Grundlagen der Sicherheit und des Schutzes von Cloud-Daten

Die Sicherheit von Cloud-Daten hat für jedes Cloud-fähige Unternehmen oberste Priorität. Die ordnungsgemäße Ausführung erfordert Cloud-Expertise, organisatorisches Verhaltenstraining und eine kontinuierliche digitale Transformation des Technologie-Stacks und der Strategie.

Lernen Sie die Hyland Cloud kennen

Was versteht man unter Datenschutz in der Cloud?

Der Datenschutz in der Cloud umfasst die Gesamtheit der etablierten Richtlinien, Prozesse und vorhandenen technischen Kontrollen, die Daten und Privatsphäre bei der Interaktion mit Cloud-basierten Ressourcen schützen.

Das beinhaltet u. a.:

  • Rollenbasierte Zugriffskontrollen
  • Verschlüsselung während der Übertragung
  • Verschlüsselung beim Schreiben
  • Verschlüsselung während der Speicherung
  • Sicherheitsbewertungen von Drittanbietern/Verkäufern
  • Detaillierte Protokollierung in ein System zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM)
  • ... und vieles mehr

Warum Datensicherheit im Cloud-Computing wichtig ist

Die Bedrohungen für die Datensicherheit sind fortlaufend und ändern sich ständig. Da Cloud-Computing jetzt der dominierende Infrastrukturansatz für große Unternehmen ist, ist die Datenmenge in der Cloud höher als je zuvor. Folglich sind die Sicherheit der Cloud und der Schutz der dort gespeicherten Daten entscheidend für ein erfolgreiches Unternehmen.

Gartner prognostiziert, dass die Ausgaben für die öffentliche Cloud bis 2026 mehr als 45 % aller IT-Ausgaben von Unternehmen ausmachen werden, gegenüber weniger als 17 % im Jahr 2021.

— Gartner

Organisationen bleiben anfällig für Sicherheitsverletzungen.

Der Data Breach Investigations Report 2022 von Verizon ist eine Fundgrube für Erkenntnisse über Datenschutzverletzungen. Er identifiziert vier Hauptwege, die zu Sicherheitsverletzungen führen: gestohlene Zugangsdaten, Phishing, Ausnutzung von Schwachstellen und Botnets.

Angriffsarten von Bedeutung:

  • Ransomware: Der Trend zeigt nach oben mit einem Anstieg, der die Verbreitung der letzten fünf Jahre zusammengenommen übertrifft.
  • Angriffe auf die Lieferkette: Ob finanziell motiviert oder ein Angriff eines Nationalstaates – ein einziger kompromittierter Partner kann langfristige Auswirkungen haben.
  • Fehler: Da falsch konfigurierte Cloud-Speicher diese Kategorie stark beeinflussen, merkt Verizon an, dass „die Fehlbarkeit von Mitarbeitenden nicht unterschätzt werden sollte.“
  • Das menschliche Element: Es bleibt eine anhaltende Schwachstelle, wobei gestohlene Zugangsdaten und Phishing eine bedeutende Rolle spielen. 

Finanzielles Risiko

Die finanziellen Kosten einer Datenschutzverletzung beliefen sich für Organisationen mit Sitz in den USA im Durchschnitt auf 9,44 Millionen US-Dollar, aber für das Gesundheitswesen überstiegen die Kosten laut dem Ponemon Institute 10 Millionen US-Dollar.

Reputation

Wenn ein Unternehmen eine Partnerschaft mit einer Lösung eingeht, die in der Cloud bereitgestellt wird, überträgt es zumindest einen Teil der Verantwortung für den Schutz seiner Daten auf den Cloud-Anbieter. Sollte der Cloud-Anbieter jedoch seine zugesicherte Cloud-Datensicherheit nicht einhalten und es zu Sicherheitsverletzungen kommen, ist der Reputationsschaden nicht nur auf den Cloud-Anbieter beschränkt. Der Schaden – sowohl in Bezug auf den Ruf als auch darüber hinaus – wird wahrscheinlich Auswirkungen auf die Lösungsanbieter und Unternehmen haben, die ihre Vermögenswerte in dieser Cloud-Umgebung gespeichert haben, ganz zu schweigen von den betroffenen Verbrauchern.

Compliance

Zusätzlich zu den Compliance-Anforderungen von Cloud-Dienstanbietern haben Unternehmen oft ihre eigenen branchenspezifischen oder geografisch vorgeschriebenen Compliance-Vorgaben. In der Regel ist Compliance ein zweigleisiger Ansatz:

  1. Richtlinien, Verfahren und Betriebsabläufe
  2. Die technische Seite der Cloud-Sicherheit, wie die Durchsetzung von Kontrollen oder die Überwachung dieser Kontrollen. 

Zertifizierungen

Die Sicherheit von Cloud-Daten ist entscheidend für das Erlangen und die Aufrechterhaltung der Zertifizierungen, die Unternehmen häufig benötigen. Egal, ob die Zertifizierungen von der Branche vorgeschrieben sind, wie für Gesundheitswesen, Regierung, Finanzdienstleistungen oder einen anderen Bereich, oder ob Kunden im Rahmen ihrer Geschäftstätigkeit eine Zertifizierung benötigen – angemessene Cloud-Sicherheitsmaßnahmen sind ein Muss. Von Cybersicherheitsversicherungen bis hin zur Best-Practice-Datenverarbeitung sind Zertifizierungen und die Stärke Ihrer Cloud-Sicherheit oft eng miteinander verknüpft.

Private Universität erzielt mit Hyland Cloud einen ROI von 114 %.

Nucleus Research untersucht die Auswirkungen von Hyland Cloud

Entdecken Sie, wie eine führende private Universität ihre Abläufe mit Hyland Cloud revolutionierte und in etwas mehr als einem Jahr eine beeindruckende Rentabilität von 114 % erzielte. Die Institution sparte jährlich 275.000 US-Dollar, optimierte Prozesse und verfolgte einen digitalen Ansatz mit einem digitalen Schwerpunkt. Entdecken Sie diese Erfolgsgeschichte, um zu sehen, wie Innovation zu messbaren Ergebnissen führte und die Hochschulbildung transformierte.

Laden Sie die Fallstudie herunter

Best Practices für Cloud-Datensicherheit

Bewährte Praktiken für die Cloud-Datensicherheit erfordern einen Verteidigungsansatz, der mehrere Verteidigungstaktiken schichtweise übereinanderlegt. Dieser mehrschichtige Ansatz bietet die höchste Wahrscheinlichkeit für einen erfolgreichen Schutz gegen die dynamischen Bedrohungen, denen ein Unternehmen gegenübersteht.

So sieht ein mehrschichtiger Ansatz aus: Stellen Sie sich Ihr Unternehmen als eine Burg im Mittelalter vor. Für maximale Sicherheit muss Ihr Schloss mit mehreren Schichten unterschiedlicher Verteidigung geschützt werden:

  • Strategische Lage mit natürlichen Barrieren wie einem Hügelgipfel oder einer Klippe
  • Laufende Instandhaltung der Struktur
  • „Bogenschützen“, um Vorstöße abzuwehren
  • „Wassergräben“, um große Angriffe zu behindern
  • „Zugbrücken und Fallgitter“, um den einfachen Zugriff zu unterbinden
  • „Teer“ für eindringende Verstöße
  • Verborgenes bleibt im Inneren

Je mehr sich die Dinge ändern, desto mehr bleiben sie gleich. Die Best Practices für die Sicherung Ihrer Cloud-Daten basieren auf den gleichen Sicherheitsprinzipien wie in alten Zeiten – aber mit einem offensichtlichen, erweiterten digitalen Fokus.

Tiefgehende Verteidigung in der Cloud

Eine Defense-in-Depth-Cloud-Sicherheitsstrategie verwendet verschiedene Ebenen des Datenschutzes, um Ihre Daten in der Cloud zu schützen. Für verschiedene Arten von Bedrohungen (z. B. Phishing im Vergleich zu gestohlenen Anmeldedaten) benötigen Sie eine andere Art von Schutzschicht. Mit mehreren Schichten werden mehr Bedrohungen abgedeckt, und sollte eine Schicht versagen, kann eine andere den Angriff vereiteln.

Die CIA-Triade

Nein, nicht diese CIA.

Das CIA-Triad-Modell beschreibt ein Modell, das diese drei Arten von Sicherheit als Prioritäten setzt:
  • Confidentiality (Vertraulichkeit): Die richtigen Personen können auf die richtige Ebene der Informationen zugreifen.
  • Integrity (Integrität): Die Daten sind konsistent und präzise
  • Availability (Verfügbarkeit): Die Zuverlässigkeit des Zugreifens auf die richtigen Informationen

Am Ende des Tages sind es diese drei Grundsätze, die die Datensicherheit in der Cloud ausmachen.

Arten von Cloud-Datenschutz

Ein Unternehmen, das Cloud-Computing nutzt, sollte über mehrere Verteidigungsebenen verfügen, darunter:

Richtlinien und Verfahren

  • Starke Kennwortsicherheit und Single Sign-On (SSO)
  • Multifaktor-Authentifizierung (MFA)
  • Sicherheitsschulung und jährliche Richtlinienüberprüfungen

Physische Sicherheit

  • Schutzvorrichtungen
  • MFA, Schleusen, Biometrie
  • Zugriffskontrolllisten
  • Stromredundanz
  • Brandbekämpfung
  • Geografische Verteilung

Perimeterschutz

  • Schwachstellen- und Penetrationstests
  • SIEM
  • Frühzeitigere Verhinderung von Denial-of-Service(DoS)-Attacken
  • Next-Generation Firewalls (NGFW)

Sicherheit des internen Netzwerks

  • Interne Firewalls und Netzwerksegmente
  • Verschlüsselung während der Übertragung
  • Rollenbasierter Zugriff
  • Filterung des ausgehenden Web-Verkehrs
  • Hochverfügbarkeit

Host-Sicherheit

  • Endpoint Detection und Remediation
  • Gehärtete Bereitstellung
  • Zeitnahes und verantwortungsvolles Patching

Anwendungssicherheit

  • Sicherer Anwendungsentwicklungszyklus
  • Verwaltung von Verschlüsselungsschlüsseln
  • Zugriffskontrollen
  • Anwendungsprotokollierung
  • Eindeutige Anwendungszugangsdaten

Datensicherheit

  • Verschlüsselung während der Speicherung
  • Datenredundanz und -replikation
  • Datentrennung
  • Zugriff nach dem Prinzip des geringsten Rechts

Es ist wichtig, zu beachten, dass keine Sicherheitsstrategie narrensicher ist – Best-Practice-Datensicherheit in der Cloud erfordert ständige Wartung, Weiterentwicklung, Innovation und Investitionen.

Was erreicht die Cloud-Datensicherheit?

Ein perfektes Protokoll des Datenschutzes kann einen endlosen Strom von Bedrohungen über Monate und Jahre hinweg vereiteln und Ihrem Unternehmen Milliarden von Dollar einsparen.

Aber schon ein einziges Sicherheitsversagen kann ein Unternehmen teuer zu stehen kommen – entweder durch direkte Folgen kompromittierter Daten oder durch längerfristige Auswirkungen wie Geldstrafen oder Reputationsschäden.

Wie gewährleisten Sie die Datensicherheit im Cloud-Computing?

Organisationen müssen sowohl eine Kultur der Sicherheit als auch eine Kultur des Sicherheitsverständnisses haben. Dazu gehören alle, von Wartungsteams, Lieferanten und Vertragsarbeitern bis hin zu CEOs, IT-Leitern und Technologiepartnern.

Schaffen Sie eine Kultur der Cloud-Datensicherheit

Erfolgreiche Sicherheit ist in hohem Maße ein Katz-und-Maus-Spiel. Was Sie diesen Monat testen, könnte im nächsten Monat völlig anders sein, da sich diese Angriffe ständig weiterentwickeln und Ihre Organisation sich ebenfalls weiterentwickeln muss. Um Schritt zu halten, sollten Organisationen Folgendes tun:

Alle einbeziehen

Jede einzelne Person in einer Organisation ist ein entscheidender Teil der mehrschichtigen Verteidigungsstrategie. Ihre Sicherheit ist nur so stark wie das schwächste Glied, daher sollten Sie jedes Teammitglied im gesamten Unternehmen in die Wartung und Aufrechterhaltung der Sicherheit Ihrer Cloud-Daten einbeziehen.

Coachen Sie Ihr Team aktiv mit fortlaufendem Training

Führen Sie regelmäßige, verpflichtende Schulungen für jedes Teammitglied durch. Stellen Sie ein Team zusammen, das aktive Arten von Engagements einsetzt, um die Teammitglieder zu testen und zu schulen und zu sehen, wie sie auf reale Bedrohungen reagieren könnten. Diese Tests sollten realen Bedrohungen ähneln, die Hacker zum Angriff oder zur Prüfung auf Schwachstellen verwenden würden. Diese Ergebnisse werden Ihrem Sicherheitsteam Aufschluss darüber geben, was gegen Sie gut funktionieren könnte und helfen, besser zu definieren, welche Sicherheitsschulungen in Zukunft höchste Priorität haben sollten.

Stellen Sie Cloud-Experten ein, um in der Cloud zu arbeiten

Selbstverschuldete Sicherheitsverletzungen können auftreten, wenn die Mitglieder des Cloud-Sicherheitsteams nicht über das notwendige Fachwissen über Cloud-Sicherheit verfügen, um die Aufgabe richtig zu erledigen. Der Data Breach Investigations Report von Verizon aus dem Jahr 2022 stellte fest, dass durch falsch konfigurierte Cloud-Speicher verursachte Fehler weiterhin ein dominierender Trend sind.

Erfolgreiche Sicherheit ist in hohem Maße ein Katz-und-Maus-Spiel. Was Sie diesen Monat testen, könnte im nächsten Monat völlig anders sein, da sich diese Angriffe ständig weiterentwickeln und Ihre Organisation sich ebenfalls weiterentwickeln muss.

— Dylan Border, Director für Cybersicherheit, Hyland

Methoden des Cloud-Datenschutzes

Zusätzlich zu den oben aufgeführten Best Practices kann der Cloud-Datenschutz durch diese Methoden effektiv unterstützt werden.

Automatisieren Sie die Cloud

Die Reduzierung der menschlichen Interaktion mit den Ressourcen in der Cloud durch Automatisierung kann dazu beitragen, die Daten in der Cloud zu schützen. Das unterstützt sowohl die Erkennung von Bedrohungen und Anomalien als auch die Reaktion darauf. Wenn die Automatisierung in die Cloud-Infrastruktur integriert ist, können Änderungen und Aktualisierungen in Sekundenschnelle statt in Tagen, Wochen oder Monaten in Betrieb genommen und abgeschlossen werden.

AWS kann beispielsweise mit APIs interagieren und einen einzigen Befehl senden, um eine Reihe von Skripten zu starten, die die relevanten Instanzen und Container für die gesamte Cloud-Umgebung in Inbetriebnahme bringen. Zusätzlich zur Zeiteffizienz eliminiert die Cloud-Automatisierung auch menschliche Fehler und Fehlkonfigurationen in der Cloud.

Arbeiten Sie mit einem externen Team für das Risikomanagement im Bereich Cybersicherheit zusammen

Überprüfen und setzen Sie ein unabhängiges, neutrales Tool ein, das die Sicherheitsbereitschaft Ihres Unternehmens analysiert und darüber berichtet. BitSight hilft beispielsweise dabei, den öffentlichen Fußabdruck eines Unternehmens im Internet zu überwachen.

Sowohl Cloud-Anbieter als auch Unternehmen, die die Dienste eines Cloud-Anbieters nutzen, können von diesen Bewertungstools von Drittanbietern profitieren. Das Feedback kann sowohl proaktiv als auch reaktiv verwendet werden:

  • Proaktive Überwachung: Stellt sicher, dass die internen Maßnahmen Ihres Cloud-Sicherheitsteams nicht anders nach außen erscheinen.
  • Reaktive Überwachung: Überprüft, ob Ihr Cloud-Sicherheitsteam das tut, was es gesagt hat, dass es tun würde.

Erstklassige Cloud-Serviceanbieter werden diese Drittanbieter-Prüfer verwenden, um ihre Bewertungen sowie die von Kunden, Anbietern und Zahlungsabwicklern zu überwachen.

Infrastructure as Code (IaC)

Indem Sie Ihre Cloud-Infrastruktur als Code statt durch manuelle Prozesse verwalten und bereitstellen, reduzieren Sie menschliche Fehler und das Eindringen von böswilligen Akteuren – sowohl intern als auch extern. IaC zwingt Ihre Cloud-Verwaltung durch denselben Entwicklungsprozess für den Sicherheitslebenszyklus wie die Anwendungscodierung, um sicherzustellen, dass sie nicht bösartig ist.

Cloud-Datensicherheitsprobleme und -herausforderungen

Die Cloud-Infrastruktur beschleunigt das Geschäft und ermöglicht es Organisationen, in Echtzeit und überall zu arbeiten. Sie führt zu Kosteneinsparungen, schafft physischen Raum, unterstützt die moderne, dezentrale Arbeitsweise und das Disaster-Recovery.

Allerdings sieht sich das Cloud-Computing mit Problemen und Herausforderungen konfrontiert, darunter:

Zugriffskontrollmechanismen

Zu wissen, wer auf welche Daten in Ihrer Cloud-Umgebung zugreifen kann, ist wichtig für die Datensicherheit. Kunden von Cloud-Diensten sollten wissen, wer den Zugriff validiert, und strenge Vorsichtsmaßnahmen in Bezug auf den Zugriff auf Datenebene und Kryptoschlüssel treffen. Sie müssen außerdem sicherstellen, dass ihre Cloud-Dienstanbieter die oben besprochenen Best Practices befolgen, von der Unternehmenskultur bis hin zu den Verteidigungsebenen.

Leider kann eine schlechte Sichtbarkeit der Zugriffssteuerung böswillige Akteure (oft Insider-Bedrohungen) in Ihre Cloud-Umgebung eindringen lassen.

Angriffe auf die Lieferkette

Diese Angriffe werden ursprünglich gegen die Software eines kleineren Partners einer größeren Organisation orchestriert. Da große Unternehmen im Bereich Datenschutz immer versierter geworden sind, haben böswillige Akteure ihre Angriffe auf kleinere Anbieter verstärkt, die ihre Produkte möglicherweise an größere Unternehmen verkaufen. Sobald diese unentdeckte, infizierte Partnersoftware in die Cloud-Umgebung des Zielunternehmens entfesselt wird, infiziert sie alle Benutzer der Anwendung.

Diese Angriffe auf die Lieferkette können sich auf Lieferanten und dann auf die Lieferanten Ihrer Lieferanten auswirken, wodurch eine Ketteninfektion mit bösartigem Code entsteht. Aufgrund der langen Ketten kann es außerdem schwierig sein, sie zurückzuverfolgen.

Bestandsaufnahme der Assets

Unternehmen mit unzureichenden Asset-Management-Protokollen wissen möglicherweise nicht, welche Assets und Daten sie in der Cloud haben. Oder weil die Natur der heutigen schnelllebigen Cloud darin besteht, dass Teile in rasantem Tempo auf- und abgebaut werden, können die Cloud-Sicherheitsteams möglicherweise nicht mit dem Schritt halten, was in der Umgebung passiert.

Um diese Schwachstelle zu bekämpfen, sollten Unternehmen wissen, was sich in der Cloud befindet, warum es dort ist und wer es verwaltet. Das wird auch für forensische Analysen hilfreich sein, sodass Ihr Cloud-Sicherheitsteam im Falle eines Verstoßes ephemere Systeme nachverfolgen kann.

Fazit: Sie können nichts sichern, von dem Sie nicht wissen, dass es da ist.

Fachkräftemangel im Bereich Cloud-Expertise

Die Branche steht vor einem Mangel an Cloud-Expertise, was einige der größten Sicherheitsherausforderungen mit sich bringt. Wenn Mitarbeitende ohne die erforderliche Cloud-Expertise versuchen, Assets in der Cloud auf die gleiche Weise bereitzustellen wie in ihren traditionellen Rechenzentren, kann aus sicherheitstechnischer Sicht einiges schiefgehen. Die beiden Fähigkeiten können sich zwar ergänzen, aber sie sind keine gleichwertige Ergänzung.

Fügen Sie die Geschwindigkeit der Cloud hinzu und wie schnell Cloud-Anbieter ihre eigenen Dienste ändern und ersetzen können, und es ist außerordentlich herausfordernd für Nicht-Cloud-Experten (und auch Cloud-Experten), Schritt zu halten.


> Mehr lesen | Die Tech-Arbeiter, die Sie benötigen, sind nirgendwo und doch überall

Sicherheit in der Cloud vs. im Rechenzentrum

Der Unterschied in der Sicherheit zwischen Cloud-Computing und On-Premise-Rechenzentren besteht im Wesentlichen darin, wer die Haftung übernimmt.

Ein On-Premise-Rechenzentrum, das die Cloud nicht nutzt, hat Server, die im Besitz des Unternehmens sind und von diesem verwaltet werden. In diesem Szenario ist die Organisation vollständig für die Sicherheit verantwortlich.

Wenn ein Unternehmen eine Partnerschaft mit einer Cloud-fähigen Lösung eingeht, die einen Cloud-Anbieter nutzt, wird die Verantwortung für die Sicherheit des Rechenzentrums auf den Cloud-Anbieter übertragen.

Jedoch muss die Organisation alle Lieferanten, Anbieter und Dienstleister, die in irgendeiner Weise an der Cloud-Infrastruktur, den verwendeten Anwendungen und den bezogenen Diensten beteiligt sind, mit der gebotenen Sorgfalt prüfen. Im Idealfall bedeutet das, dass ein Unternehmen einen großen Anbieter wie AWS auswählt, der über die höchsten Niveaus an Cloud-Sicherheitstalenten verfügt und nachweislich erfolgreiche Sicherheitsbilanzen vorweisen kann.

Wird die Cloud Rechenzentren ersetzen?

Nein, die Cloud ersetzt Rechenzentren nicht. Eine Cloud-Lösung verwendet weiterhin ein Rechenzentrum zur Datenspeicherung. Jedoch ziehen sich die meisten Unternehmen zunehmend aus der Verwaltung eigener On-Premise-Rechenzentren zurück. Cloud-Anbieter besitzen und verwalten ihre eigenen Rechenzentren und „vermieten“ Speicherplatz an Partner.

Zum Beispiel ist AWS ein Cloud-Anbieter, der seine eigenen Rechenzentren verwaltet, die zur Speicherung der Cloud-Daten seiner Partner genutzt werden. AWS ist für die Sicherheit und Wartung dieser Rechenzentren verantwortlich, und dort speichern sie die Daten ihrer Cloud-Infrastruktur-Kunden.

Cloud-Datensicherheit für Content-Services.

Hyland ist ein führender Anbieter von Content Services mit einer Reihe von Cloud-fähigen und Cloud-nativen Technologien, Lösungen und Services. Wir nehmen die Cloud-Datensicherheit ernst, weil unsere Kunden dies verlangen, und weil es das Richtige ist.

Hyland und Cloud Computing

Erfahren Sie mehr über Hyland in der Cloud:

  • Hyland im AWS Marketplace
  • Die Hyland Cloud
  • Die Alfresco Business Platform-as-a-Service von Hyland

Hyland auf AWS

Hyland ist im AWS Marketplace aufgeführt. Erfahren Sie mehr über die Vorteile des Einkaufs dort, mit den folgenden Möglichkeiten:

  • Optimierung der Beschaffung
  • Implementierung von Kontrollen und Automatisierung der Bereitstellung
  • Verwaltung von Softwarebudgets mit Kostentransparenz

Das könnte Ihnen auch gefallen:

Cloud-Computing verstehen für nichttechnische Fachkräfte
Ein praktischer Leitfaden zur Cloud-Migration
On-Premise oder Cloud: Die richtige Wahl treffen