Die einen stehen ihr immer noch sehr kritisch gegenüber – die anderen wiederum nutzen sie, ohne sich groß Gedanken um potentielle Risiken zu machen: Cloud Dienste. Wir möchten Ihnen in unserem Blogartikel zeigen, wie Sie einen guten Mittelweg finden und somit nicht nur Ihre Daten, sondern auch die Ihrer Kunden verantwortungsbewusst behandeln und schützen.
E-Mail-Anbieter verweisen auf die kostenpflichtige Cloud, wenn das E-Mail-Postfach langsam voll wird. Smartphone-Anbieter verweisen auf die Cloud, wenn der Speicherplatz des Handys nicht mehr ausreicht. Außerdem ist die Cloud ein gern genutzter Backup-Speicher. Wenn das Gerät defekt ist, können die Daten sehr einfach wiederhergestellt werden. Das schafft ein sicheres Gefühl!
Da sowohl der private als auch der geschäftliche Alltag immer mehr digitalisiert abläuft und hierfür auch immer mehr Datenspeicher vonnöten ist, werden sich wahrscheinlich in den nächsten Jahren noch mehr Menschen für eine eigene private oder geschäftliche Cloud-Variante entscheiden – nicht nur, weil es aufgrund der aktuellen und neuen Technologien irgendwann nicht mehr möglich sein wird, alle Daten lokal zu speichern, sondern auch, weil die eindeutig überzeugenden Vorteile einer Cloud-Lösung die teils berechtigten Zweifel langsam verblassen lassen.
Im geschäftlichen Kontext werden Daten gern einfach per Link an Kunden und Partner weitergegeben. Dieser Link verweist dann auf die Cloud, welche die Daten beinhaltet. Termine können ebenfalls über eine Cloud koordiniert werden. Hier ermöglicht eine Cloud also nicht nur ein flexibleres Arbeiten, einen schnelleren Zugriff auf die aktuellsten Dokumente sowie einen professionellen Datenaustausch mit Kunden und Geschäftspartnern - sie schenkt dem Nutzer zusätzlich auch die beruhigende Gewissheit, dass ein Defekt der Hardware nicht gleich einen kompletten Datenverlust bedeuten muss.
Für andere wiederum stellt eine Cloud eine Test- und Entwicklungsumgebung dar. Ganz schön vielfältig! – und dazu noch flexibel und einfach – nicht nur, weil die Daten auch immer und überall verfügbar sind.
Cloud-Dienste sind vor allem eins: einfach und vor allem praktisch. Die Cloud ermöglicht es, private und geschäftliche Daten zentral abzulegen, immer darauf zuzugreifen und diese unkompliziert an andere zu übermitteln.
Letztendlich handelt es sich bei „der Cloud“ um einen Online-Speicher oder eine online verfügbare Anwendung – oder beides in Kombination, welche sich dementsprechend auch nicht mehr beim Nutzer direkt befindet, sondern – ganz einfach betrachtet – auf einen oder mehreren Servern im Rechenzentrum des Anbieters liegt. Vorausgesetzt dieser verfügt über ein Rechenzentrum – andernfalls kann er diesen Platz auch gemietet haben. Die Daten liegen also an einem zentralen Ort und der Zugriff ist orts- und geräteunabhängig möglich – oft durch mehrere (berechtigte) Personen.
Alles ziemlich praktisch und wenn man sich erst einmal mit dem System angefreundet hat – auch sehr komfortabel.
Doch zurück zum sicheren Gefühl! Kann man sich eigentlich bei jeder Cloud darauf verlassen, dass sie sicher ist?
Es wurde ja schon angedeutet. Die Akzeptanz der Cloud wächst. Langsam ist es „normal“, seine Daten hier abzulegen. Seien es die Urlaubsfotos, der Terminplaner, Geburtsdaten und Telefonnummern von Freunden, Bekannten, Kollegen oder Kundendaten. Projektpläne, Urkunden, etc., etc. - alles liegt in der Cloud. Sogar Videokonferenzen laufen darüber. Die Frage ist:
Würden sie diese Informationen theoretisch jedem zeigen können, ohne sich dabei unwohl zu fühlen? – denn genau das könnte geschehen, wenn die Cloud, welche Sie wählen, nicht die sicherste ist.
Wenn Sie jetzt sagen: „Nein, bei mir liegen keine sensiblen Daten in der Cloud“, sagen wir: „vielleicht ja doch!“ – nämlich dann, wenn Ihr Backup in der Cloud liegt. Haben Sie immer alles im Blick, was hier mit hochgeladen wird? Sämtliche Kontaktdaten sind sicher nur ein Teil davon. Und: es ist ja auch ok und sinnvoll. Aber eben nur dann, wenn diese teils sensiblen und personenbezogenen Daten auch entsprechend geschützt sind.
Ein einfaches Passwort für ihre Cloud reicht für die optimale Sicherheit auf jeden Fall nicht aus! Es sind einige Komponenten, die hier intelligent „zusammenspielen“ müssen. Zum einen ist das die Art und Weise, wie man die Cloud verwendet. Zum anderen ist aber auch die Art der Anwendung (Software) und das Verhalten des Anbieters wichtig. Wie verantwortungsvoll gehen alle Beteiligten mit den Daten um?
Wenn all diese Sicherheits-Komponenten nämlich nicht abgedeckt sind – und es kommt zu einem Datenverlust oder sogar zu einem Angriff durch Cyberkriminelle, kann dies für Sie sogar finanzielle und rechtliche Folgen haben.
Und, fühlen Sie sich immer noch sicher?
Bevor wir Ihnen erklären, wie Sie sich und Ihre Daten in der Cloud schützen können, möchten wir erst einmal grundsätzlich klären, wovor Sie sich eigentlich schützen sollten.
Es ist ein Unterschied, ob Ihre Daten einfach nur „weg“ – gelöscht, verschwunden – sind, oder ob diese durch Cyberkriminelle ausgelesen und für kriminelle Zwecke missbraucht werden. Beides ist nicht schön und kann zu negativen Konsequenzen (Kosten, Strafanzeigen, Rufschädigung, Umsatzverlust, etc.) führen - bis hin zum Aus für Ihr Geschäft.
Sie sollten also vor zwei Dingen geschützt werden: Datenverlust & Cyerkriminalität.
Und wer schützt Sie und Ihre Daten? – Sie sich selbst! Und Ihr Cloud- oder Hostinganbieter!
Es bestehen also zwei Ebenen, auf denen sowohl Sie als auch Ihr Anbieter agieren müssen.
Um sicherheitsrelevante Aspekte noch besser einschätzen zu können, sollten Sie außerdem die Arten von „Cloud“ kennen, wie man sie im Allgemeinen nutzen kann. Die oben genannten Szenarien beschreiben das Phänomen nämlich noch nicht komplett. Hier also eine kurze „Cloud-Systematisierung“:
Hier werden dem Nutzer vor allem Speichermöglichkeiten, Netzwerkkomponenten und andere Ressourcen über das Internet zur Verfügung gestellt.
Es werden dem Nutzer Anwendungen, also Software über das Internet zur Verfügung gestellt.
Hier bekommt der Nutzer Zugriff auf eine Cloud-Umgebung. Es wird die Infrastruktur bereitgestellt, in welcher Anwendungen beispielsweise getestet und entwickelt werden können. Hier spielen sowohl Hardware als auch Software eine Rolle.
Betrachtet man diese 3 Arten, so dürfte bereits klar werden, dass die Sicherheit auf mehreren Ebenen hergestellt werden muss. Dies betrifft zum einen die Datenübertragung und -speicherung und zum anderen auch die Sicherheit der verwendeten Software. Hier muss man also ebenfalls an mehreren Stellen ansetzen.
Die Cloud-Sicherheit muss also zum einen auf Anbieter- und auf Nutzerseite geschaffen werden und zum anderen hinsichtlich der IT-Infrastruktur (Rechenzentrum, Server, Datenübertragung) und auf Softwareebene. Doch wie sieht das konkret aus?
Der vielleicht wichtigste Punkt zuerst: Wählen Sie einen Anbieter aus, bei dem Sie sich sicher sein können, dass Ihre Daten gut aufgehoben sind.
Das erkennen Sie daran, dass dieser die folgenden Punkte berücksichtigt!
Viele Anbieter bieten Ihnen fertige Cloud-Lösungen in verschiedenen Varianten an. Hierbei ist es nicht nur wichtig, auf die Leistungsmerkmale wie Speicherplatz etc. zu achten. Daher möchten wir Ihnen hier ein paar weitere Eigenschaften nennen, auf die Sie für mehr Cloud-Sicherheit unbedingt achten sollten.
Wer einen sicheren und permanenten Zugriff auf seine Daten haben möchte, sollte außerdem die Verfügbarkeit und die Daten- sowie Ausfallsicherheit des Rechenzentrums, in dem die Cloud „liegt“, genauer unter die Lupe nehmen.
Zu den Sicherheitsaspekten zählt beispielsweise die permanente Überwachung verschiedener Parameter durch den Anbieter, sodass eine ständige Verfügbarkeit der Server gegeben ist. Denn was nützen die Daten, wenn man diese nicht im entscheidenden Moment aufrufen kann?
Außerdem muss sichergestellt werden, dass Unbefugte keinen Zugriff auf das Rechenzentrum und somit Ihre Cloud haben. Dies geschieht durch verschiedene Methoden der Zugangssicherung wie beispielsweise Kameraüberwachung.
Auch im Fall von Brand oder Unwetterschäden muss der Server, auf dem Ihre Cloud liegt, geschützt sein. Für diesen Fall können Rechenzentrumsbetreiber ebenfalls verschiedene Maßnahmen ergreifen.
Weiterhin kann es aus verschiedenen Gründen einmal zur Unterbrechung der Stromversorgung oder der Datenverbindung kommen. Bei möglichen Ausfällen oder Schäden an Leitungen muss immer eine redundante Datenverbindung oder Stromversorgung gewährleistet sein. Außerdem ist es für solche Fälle auch sinnvoll, dass der Anbieter die Daten seiner Kunden „spiegelt“, um im Notfall ein Backup zur Verfügung zu haben.
Selbstverständlich sollten verschiedene Sicherheitsmechanismen wie ein guter DDoS-Schutz durch den Anbieter gegeben sein, sodass die Daten in der Cloud sicher und nahezu immer verfügbar sein können.
Wer sicher gehen will, dass die eigenen Daten optimal vor fremden Zugriffen geschützt sind, sollte zunächst darauf achten, dass die Cloud – also der Server mit den entsprechenden Daten – in einem Rechenzentrum in Deutschland bzw. in der EU steht. Denn nur so kann man auf die Anwendung des Deutschen Datenschutzgesetzes bzw. der EU-DSGVOvertrauen. Somit wird beispielsweise die Vorratsdatenspeicherung ausgeschlossen.
Es ist darauf zu achten, dass in verschiedener Hinsicht eine Verschlüsselung erfolgt – zum einen in Bezug auf die Daten und zum anderen in Bezug auf deren Übertragung. Wenn diese nicht stattfindet, ist es für Hacker besonders leicht, die Informationen auf ihrem Weg vom Sender zum Empfänger abzufangen.
Daher sollte die Übertragung nicht einfach nur per TLS-Protokoll (SSL-Zertifikat) erfolgen, sondern mittels Ende-zu-Ende-Verschlüsselung. Hier werden die Informationen beim Absender verschlüsselt und beim Empfänger entschlüsselt.
Damit Hacker und Unberechtigte kein leichtes Spiel haben, um an Ihre Daten heranzukommen, ist es zum einen wichtig, dass Sie Nutzer und Zugriffsrechte für die Cloud festlegen können und zum anderen, dass eine 2-Faktor-Authentisierung für den Login eingerichtet werden kann. Auch eine zeitliche Beschränkung von beispielsweise Zugriffslinks sollte einstellbar sein.
Zusammengefasst sind all die Funktionen sinnvoll, welche sicherstellen, dass nur die Menschen Zugriff auf die Daten in der Cloud erhalten, welche dazu auch berechtigt sind und für welche die Daten bestimmt sind.
Was wäre, wenn nicht nur der Anbieter einer Software sich um die Sicherheit kümmern würde, sondern eine extrem große Community aus Entwicklern gemeinsam hierfür zuständig wäre? Die Wahrscheinlichkeit, dass Sicherheitslücken schnell entdeckt und behoben werden können, wäre enorm hoch! So funktioniert Open Source Software. Anders als vielleicht der durchschnittlich informierte Internet-Nutzer vermuten würde, deutet der Begriff „Open Source“ nicht auf die Tatsache hin, dass das Programm frei – also kostenlos – verfügbar ist, sondern darauf, dass der Quellcode frei von Dritten eingesehen, bearbeitet und verwendet werden kann. Somit wird diese permanent auf Ihre Sicherheit hin untersucht und weiterentwickelt und bietet somit eine sinnvolle Alternative zur klassischen kommerziellen Software. Sobald eine Software – oder eben eine Cloudlösung auf einer Open Source Software basiert, ist also die Wahrscheinlichkeit ziemlich hoch, dass diese ebenfalls besonders sicher ist. Ein Beispiel hierfür wäre ownCloud als Open Source Software bzw. das darauf basierende Nextcloud, welches als Grundlage für Cloud-Anwendungen dient.
Wie geht Anbieter mit den Daten um? Wann werden diese nach Kündigung der Cloud oder Löschung durch Sie dann wirklich von allen Datenträgern gelöscht? Welche Daten werden im Zuge der Vertragserfüllung erfasst? - sind dies mehr als notwendig? Wer erhält Zugriff auf diese Daten? - Mit all diesen Punkten sollten Sie vor Nutzung einer Cloud bedenken und prüfen.
Wer die AGB und Datenschutzerklärungen verschiedenster außereuropäischer Online-Dienste einmal genauer betrachtet, stellt schnell fest, dass teilweise private Informationen – wenn auch anonymisiert – von den Anbietern oder deren Partnern analysiert und weiterverarbeitet werden dürfen.
Gerade bei Anbietern, welche ihre Dienste kostenfrei zur Verfügung stellen, macht es manchmal Sinn, darüber nachzudenken, welchen Vorteil diese davon haben könnten, einen kostenfreien Dienst für ihre Kunden anzubieten. Sicherlich kann man hier keine pauschalen Aussagen treffen, jedoch ist ein Blick in die Datenschutzerklärung vor der Nutzung eines Dienstes immer wichtig – denn dieser stimmt man mit Nutzung des Dienstes schließlich zu.
Manchmal kommt es vor, dass selbst bei der nutzerfreundlichsten Oberfläche oder nach intensiver eigenständiger Recherche doch einmal Fragen oder Probleme auftauchen, die man selbst nicht lösen kann. In solch einem Fall ist es sehr sinnvoll und dementsprechend auch sehr beruhigend, wenn man den Anbieter der verwendeten Cloud schnellstmöglich erreicht und zeitnah eine kompetente Antwort erhält – im besten Fall noch direkt vom Anbieter. Hier sind beispielsweise eine gute Verfügbarkeit der Hotline und persönliche Ansprechpartner im Kundenservice als positives Indiz zu bewerten.
Wie so oft beim Thema IT und Sicherheit spielt auch beim Thema Cloud der Nutzer selbst eine wichtige Rolle. Auch dieser kann durch verschiedene Maßnahmen zur Sicherheit der Coud beitragen. Hier noch ein paar Tipps für Sie als Nutzer:
Greifen Sie nur über vertrauenswürdige Netze auf Ihre Cloud zu. Sollten Sie ein öffentliches Netz nutzen, verwenden Sie hierfür bitte unbedingt einen VPN-Zugang. Hierfür ist ggf. zusätzliche Software auf Ihrem Gerät erforderlich, welche Sie sich von einem IT-Administrator einrichten lassen können. Über diese Verbindung können Sie beispielsweise von einem anderen Ort sicher auf Ihr Firmennetzwerk und Ihre Cloud zugreifen.
Besonders schützenswerte Daten sollten direkt auf dem Computer des Nutzers noch einmal extra verschlüsselt bzw. passwortgeschützt werden. Dementsprechend muss der Datenempfänger, also ein weiterer Nutzer, die Daten entschlüsseln können.
Gehen Sie immer verantwortungsvoll mit Ihren Daten um. Dies heißt auch, dass Sie nur Menschen Zugriff darauf geben, welche die Daten nutzen sollten und dürfen. Gleiches gilt für die Links, welche Zugriff auf die Daten gewähren.
Passwörter sollten immer personengebunden angelegt und entsprechend genutzt werden. Es macht wenig Sinn, wenn ein komplettes Team das gleiche Passwort verwendet. Im Ernstfall kann nicht nachvollzogen werden, wo das „Datenleck“ lag.
Auch Ihr IT-Sicherheitskonzept bzw. die IT-Sicherheitsrichtlinie, insofern Sie die Cloud geschäftlich nutzen, sollten Hinweise zur sicheren Verwendung der Cloud enthalten. So wissen alle beteiligten, wie Sie sicher mit den Daten umgehen.
Letztendlich ist noch zu erwähnen, dass immer darüber nachgedacht werden sollte, welche Informationen überhaupt in einer Cloud liegen sollten und ob nicht in manchen Fällen – beispielsweise bei besonders sensiblen Daten - eine lokale Lösung die bessere Variante ist.
Inwieweit die genannten Aspekte von Bedeutung sind, muss letztendlich jeder selbst für sich entscheiden – auch in Abhängigkeit vom jeweiligen Vorhaben und den entsprechenden Daten. Jedoch sollte die Entscheidung stets ganz bewusst getroffen werden, sodass es später kein „böses Erwachen“ gibt und die Freude an der gewählten Cloud lange anhält!
Entscheiden Sie sich bewusst für eine Variante, welche den für Sie wichtigen Kriterien entspricht. Auf diese Art und Weise können Sie nicht nur die Vorzüge einer Cloud mit einem guten Gewissen genießen – auch die Geschäftspartner, Kunden, Freunde und Familienmitglieder wissen es gewiss zu schätzen, wenn sich die projektbezogenen oder privaten Informationen in guten Händen – bzw. auf einem guten Server – befinden.
Bei Fragen zum Thema Cloud und Datensicherheit steht Ihnen das Keyweb-Team jederzeit gern zur Verfügung.