreifen.
Jörg Horn, Chief Product Officer bei uniscon - A member of TÜV SÜD, hat dafür eine Erklärung: "Die Nutzer sind wesentlich sensibler und anspruchsvoller geworden und gehen deutlich bewusster mit dem Thema Datenschutz um. Sie haben gelernt, dass ihre Daten viel wert sind und bei Daten verarbeitenden Unternehmen wie auch bei Cyberkriminellen Begehrlichkeiten wecken. Daher ist es nur konsequent, dass ihre größte Sorge dem Diebstahl sowie Missbrauch ihrer Daten gilt."
Jörg Horn kann aber auch erläutern, warum gleichzeitig der Datenschutz in der Cloud als Vorteil angesehen wird: "Die Tatsache, dass die Datensicherheit von den Befragten gleichzeitig als größte Stärke der Cloud angesehen wird, steht dazu überhaupt nicht im Widerspruch. Es zeigt vielmehr, dass die Bemühungen der Cloud-Anbieter wahrgenommen und honoriert werden und die Anforderungen der sicheren Datenverarbeitung durch Security-by-Design und Privacy-by-Design umgesetzt werden."
Es erweist sich also als gut und richtig, die Cloud-Provider als starke Partner in der Cloud-Sicherheit anzusehen. Es gibt allerdings noch weitere wichtige Player in der Cloud-Sicherheit, ja es muss sie geben, denn die Cloud-Nutzer haben ebenfalls ihre Aufgaben in der Cloud Security, die sie oder ihre Security-Dienstleister übernehmen müssen.
MSSP können Cloud-Sicherheit stärken
Obwohl Cloud-Sicherheit vielschichtig und komplex ist und in der Security der bekannte Fachkräftemangel herrscht, setzen nur 30 Prozent der befragten Unternehmen auf Managed Security Service Provider (MSSP), so die Umfrage "Cloud Security 2021".
Andreas Nolte, Head of Cyber Security bei Arvato Systems, erklärt, warum MSSP eine wichtigere Rolle in der Cloud-Sicherheit erhalten sollten: "Grundsätzlich zeigt sich beim Thema IT-Sicherheit, dass Managed Security Service Provider (MSSP) ein wichtiger Bestandteil der Security-Strategie von Unternehmen sein müssen. Wesentlicher Grund dafür ist, dass sie infolge ihrer Spezialisierung umfangreiche Expertise und intensiv geschulte Teams bieten können, was den meisten mittelständischen Unternehmen nicht in entsprechendem Umfang möglich ist. MSSP können so eine ganzheitliche Sicht auf die Bedrohungslage herstellen und die notwendigen Schutzmechanismen daraus ableiten. Diese Unterstützung durch versierte Partner bedeutet nicht zuletzt im komplexen Umfeld der Cloud Security ein deutliches Plus an Sicherheit."
Cloud-Zertifizierung als Vertrauensmerkmal
Doch woher weiß man als Cloud-Anwender, wie es um die Cloud-Sicherheit eines speziellen Dienstes und Anbieters steht? Hier kommen die Cloud-Zertifizierungen ins Spiel. Bei der Wahl eines Cloud-Dienstes spielen laut IDG-Umfrage explizite Datenschutzkriterien wie datenschutzkonforme Cloud-Dienste aus der EU (79 Prozent der Befragten), eine DSGVO-Zertifizierung (88 Prozent) oder eine allgemeine Datenschutz-Zertifizierung (86 Prozent) eine wichtige Rolle. 30 Prozent der Unternehmen erwarten eine Cloud-Zertifizierung nach ISO/IEC 27701, nur zwölf Prozent ein C5-Testat nach Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). 25 Prozent hingegen achten auf eine Zertifizierung nach ISO/IEC 27001.
Andrea Lechermann, Chief Data Protection Coordinator bei TÜV SÜD, begründet die Bedeutung dieser Kriterien so: "Der Schutz personenbezogener Daten, insbesondere von Kunden- und Mitarbeiterdaten, hat große Auswirkungen auf das Vertrauen, welches in ein Unternehmen gesetzt wird. Da Cloud-Anbieter oft verschiedenen Rechtssystemen unterliegen und die Regelungen teilweise kollidieren, sollten Unternehmen einen stärkeren Fokus auf Datenschutzkriterien bei der Auswahl von Cloud-Diensten legen."
Alexander Häußler, Product Compliance Manager ISO/IEC 27001 bei TÜV SÜD, ergänzt: "Wer die Chancen der Cloud nutzen will, muss sich auch mit ihren möglichen Sicherheitsrisiken auseinandersetzen. Mit einer entsprechenden Zertifizierung demonstrieren Cloud-Anbieter, dass sie dem Thema IT-Sicherheit eine hohe Bedeutung beimessen. Die Normenreihe ISO/IEC 2700x spielt deshalb auch im Cloud-Umfeld eine zentrale Rolle."
Gleichzeitig bleibt zu hoffen, dass Datenschutz-Zertifizierungen, die den Vorgaben der Datenschutzgrundverordnung (DSGVO) explizit gerecht werden, in absehbarer Zeit verfügbar sein werden. Es wird dann in Zukunft noch wichtiger sein, die Zertifikate der Cloud-Anbieter zu vergleichen, also auch zu prüfen, ob es sich wirklich um ein Zertifikat nach DSGVO handelt oder um ein allgemeines Datenschutz-Zertifikat, dessen Grundlagen in der DSGVO nicht definiert wird.
Cloud Computing als Fundament der Digitalisierung braucht selbst eine Basis des Vertrauens, die nur dann gelegt werden kann, wenn Sicherheit und Datenschutz in der Cloud umfassend gewährleistet und nachgewiesen werden können.
Zur Studie 'Cloud Security 2021' im Aboshop
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Gold-Partner: PlusServer GmbH
Silber-Partner: Arvato Systems GmbH; Ergon Infromatik AG (Airlock); TÜV SÜD AG; uniscon GmbH
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich, IT-Security-Spezialisten
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media sowie zur Erfüllung von Quotenvorgaben über externe Online-Access-Panels; persönliche E-Mail-Einladungen zur Umfrage
Gesamtstichprobe: 383 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 1. bis 15. März 2021
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services