Cloud Computing

Cloud Computing: 8 Fehlerquellen, die Sie nicht unterschätzen sollten

"Die Cloud ist eine unumgängliche und notwendige Technologie für die Modernisierung unserer Gesellschaft.“ 

Cédric O, französischer Staatssekretär für Digitales

Wenn über Cloud Computing geredet wird, geht es meist um die vielen Vorteile, die es im privaten und geschäftlichen Bereich bietet. Welche Risiken es birgt, wird meist erst im zweiten Schritt erwähnt. Und das obwohl Cloud-Plattformen zunehmend durch Cybercrime bedroht werden.

Dabei können die Risiken enorme Konsequenzen für Unternehmen nach sich ziehen. Jedes dritte Unternehmen berichtet, dass es in den letzten zwölf Monaten einen Schaden durch Cloud-Attacken erlitten hat. Die häufigsten Folgen: Betriebsunterbrechungen, wirtschaftliche Schäden und Stillstand im Unternehmen.

Wir haben zusammengefasst, welche Risiken Cloud Computing birgt und wo die acht größten Gefahrenquellen liegen. 

1. Fehlerhafte Konfiguration

Ist das eigene Personal nicht oder nicht ausreichend geschult, können Fehler in der Konfiguration und Administration des Cloud-Dienstes entstehen – sowohl im Umzug als auch im anschließenden Betrieb. Dabei sind es mehrheitlich Fehler in der Konfiguration, die zu Schwachstellen und damit zu Cloud-Angriffen führen.

Sind Rollen und Rechte nicht konsequent verteilt, können zudem unautorisierte Zugriffe bzw. Löschungen oder Änderungen die Folge sein und die Integrität der Daten beeinträchtigen. 

2. Unzureichende Sicherung

Ohne ausreichend sichere Zugänge – starker Passwortschutz, Zwei-Faktor-Authentisierung (2FA) – zum Cloud-Dienst, sind die gespeicherten Daten nicht ausreichend geschützt und können abgegriffen oder fremdverschlüsselt werden.

Gibt es keine 2FA und sind die Daten in der Cloud nicht verschlüsselt, gibt es zudem ein erhöhtes Risiko bei einem Zugriff über unsichere Netze (z. B. öffentliche WLAN-Hotspots).  

ALLEINE GELASSEN MIT DEM DATENSCHUTZ?

Holen Sie sich Unterstützung von unseren qualifizierten und erfahrenden DSB-Mentoren!

Jetzt anfragen!

3. Fehlende Strategien und unklar definierte Anforderungen

Um von einem Dienst zu erhalten, was Sie benötigen, müssen Sie erst einmal wissen, was Sie benötigen. Dafür sollten Sie die Anforderungen, die ein Cloud-Dienst erfüllen soll, klar definieren. Ansonsten kann es schnell passieren, dass der gewählte Dienst hinter den Erwartungen bleibt und nicht den gewünschten Mehrwert bieten kann. Häufig wird das interne Security-Team in diesen Prozess erst viel zu spät involviert, sodass wichtige Sicherheitsüberlegungen bereits bei der Auswahl eines Dienstes zu kurz kommen.

Ohne eine entsprechende Strategie zur Auswahl, Nutzung und möglicherweise zum Ausstieg kann Ihr Cloud-Projekt nicht sein volles Potential entfalten. Die Folge könnte ein ungeeigneter Cloud-Dienst sein, der mit Ihrer IT, den internen Geschäftsprozessen oder dem Schutzbedarf nicht kompatibel ist. Das kann sowohl organisatorische und technische als auch finanzielle Konsequenzen haben. Meist läuft es zudem darauf hinaus, dass Sie Ihre Ziele nicht erreichen.
Auch für die Migration zum Cloud-Dienst benötigen Sie eine entsprechende Strategie.

Ungenügende Planungsphasen, Hauruck-Migrationen und fehlende Pilot- und Testphasen mit zeitlich begrenztem Parallelbetrieb können zu Datenverlust und Ausfall von Diensten führen. 

Ohne Strategie funktioniert Cloud Computing nicht.

Ohne entsprechende Strategie können Cloud Computing Projekte nicht ihr volles Potential entfalten.

4. Anhängigkeit von einem Cloud-Dienst

Bei der Nutzung von Cloud-Diensten gibt es meist nur begrenzte Kontrollmöglichkeiten. Sollten Sie keine vollständige Kontrolle über Ihre ausgelagerten Geschäftsprozesse und abgespeicherten Informationen haben, sind Sie davon abhängig, dass das Dienstleistungsunternehmen die Sicherheitsmaßnahmen korrekt umsetzt.

Zusätzlich kann die Auslagerung der eignen IT in die Cloud dazu führen, dass intern wertvolles Wissen über IT und Informationssicherheit verlorengeht. In solchen Fällen wird es zunehmend schwieriger, die angebotenen Schutzmaßnahmen zu beurteilen oder einen Wechsel zu einem anderen Cloud-Dienst zu planen und durchzuführen.

Den Cloud-Dienst zu wechseln ist meist mit einem hohen Aufwand verbunden. Die dadurch entstehende Abhängigkeit können Unternehmen ausnutzen, um Preise zu erhöhen oder die Qualität zu senken.

Gibt es keine vertragliche Regelung, wie ein Wechsel abzulaufen hat und wie die gespeicherten Daten exportiert werden können, kann es bei einem Umzug zu einem Datenverlust kommen bzw. die Abhängigkeit vom Cloud-Dienst wird erhöht.  

5. Unzulängliche vertragliche Regelungen

Verantwortungsbereiche, Aufgaben und Leistungsparameter sollten bei der Nutzung von Cloud-Diensten ausreichend vertraglich geregelt sein. Ist dies nicht der Fall, kann es dazu kommen, dass das Dienstleistungsunternehmen Sicherheitsmaßnahem nicht (ausreichend) umsetzt. Neue Situationen, die nicht vertraglich geregelt sind, können sich zum Nachteil für Sie entwickeln.

6. Ausfall des Cloud-Dienstes

Nimmt Ihr Cloud-Dienst keine umfassende Segmentierung vor und werden Sie von anderen Organisationen nicht ausreichend getrennt, können ausgefallene IT-Systeme der anderen Organisationen auch bei Ihnen zu einem Ausfall führen. Auch bei einem Ausfall der Anbindung oder einem Angriff auf die Cloud-Computing-Plattform können Dienste vorübergehend oder längerfristig nicht mehr verfügbar sein.

Gibt es für solche Fälle kein ausreichendes Notfallversorgungskonzept oder werden Notfallszenarien nicht mit dem Cloud-Dienst abgesprochen, können sich Ausfallzeiten unnötig in die Länge ziehen – mit Folgen für die Geschäftsprozesse.

Ohne Plan für Redundanzen und Fallback-Strategien für Konnektivität sind Daten und Services (länger) nicht verfügbar. Welche Maßnahmen hier notwendig sind, hängt ganz von Ihrer Risikoanalyse ab. 

Error 404: für Ausfälle von Cloud Diensten benötigen Sie ein Notfallversorgungskonzept

Bereiten Sie sich mit Notfallversorgungskonzepten und Fallback-Strategien auch mögliche Ausfälle des Cloud-Dienstes vor.

7. Verstoß gegen rechtliche Vorgaben

Möchten Sie einen Cloud-Dienst nutzen, sollten Sie sich über die jeweils geltende nationale Gesetzgebung informieren. Je nach Unternehmensstandort und Standort des Cloud-Dienstes kommen hier verschiedene rechtliche Vorgaben auf Sie zu. Darunter: Datenschutz, Informationspflichten, Insolvenzrecht, Geschäftsgeheimnisgesetzt, Haftung, Informationszugriff und viele mehr. 

8. Datenschutz-Verletzungen

Nicht zuletzt kann eine fehlerhafte Nutzung von Cloud-Diensten zu Datenschutz-Verletzungen führen. Denn die Verantwortung bleibt bei den beauftragenden Organisationen – auch wenn Cloud-Dienste eine Mitwirkungspflicht haben. Das bedeutet, Sie müssen sicherstellen, dass die Daten datenschutzkonform verarbeitet werden und die nötigen technischen und organisatorischen Maßnahmen getroffen wurden.

Auch bei der Auswahl von Diensten sollten Sie bereits auf Datenschutzkonformität achten. Werden die Daten nicht in der EU, sondern einem Drittstaat gespeichert, müssen besondere Vorkehrungen getroffen werden. 

Fazit

Bei der Nutzung eines Cloud-Dienstes kann viel schief gehen. Cloud Computing bietet aber auch enorme Vorteile für viele Organisationen. Gehen Sie daher auf Nummer sicher. Achten Sie bereits bei der Auswahl von Cloud-Diensten – am besten mit Speicherung in Deutschland oder der EU – auf Zertifikate und Testate, gehen Sie strategisch vor – auch in Bezug auf einen möglichen Ausstieg – und treffen Sie Sicherheitsvorkehrungen.

Sie sind unsicher, wie Sie Cloud-Dienste datenschutzkonform und sicher einsetzen und welche technischen und organisatorischen Maßnahmen Sie umsetzen sollten?

Sprechen Sie uns an!

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Bundesamt für Sicherheit in der Informationstechnik (2021): „OPS.2.2: Cloud-Nutzung“, Februar 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_2_2_Cloud-Nutzung_Edition_2021.pdf?__blob=publicationFile&v=2, letzter Zugriff am 06. Oktober 2021.

Bundesamt für Sicherheit in der Informationstechnik (o. J.): „Cloud: Risiken und Sicherheitstipps“, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cloud-Computing-Sicherheitstipps/Cloud-Risiken-und-Sicherheitstipps/cloud-risiken-und-sicherheitstipps_node.html, letzter Zugriff am 06. Oktober 2021.

Bundesministerium für Wirtschaft und Energie (2021): „IPCEI Cloud geht in die nächste Phase – Interessenbekundungsverfahren in Deutschland gestartet und beginn der Vorbereitungen zum europäischen Matchmaking“, 09. Juli 2021, https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2021/07/20210709-ipcei-cloud-geht-in-die-naechste-phase.html, letzter Zugriff am 06. Oktober 2021.

Bundesverband IT-Sicherheit e.V. (2021): „Leitfaden Cloud Security: Sichere Nutzung von Cloud-Anwendungen“, TeleTrusT, https://www.heise.de/downloads/18/3/1/5/4/5/3/5/2021-TeleTrusT-Leitfaden_Cloud_Security.pdf, letzter Zugriff am 06. Oktober 2021.

Computerwoche, CIO (2021): „Studie Cloud Security 2021”,https://www.tuvsud.com/de-de/-/media/de/management-service/pdf/cyber-security-certification/idg-studie2021-1-cs_web_small2.pdf, letzter Zugriff am 06. Oktober 2021. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies