Sicherheit in der Cloud – ohne Vertrauen geht’s nicht!
Dokumente, Anwendungen und ganze Arbeitsplätze überall online verfügbar; sehr viel Rechenpower zu einem sehr tiefen Preis; und unfassbar geringe Ausfallzeiten … Es gibt wahrlich viel, das für die Cloud spricht.
Doch wer in die Wolke abhebt, der legt auch seine Daten in fremde Hände. Die Cloud-Provider (prominent unter ihnen sind Hyperscaler wie AWS, Google Cloud und Microsoft) können darauf zugreifen und – so eine oft geäusserte Befürchtung – etwa ausländischen Strafverfolgungsbehörden Zugriff darauf gewähren; und auch Cyberkriminelle dürften am Datenschatz der Hyperscaler interessiert sein.
Natürlich bemühen sich alle Cloud-Betreiber um die Sicherheit ihrer Infrastruktur. Doch auch die Kunden, die in die Cloud migrieren, können und müssen etwas für die Sicherheit tun. "Einer der ersten Schritte ist die Vermeidung von Schatten-IT", erklärt René Luria, CTO von Infomaniak, im seinem Beitrag. Eine gute Governance müsse es ermöglichen, schnell auf IT-Bedürfnisse reagieren und gleichzeitig die Kontrolle über eigene Anwendungen und Daten behalten zu können.
Mike Stöckli, Sales & Marketing Manager bei der Saphir Group, blickt in seinem Beitrag in den vom Bundesamt für wirtschaftliche Landesversorgung (BWL) erlassenen ICT-Minimalstandard. Dieser dient als dringende Empfehlung an Betreiber von kritischen Infrastrukturen sowie als Richtlinie für jedes Unternehmen und jede Organisation zur Verbesserung der ICT-Resilienz. Darin empfiehlt die Behörde "die Einführung strenger Datenschutzmassnahmen für in der Cloud gespeicherte Daten, einschliesslich der Verschlüsselung sensibler Daten". Um den Standard zu erfüllen, sollten Unternehmen die Sicherheitsstandards und Compliance-Zertifizierungen ihrer Cloud-Service-Provider genau prüfen und klare Vereinbarungen zu Datenschutz, Sicherheitsmassnahmen und Incident Response festlegen, wie Stöckli schreibt.
Doch Kien Tuong Truong, Doktorand und Mitglied der Applied Cryptography Group an der ETH Zürich, meldet Bedenken an. "Es ist sehr schwierig, ihre Sicherheit zu beurteilen, es sei denn, man ist ein Experte und investiert viel Zeit und Ressourcen, um ihre Sicherheit zu überprüfen", sagt der Wissenschaftler. Er bezieht sich dabei insbesondere auf jene Cloud-Provider, die mit sogenannter Ende-zu-Ende-Verschlüsselung werben. Dabei werden die Daten vor dem Transfer in die Cloud verschlüsselt, sodass sie der Cloud-Betreiber selbst nicht lesen kann. Im Interview gibt er Einblick in seine Forschungsarbeit und sagt, welche Schwachstellen er bei diesen vermeintlich besonders sicheren Cloud-Diensten entdeckte; und er sagt, wie weit der Weg bis zu wirklich sicherer Ende-zu-Ende-Verschlüsselung noch ist.
Evolit setzt Fuss in den Schweizer IT-Markt
Polizei zieht Cybercrime-Marktplatz den Stecker
Die Cloud wird erwachsen: Pubertät, Rebellion und die Suche nach Identität
Automatisierung stärkt die Cyberresilienz von Unternehmen
Gemeinsam stark! #Teamresilienz
So schützen sich KMUs vor Cybercrime-as-a-Service
Swiss Infosec ernennt neuen Head of Legal & Data Privacy Consulting
Dentsu schafft eigenständige DACH-Führung ab
"Das Wissen über die automatisierten Prozesse muss intern vorhanden bleiben"
