Cloud Computing und die Public Cloud bieten KMU viele Vorteile, doch dürfen sie dabei die Cyber Security auf keinen Fall vernachlässigen. Die Erreichbarkeit der Cloud-Dienste über das Internet macht die öffentliche Cloud für Cyberkriminelle interessant. Falsch konfigurierte Schnittstellen, schlecht geschützte Zugänge oder unsichere Endgeräte sind ein Sicherheitsrisiko für jedes KMU. Beachtet das Unternehmen zentrale Sicherheitsaspekte nicht, kann sich dies gravierend auswirken. Wie lässt sich die Public Cloud durch ein KMU und seine Mitarbeitenden sicher nutzen?
Cloud Computing und die verschiedenen Cloud-Typen
Die Leistungen einer Public Cloud (öffentliche Cloud) sind für beliebige Nutzer über das öffentliche Internet zugänglich. Über individuelle Zugangsdaten erhalten Anwender Zugriff auf ihre spezifischen Cloud-Dienstleistungen (Cloud Services) und Daten. Services einer Private Cloud hingegen werden exklusiv in einer geschützten Umgebung nur für eine bestimmte Anwendergruppe wie die Nutzer eines Unternehmens betrieben. Die Hybrid Cloud mischt Cloud-Services aus der Public und der Private Cloud.
6 Fragen und Antworten für den sicheren Einsatz der Public Cloud in KMU
Mit folgenden zentralen Fragestellungen sollte sich ein KMU beschäftigen, um die richtigen Vorkehrungen für die sichere Nutzung der Cloud-Services einer öffentlichen Cloud zu treffen.
1. Sind die Verantwortlichkeiten für die Cyber Security geklärt?
Mit der Auslagerung einzelner Services an einen Cloud Provider oder einen Anbieter von Managed IT Services verschieben sich die Verantwortlichkeiten für die Cybersicherheit. Arbeitet das KMU direkt mit einem Cloud Provider zusammen, so entsteht ein Modell mit verteilten Zuständigkeiten. Im Vorfeld ist zu klären, wer für welche Sicherheitsthemen zuständig ist. Dem KMU muss klar sein, für welche Bereiche es selbst und für welche der Cloud-Anbieter verantwortlich ist. Während der Anbieter sich in der Regel um die Sicherheit der Cloud-Umgebung kümmert, muss sich das KMU der Themen der sicheren Arbeit mit den Cloud-Services annehmen. Hilfreich sind die Abstimmung und Dokumentation der Verantwortlichkeiten zwischen Cloud-Anbieter und KMU zu allen sicherheitsrelevanten Themen.
Diese Aufgabenteilung entfällt, wenn das Unternehmen die Cloud-Dienste über einen Anbieter von Managed IT Services bezieht. Dieser sorgt für sichere Endgeräte bei allen Mitarbeitenden, sichere Netzzugänge oder für die Verschlüsselung sensibler Daten.
2. Sind die Zugriffe auf die Cloud-Services abgesichert?
Eines der grössten Risiken für ein KMU sind unberechtigte Zugriffe auf die öffentlich zugänglichen Cloud-Services, die direkt die Infrastruktur des Unternehmens betreffen. Die Services sind über das Internet von überall aus erreichbar und ein attraktives Ziel für Kriminelle. Oft kommen Cyberkriminelle durch einfaches Ausprobieren der Kombinationen aus Usernamen und Passwörtern zum Ziel. Besonders leicht haben es böswillige Hacker, wenn einfach zu erratende Passwörter verwendet werden oder nicht verantwortungsvoll mit den Zugangsdaten umgegangen wird.
Für das KMU ist es wichtig, entsprechende Regeln für die Zugangsdaten aufzustellen und die Mitarbeitenden für einen sicheren Umgang mit ihren Kennungen zu sensibilisieren. Anstatt die Authentifizierung mit Usernamen und Passwörtern durchzuführen, lässt sich der Zugriff auf die Services der Public Cloud mit der Zwei-Faktor-Authentifizierung wesentlich sicherer gestalten. Fast alle Cloud Provider bieten entsprechende Möglichkeiten.
3. Ist die Kommunikation zwischen Firmen-Netzwerk und Public Cloud ausreichend geschützt?
Auch wenn bestimmte Services in die Cloud ausgelagert sind, kommt kein KMU gänzlich ohne eigene IT-Infrastruktur und Firmennetzwerk aus. Mitarbeitende greifen von ihren Arbeitsplätzen über das Firmennetzwerk und den Übergang in das Internet auf die Dienste der öffentlichen Cloud zu. Diese Kommunikationsverbindungen sind zu schützen. Da die Daten im öffentlichen Internet prinzipiell an verschiedenen Stellen aufgezeichnet oder mitgelesen werden können, ist die Verschlüsselung der kompletten Kommunikation Pflicht. Zudem sind die Verbindungen und der Datenaustausch zwischen den Systemen im Internet und dem Firmennetz zu überwachen und zu kontrollieren. Firewall-Systeme an den Schnittstellen zwischen den lokalen und öffentlichen Systemen sind notwendig. Sollte eigenes Know-how für die Einrichtung und den Betrieb der komplexen Firewall-Systeme nicht vorhanden sein, bieten Anbieter von Managed Firewalls passende Lösungen. Für die Absicherung von IT-Infrastruktur innerhalb der Cloud sind cloudbasierte Firewall-Services verfügbar.
4. Sind die Endgeräte sicher?
Was die Cyber Sicherheit angeht, dürfen die Endgeräte nicht vergessen werden. Gelingt es einem Cyberkriminellen, sich Zugang zu schlecht geschützten Endgeräten zu verschaffen, hat er unter Umständen Zugriff auf Cloud-Services oder auf die in der Cloud gespeicherten Daten des KMU. Alle genutzten Geräte der Mitarbeitenden, seien es stationäre Büro-Desktop-PC, Laptops oder Mobilgeräte wie Smartphones oder Tablets, benötigen eine aktuelle und zuverlässige Endpoint-Security-Software.
5. Gibt es Backup-Konzepte, Datensicherungen und Disaster-Recovery-Pläne?
Für das Cloud Computing gilt der gleiche Grundsatz wie für herkömmliche IT-Services. Alle wichtigen Daten und Anwendungen sind regelmässig zu sichern. Zwar sichern auch Cloud Provider Daten und Anwendungen in ihrer Cloud, doch darf sich das KMU nicht komplett auf den Anbieter verlassen. Sinn machen eigene Datensicherungen und deren Ablage auf lokalen, vollständig von der Cloud getrennten Systemen. Für den Ernstfall ist zudem ein Disaster-Recovery-Plan zur Wiederherstellung der Daten und Systeme bereitzuhalten.
6. Ist die Einhaltung der Datenschutzvorgaben und der Compliance sichergestellt?
Für personenbezogene Daten oder sensible Unternehmensdaten sind gesetzliche Vorgaben und Compliance-Richtlinien einzuhalten. Nicht jeder Public-Cloud-Anbieter kann diese Richtlinien erfüllen oder die geforderte Cyber Security bieten. Werden beispielsweise personenbezogene Daten von EU-Einwohnern ausserhalb von Europa wie etwa in der Schweiz gespeichert und verarbeitet, so müssen die datenschutzrechtlichen Bestimmungen der EU erfüllt sein (Datenschutzgrundverordnung DSGVO). Einzuhaltende Compliance-Richtlinien können sich aus branchenrelevanten Gesetzesvorgaben ergeben. Unter Umständen ist es zur Einhaltung der gesetzlichen Vorgaben und Sicherstellung der Cyber Security notwendig, bestimmte Daten oder Anwendungen in einer Private Cloud oder On-Premises im eigenen Rechenzentrum vorzuhalten.
Fazit
Für ein KMU bietet die Nutzung öffentlicher Cloud-Services die Chance, effizienter, kostengünstiger und erfolgreicher zu arbeiten. Beschäftigen sich Geschäftsführer und IT-Verantwortliche mit den hier aufgeführten Fragestellungen, kommt auch die Cyber-Sicherheit nicht zu kurz. Hilfestellungen für eine sichere Nutzung der Cloud und die Auswahl eines geeigneten Cloud Providers bieten Managed-IT-Services-Dienstleister. Diese neutralen Experen stehen dem KMU bei allen Fragen rund um das Cloud Computing und die Sicherheit in der Cloud zur Verfügung. Auch übernehmen Sie bei Bedarf die Umsetzung der erforderlichen Infrastruktur und der Cyber Security.
.png){kind=icon}
