Im Zuge der Corona-Pandemie zogen viele Menschen aus dem Büro ins Homeoffice – und parallel wanderten viele digitale Dienste vom firmeneigenen Server in die Cloud. Doch wer Cloud-Services nutzt, muss deren spezifische Sicherheitsanforderungen erfüllen. Und die werden bei der Entscheidung über einen Wechsel „in die Cloud“ häufig nicht mit einkalkuliert.
„In vielen Behörden und Unternehmen fehlt das Bewusstsein für die nötigen Sicherheitsmaßnahmen beim Arbeiten in der Cloud“, sagt Dr. Martin Meints, Sicherheitsbeauftragter von Dataport. „Zudem setzen Cloud-Services eine enorme Bereitschaft voraus, sich auf extern gesetzte Standards einzulassen. Deshalb sind sie für einige Zwecke schlicht ungeeignet.“ Dataport ist ein Dienstleister, der Cloud-Lösungen für die öffentliche Verwaltung anbietet. Martin Meints, bei Dataport zuständig für die Sicherheit der IT-Systeme, erklärt die fünf wichtigsten Schritte, mit denen Behörden und Unternehmen sicher in die Cloud wechseln.
1. Prüfen Sie, ob der Umzug in die Cloud für Ihren Zweck überhaupt erlaubt ist.
In Unternehmen und insbesondere in der öffentlichen Verwaltung herrschen häufig spezifische Sicherheitsanforderungen, die die Cloud-Anbieter nicht erfüllen können oder wollen. Das kann der Fall sein, wenn die Verarbeitung von besonders schützenswerten personenbezogenen Daten im außereuropäischen Ausland erfolgen soll. Oder wenn sogenannte Geheimschutzanforderungen eine Sicherheitsüberprüfung für sämtliche mit den Services befassten Fachkräfte nötig machen. Der Einsatz von Cloud-Services ist in diesen Fällen gar nicht erlaubt. Wer in die Cloud wechseln möchte, sollte die erforderlichen Sicherheitsniveaus deshalb vorab kritisch prüfen.
2. Denken Sie daran: Sie sind weiterhin selbst zuständig für IT-Betrieb und IT-Sicherheit.
Was viele Behörden und Unternehmen nicht bedenken: Nutzen sie eine Infrastruktur aus der Cloud, bleiben sie für viele Aufgaben des IT-Betriebs weiter zuständig. Denn grundlegende Sicherheitsmaßnahmen sind im Service der Cloud-Provider oft nicht enthalten. Dazu gehören Datensicherung und Patchmanagement, Virenschutz, das Härten von Betriebssystemen und Anwendungen sowie Protokollierung und Protokollauswertung.
3. Binden Sie die Cloud-Services in ihre automatisierten Sicherheitsprozesse ein.
Ein sicherer IT-Betrieb basiert auf zentraler Steuerung und Automation: Systeme werden von einer zentralen Instanz überwacht und beispielsweise mit Updates oder Software-Patches versorgt. Tritt ein Sicherheitsvorfall ein, werden automatisch die notwendigen Folgeprozesse eingeleitet, etwa die zuständigen Fachkräfte informiert. Damit das zuverlässig funktioniert, müssen die Komponenten in der Cloud an die eigenen Management-Systeme angebunden und die dazugehörigen Prozesse aufeinander abgestimmt werden.
4. Entwickeln Sie Strategien für Ausfall der Cloud-Services.
Wer Cloud-Services nutzt, greift über das Internet auf einen Dienst oder ein Verfahren zu. Ist die Internetverbindung gestört, ist auch das Verfahren nicht erreichbar. Ursachen dafür können Probleme am eigenen Internetzugang oder dem des Providers sein, Denial-of-Service-Angriffe oder ein Ausfall von Backbone-Leitungen oder zentralen Knoten im Internet. Kritische Verfahren wie zum Beispiel die Polizei sie einsetzt, eignen sich deshalb nicht für den Betrieb in der Cloud. Behörden und Unternehmen, die nicht auf eine hohe Verfügbarkeit angewiesen sind, sollten Strategien dafür entwickeln, wie sie mit möglichen Ausfällen umgehen.
5. Werden Sie zum Cloud-Experten.
Wer Plattform- oder Softwareservices aus der Cloud nutzt, erhält ein vorgefertigtes, aber kein fertiges Produkt. Behörden und Unternehmen sind selbst dafür verantwortlich, ihre Cloud-Services durch Konfiguration an die eigenen Anforderungen anzupassen und für eine sichere Nutzung zu sorgen. Sie müssen zudem ein komplexes Zusammenspiel von verschiedenen Komponenten dirigieren – und dafür sorgen, dass diese auch miteinander funktionieren. Sollen Cloud-Services beispielsweise nach einmaligem Einloggen am Arbeitsrechner zur Verfügung stehen, müssen sie in die unternehmenseigenen Authentisierungsprozesse eingebunden werden. Um sicher in der Cloud arbeiten zu können, müssen sich Behörden und Unternehmen also ein spezifisches Know-how aneignen.