Gratis
23. Oktober 2017 - Cloud Computing

Cloud-Datenschutz: Informationen für die Geschäftsleitung

Viele haben Bedenken wegen Cloud Computing und dem Datenschutz in der Cloud. Doch was kann eigentlich alles passieren? Sind die Sorgen übertrieben?

Cloud-Computing: Machen Sie die Risiken für den Datenschutz deutlich Was tun, wenn die Geschäftsleitung nur die Vorteile sieht? (Bild: Boarding1Now / iStock / Thinkstock)

Wer als Datenschutzbeauftragter den Cloud-Datenschutz verbessern will – gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO / GDPR) – muss Überzeugungsarbeit leisten.

Vor allem wenn die eigene Geschäftsleitung zu den 57 Prozent gehört, die nach neuen Umfragen Daten in Public Clouds für sicher oder sehr sicher halten.

Dabei lassen sich zusammengefasst derzeit vor allem diese aktuellen Cloud-Risiken ausmachen:

  • Angriffe auf Cloud-Services und Nutzerkonten in der Cloud nehmen zu (Häufigkeit und Raffinesse).
  • Es herrscht Unklarheit über die Verantwortung für die Cloud-Sicherheit.
  • Cloud-Provider bieten nicht automatisch einen starken Schutz für Cloud-Anwendungen, Cloud-Zugänge und Cloud-Daten (Lücken in Cloud-Vereinbarungen).
  • Cloud-Software kann veraltet sein, Patches können fehlen oder wurden nicht eingespielt (auch hier: Verantwortung klären).
  • Abhängigkeit von Clouds steigt (Verfügbarkeit, Belastbarkeit der Cloud-Services hinterfragen).
  • Nutzer können erpressbar werden (Ransomware-Attacken auf Cloud-Daten / Cloud-Datenbanken).
  • In der Cloud herrscht eine große „Schatten-IT“ (Mangel an Transparenz und Kontrolle).

Cloud-Risiken verdeutlichen

Nutzen Sie aktuelle Vorfälle und Studien im Bereich Cloud Computing, um die Geschäftsleitung zu sensibilisieren und zu informieren.

An dieser Stelle seien mehrere Beispiele genannt:

  • Die Angriffe auf die Cloud nehmen um 300 Prozent im Vergleich zum Vorjahr zu, so der Microsoft Security Intelligence Report. Neben der Häufigkeit wächst die Raffinesse der Cyberangriffe auf Nutzerkonten in der Cloud.
  • Viele IT-Entscheider scheinen sich noch im Unklaren über ihre Verantwortlichkeit in Bezug auf Cloud-Sicherheit zu sein. Das zeigt eine Studie von Barracuda. Dabei gaben nur 69 Prozent der Befragten an, ihren Verantwortungsbereich bezüglich Cloud-Sicherheit vollständig zu verstehen.
  • Fast zwei Drittel der Befragten (64 Prozent) glaubten, es wäre die Verantwortung des Cloud-Anbieters, Daten in der Cloud zu sichern.
  • Weniger als die Hälfte (45 Prozent) der Unternehmen, die Public Cloud-Lösungen einsetzen, glauben, dass ihr Anbieter einen starken Schutz für den Zugang zu Anwendungen bietet. Ähnlich waren die Ergebnisse in Bezug auf den Schutz für Anwendungen (43 Prozent) und Daten (41 Prozent).
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete im Frühjahr 2017: Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzten, wiesen zum Teil kritische Sicherheitslücken auf. Angreifer hätten durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen können. Betroffen waren unter anderem die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.
  • Die steigende Abhängigkeit von Cloud-Services erhöht das Angriffsrisiko für Organisationen und Unternehmen, so der Internet Security Threat Report 2017 von Symantec. Zehntausende cloudbasierter MongoDB-Datenbanken wurden 2016 mit Lösegeldforderungen gekapert, nachdem Benutzer veraltete Versionen ungeschützt ließen, ohne dass eine Authentifizierung aktiviert war.
  • CIOs haben zudem nicht mehr im Blick, wie viele Cloud-Anwendungen die Mitarbeiter in ihren Unternehmen nutzen: Sie vermuteten, dass es nicht mehr als 40 seien, während es tatsächlich sogar beinahe 1.000 sind. Der ungesteuerte Zugang und die Schatten-IT stellen ein erhebliches Risiko dar, so Symantec.

Zahlen, Daten, Fakten

Vergleicht man die Verbreitung von Cloud Computing in anderen Industrieländern mit der Situation in Deutschland, zeigt sich, dass Unternehmen in Deutschland mehr Zurückhaltung üben, wenn es um IT-Ressourcen aus der Wolke geht.

Die erwarteten Vorteile im Cloud Computing lassen den Unternehmen aber keine Ruhe. Also legen  sie entweder trotz ihrer Bedenken mit Cloud Computing los. Oder sie intensivieren die Maßnahmen für die Cloud-Sicherheit:

  • So haben laut Cloud-Monitor 2017 von Bitkom und KPMG etwa zwei von drei Unternehmen Maßnahmen ergriffen, um die Datensicherheit in der Wolke zu erhöhen.
  • 63 Prozent kontrollieren die unerlaubte Nutzung von Public-Cloud-Diensten im Unternehmen.
  • Neben internen Vorschriften für die Auswahl und Nutzung von Cloud-Diensten kommen dabei die Auswertung von Firewall-Logins oder spezielle Sicherheitsüberprüfungen der genutzten Cloud-Anwendungen zum Einsatz.
  • Ein Drittel der Unternehmen (34 Prozent) kontrolliert die Cloud-Nutzung in der Organisation allerdings bislang nicht.
  • Gleichzeitig besagt der Cloud-Monitor 2017: 57 Prozent der befragten Geschäftsführer und IT-Verantwortlichen halten ihre Unternehmensdaten in der Public Cloud für „sehr sicher“ oder „eher sicher“.
  • Nur vier Prozent halten ihre Daten für „sehr unsicher“ oder „eher unsicher“. 37 Prozent können keine klare Aussage machen.

Cloud-Datenschutz gehört stärker in den Fokus!

Die Beispiele und Zahlen machen deutlich: Auch wenn die Cloud-Risiken weniger offensichtlich sind wie die Cloud-Vorteile: Sie sind trotzdem vorhanden – und nehmen sogar zu.

Cloud Computing braucht deshalb bei steigender Nutzung auch mehr Datensicherheit. Nur dann kann es eine sichere Grundlage der Digitalisierung sein oder werden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln