Sicherheit und Mobilität in der Cloud: Wie steht es um Ihre Sicherheit?

Die Cloud gehört heute für Verbraucher und Unternehmen zum Standard, und dennoch wissen viele Leute gar nicht, was die Cloud eigentlich ist, obwohl sie sie tagtäglich verwenden. Wenn Sie soziale Medien wie Facebook® und Twitter nutzen oder Ihre E-Mails mit Gmail oder Yahoo Mail versenden, greifen Sie automatisch auf die Cloud zu. Irgendwo müssen die ganzen Informationen schließlich gespeichert werden, und das geschieht ganz sicher nicht auf Ihrem Computer.

Das gleiche gilt für Unternehmen. Viele der beliebtesten Business-Apps wie die G Suite von Google oder Microsoft® Office 365 sind Cloud-basiert. Und wir bei RingCentral sind stolzer Marktführer im Bereich Cloud-Lösungen für die Unternehmenskommunikation.

Aber was ist nun diese Cloud?

Der Begriff Cloud bezeichnet das Remote-Netzwerk oder Rechenzentrum, in dem Dateien gespeichert oder Services gehostet werden, die dann von verschiedenen Geräten aus online abgerufen werden können. RingCentral zum Beispiel hostet seinen Service in mehreren Rechenzentren in den USA.

Die Cloud bezeichnet das Remote-Netzwerk, in dem Dateien gespeichert und Services gehostet werden, die dann online abgerufen werden können.

 So können Unternehmen mit einem RingCentral-Abonnement über internetfähige Geräte wie IP-Telefone, Smartphones, Tablets, Desktop-PCs oder Laptops auf ihr cloudbasiertes Telefonsystem zugreifen und dieses verwenden.

Sicherheit in der Cloud – Probleme und Herausforderungen

Nur weil wir uns inzwischen an die Technologie gewöhnt haben, sollten wir nicht vergessen, dass Firmen dabei im Endeffekt ihre sensiblen Daten in die Hände von Drittanbietern legen. Außerdem bewegen sich diese Daten durch das öffentliche Internet und sind so dem Risiko ausgesetzt, abgefangen zu werden.

In einem Artikel aus dem Januar listete der CSO von IDG die 12 größten Bedrohungen für die Cloud-Sicherheit 2018 auf. Dazu gehörten neben Sicherheitsrisiken wie Datenmissbrauch und Datenverlust auch unzureichendes Identitäts-, Berechtigungs- und Zugriffsmanagement.

Wie sicher ist die Cloud?

Zwar bestehen Sicherheitsrisiken, trotzdem ist die Cloud viel sicherer als Sie denken. Viele der Sicherheitsprobleme lassen sich auf Cloud-Services zurückführen, die keinen besonders guten Ruf genießen.

Eigentlich ist die Cloud viel sicherer als die meisten lokalen Unternehmensnetzwerke.

 Wenn Sie es mit erstklassigen Cloud-Anbietern wie Microsoft, Google und RingCentral zu tun haben, können Sie sich weitestgehend darauf verlassen, optimal geschützt zu sein – 100-prozentige Sicherheit gibt es bei IT-Systemen jedoch nicht.

Für diese Branchengrößen hat die Sicherheit ihrer Cloud-Systeme aber oberste Priorität. Immerhin geht es dabei um ihren guten Ruf.

Welche Sicherheitsinformationen sollte der Anbieter Ihrer Cloud-Lösung zur Verfügung stellen?

Namhafter Anbieter oder nicht, Cloud-Sicherheit sollte immer ganz oben auf der Liste stehen, wenn Sie Ihre sensiblen Daten und Unternehmensprozesse einem externen Cloud-Anbieter anvertrauen.

Selbst wenn der Cloud-Anbieter einen guten Ruf in puncto Sicherheit genießt, lohnt sich die Frage, wie genau er für die Sicherheit Ihrer Daten sorgt.

Um sich von der Sicherheit der jeweiligen Systeme zu überzeugen, sollten Sie so viel wie möglich über die Sicherheitsmaßnahmen und -richtlinien der zur Wahl stehenden Cloud-Services in Erfahrung bringen.

Fragen Sie die Anbieter von Cloud-Lösungen nach:

  • Mehrstufige Authentifizierung – Das ist die Mindestanforderung an Ihren Anbieter. Bei dieser Methode wird die Identität des Nutzers durch zwei oder mehr Authentifizierungsfaktoren bestätigt, zum Beispiel durch etwas, das der Nutzer weiß, besitzt, und/oder ist. Manche Anbieter implementieren diese Authentifizierungsmethode in Kombination mit Single Sign-on, damit der Nutzer sich nicht ständig neu anmelden muss.
  • Redundanz – Die meisten Anbieter von Cloud-Services speichern mindestens drei Kopien derselben Daten auf verschiedenen Servern, die sich teilweise sogar in verschiedenen Rechenzentren befinden. Dadurch wird die Gefahr des Datenverlusts minimiert.
  • Mehrere Rechenzentren – Dieser Punkt gehört zum Thema Redundanz. Top-Cloud-Anbieter verfügen nicht nur über mehrere Server, sondern betreiben auch über den Globus verteilt mehrere Rechenzentren. Ist ein Rechenzentrum beeinträchtigt, können die anderen Rechenzentren übernehmen.
  • Datenverschlüsselung – Es gibt eine Vielzahl an Vorschriften (auf Bundes-, Landes- oder Branchenebene) zum Datenschutz bei der Speicherung und Übertragung von Informationen. Eine Verschlüsselung ist zwar keine explizite Compliance-Voraussetzung, aber dennoch die beste Methode, alle Vorgaben zu erfüllen. Stellen Sie also sicher, dass Ihr Cloud-Anbieter an allen Übertragungsendpunkten hochgradige Verschlüsselung einsetzt.
  • Physisch sichere Rechenzentren – Die Rechenzentren der Top-Cloud-Anbieter sind nicht nur gegen Cyberangriffe geschützt, sondern auch physisch sehr sicher. Tatsächlich ist ihre Sicherheit ebenso hoch wie die einiger Regierungs- und Finanzinstitutionen.
  • Account- und Benutzerverwaltung – Es ist wichtig zu wissen, in welchem Umfang Ihnen der Anbieter die Account-Verwaltung und Benutzerzugangskontrolle ermöglicht. Ihr Unternehmen und die zuständigen Administratoren sollten Zugangsberechtigungen für Nutzer selbstständig gewähren, widerrufen und einschränken können.

Cloud-Rechenzentren sind nicht nur gegen Cyberattacken, sondern auch gegen physische Angriffe gewappnet.

Von diesen Punkten abgesehen sollten Sie Ihren Cloud-Anbieter fragen, welche Normen er erfüllt und welche Zertifikate er vorweisen kann, die seine Sicherheitsstrategie für die Cloud untermauern. RingCentral für seinen Teil kann folgende Nachweise erbringen:

  • Die Verschlüsselung gespeicherter Daten erfüllt die folgenden Compliance-Anforderungen und Standards
    • US Health Insurance Portability and Accountability Act (HIPAA)
    • EU-Datenschutz-Grundverordnung (DSGVO)
    • Payment Card Industry Data Security Standard (PCI DSS)
    • Secure Statement on Standards for Attestation Engagements (SSAE) 16, SOC2- und SOC3 (Service Organization Controls)-konformes Rechenzentrum mit monatlichen Audits

Sie sollten außerdem überprüfen, ob der Anbieter Maßnahmen zur Verhinderung von Betrug einsetzt, um Sie zum Beispiel vor dem Diebstahl von Anmeldedaten oder vor Gebührenbetrug zu schützen. Das System sollte über eine Dienstschicht (Service Layer) mit integrierten Schutzmaßnahmen gegen Betrug verfügen und regelmäßig auf Anomalien geprüft werden. Ebenfalls nützlich wäre, wenn der Anbieter seine Nutzer regelmäßig über Best Practices zum Schutz vor Betrug informiert.

Und wenn Sie schon eine solche Sorgfalt an den Tag legen, dann prüfen Sie die Informationen Ihres Anbieters nach. Setzt er auch wirklich alles in die Tat um? Sprechen Sie mit ein paar bestehenden Kunden, um herauszufinden, ob das Angebot nur gut klingt oder tatsächlich hält was es verspricht.

 

Author