Cloud-Sicherheit

Daten sind ein Werkzeug der modernen digitalisierten Wirtschaft, oder auch das neue Gold der Unternehmen (Privatsektor), aber auch für den Staat (öffentlicher Sektor). In der heutigen digitalisierten Welt gibt es unaufhaltbar zahlreiche neue Datensätze, welche in einer Vielzahl im Internet landen. Einige Datensätze davon betreffen persönliche Daten, welche eine digitale Identität abbilden. Die eigentliche Kunst in einer Unternehmung ist es, diese Daten sorgfältig zu filtern und allem voran, diese Daten zu speichern. In dieser Kurzarbeit geht es darum, die Daten in einer Cloud sowie deren Verarbeitung aus einer Unternehmensperspektive aufzuzeigen. Zudem zeigt diese Kurzarbeit auf, welche Vertragsarten, Architekturen sowie geeignete Sicherheitsmassnahmen vor Cyberangriffen die Industrie vornimmt, um über ein solides Fundament für die eigene Datenverarbeitung zu verfügen.

Bevor wir gleich in die Thematik der Cloud-Sicherheit eingehen, gilt es zuerst einmal ein paar Eckdaten des sogenannten «Cloud-Computings», dessen Funktionsweise und Aufbau einer Cloud zu erfahren: «Cloud Computing ist ein Modell der Datenverarbeitung, mit dem bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zugegriffen werden kann. Diese können schnell und mit minimalem Verwaltungsaufwand beziehungsweise geringer Serviceprovider-Interaktion zur Verfügung gestellt werden. Die Cloud kann in drei Varianten (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (Saas) genutzt werden. Die Art der Cloud unterscheidet sich je nach Art der Bereitstellung (Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud).» [1]

Im Bereich Cloud Computing gibt es verschiedene Bereitstellungsarten, wie Cloud-Anbieter ihren Nutzern Cloud-Dienste zur Verfügung stellen. Es existieren vier Hauptmodelle, die mit Cloud Computing verbunden werden:

1. Öffentliche Cloud

Die öffentliche Cloud ermöglicht allen Benutzern den Zugriff auf Computerressourcen wie Hardware (Betriebssystem, CPU, Speicher) oder Software (Anwendungsserver, Datenbank) auf Abonnementbasis oder Pay-as-you-use-Basis. Praktizierende Anwendungsfälle sind die Entwicklung und das Testen von Anwendungen kritischer sowie nicht kritischer Aufgaben, wie beispielsweise das Teilen von Dateien und E-Mail-Dienste.

2. Private Cloud

Die private Cloud wird normalerweise explizit von einer einzelnen Organisation genutzt und kann entweder intern verwaltet oder von einem externen IT-Dienstleister betreut werden. Obwohl private Clouds aufgrund von Investitionen in Anschaffung und Wartung oft teurer als öffentliche Clouds sind, adressieren sie effektiver Sicherheits- und Datenschutzbedenken von Organisationen.

3. Hybride Cloud (Mischform aus einem physischen Rechenzentrum oder einer externen Private Cloud und/oder einer Public Cloud)

Die Hybrid-Cloud nutzt sowohl private als auch öffentliche Cloud-Infrastrukturen. Unternehmen wählen dieses Modell, um ihre IT-Infrastruktur bei Bedarf rasch zu erweitern. Damit kann zum Beispiel ein Online-Händler während der Ferienzeit öffentliche Cloud-Ressourcen nutzen, um die Kapazitäten seiner privaten Cloud zu ergänzen oder zu entlasten.

4. Community Cloud

Die Community Cloud unterstützt mehrere Organisationen gemeinsam, welche Computerressourcen nutzen. Dazu zählen beispielsweise Universitäten, die in spezifischen Forschungsbereichen zusammenarbeiten, oder staatliche Akteure wie Polizeidienststellen innerhalb eines Landkreises, die Ressourcen teilen. Der Zugriff auf eine Community-Cloud ist auf die Mitglieder der Community beschränkt.

Die Kosten für den Endverbraucher sind bei öffentlichen Clouds herkömmlich niedrig, ohne dass noch grössere Investitionen erforderlich sind. Private Clouds hingegen erfordern zwar Investitionen, bieten allerdings im Vergleich zu den Betriebskosten der eigenen Infrastruktur grundsätzlich Einsparungen. Private Clouds gewährleisten auch mehr Sicherheits- und Compliance-Unterstützung als öffentliche Clouds. Daher verwenden einige Organisationen private Clouds für geschäftskritische, beziehungsweise sensiblere Daten, Anwendungen und öffentliche Clouds für grundlegende Aufgaben wie Anwendungsentwicklung, Testumgebungen und E-Mail-Dienste.[2]

Eine hybride Cloudlösung bietet sich an, um die Risken vor einer Cyberattacke zu mindern respektive zu diversifizieren. Diese bietet eine grössere Kontrolle über die eigene Sicherheit im Vergleich zur reinen Nutzung einer Public Cloud an. Ausserdem bietet eine hybride Cloud-Infrastruktur die Möglichkeit, individuelle Sicherheitsstandards einzurichten und Software auf privaten Servern massgeschneidert zu konfigurieren. Diese Verteilung führt zu einer erhöhten Zuverlässigkeit der Systeme und bessere Lagebeurteilung von Systemprobleme zu einzuordnen.

Zusätzlich ist die Kosteffizienz höher als beim Kauf und Wartung von Servern vor Ort.[3]

Cloud-Service-Architekturmodelle

Angesichts dieser Vorteile einer hybriden Cloudlösung, die von einer erhöhten Sicherheitskontrolle bis hin zu einer verbesserten Zuverlässigkeit reichen, ist es von Bedeutung, die verschiedenen Cloud-Service-Architekturen zu verstehen. Diese Architekturen, nämlich Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), bieten unterschiedliche Ebenen der Servicebereitstellung und legen verschiedene Verantwortlichkeiten für die Compliance fest.

1. Infrastructure as a Service (IaaS)

IaaS-Anbieter stellen grundlegende Rechen-, Speicher- und Netzwerkinfrastruktur sowie den Hypervisor für die Virtualisierung bereit. Für die Erstellung und Verwaltung virtueller Instanzen, Installation von Betriebssystemen, Bereitstellung von Anwendungen und Daten sowie für die gesamte Konfiguration sind die Benutzer verantwortlich. Die IaaS ist sowohl für kleine oder auch für KMU interessant. Die einfache Bedienung einer nicht eigens betriebenen Cloud-Infrastruktur stellt eine kostengünstige Alternative zum eigenen Hardwarekauf dar.

Beispiele: DigitalOcean, AWS, Azure, Google Compute Engine.

2. Platform as a Service (PaaS)

PaaS-Anbieter erweitern den Anwendungs-Stack stärker als IaaS, indem sie Betriebssysteme und Middleware (z.B., Datenbanken) ergänzen. Die User konzentrieren sich mehr auf die Entwicklung von Anwendungen. Die Plattform verwaltet die zugrunde liegende Infrastruktur.

Beispiele: AWS Elastic Beanstalk, Google App Engine.

3. Software as a Service (SaaS)

SaaS-Anbieter bieten einen kompletten Anwendungs-Stack an. Anwender können über einen Webbrowser auf die vollständig gehostete Anwendung zugreifen. Die Verwaltung von Workloads und IT-Ressourcen liegt vollständig unter die Kontrolle des SaaS-Anbieters, während User explizit die Kontrolle über von der Anwendung erstellte Daten haben.

Beispiele: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4]

Die Cloud im Vertragsrecht

SaaS-Verträge wurden bislang vom Gesetzgeber noch nicht ausdrücklich rechtlich behandelt. Bis dato lässt sich ein SaaS-Vertrag rechtlich nur als gemischter Vertrag einordnen, der Aspekte von Dienstleistungs-, Werk- und Mietverträgen beinhaltet. Das anwendbare Rechtsgebiet ist demnach vom jeweiligen Leistungsabschnitt des Vertrags abhängig. Der zentrale Bestandteil eines SaaS-Vertrags liegt vorwiegend im Mietrecht, weil die Bereitstellung von Software am besten mit der Überlassung von Besitztümern im Mietrecht vergleichbar ist. Da die Software nicht als «Sache» im Sinne des Mietrechts betrachtet wird, herrscht zurzeit die Auffassung, dass SaaS-Verträge eine zeitlich begrenzte Überlassung zur Nutzung darstellen. Dies harmoniert mit den Vorschriften und dem Ziel, das durch das Mietrecht verfolgt wird.[5]

PaaS-Verträge sind massgeblich durch Service Level Agreements (SLAs) geprägt, die Mindestleistungen festlegen und die Rechte als auch Pflichten beider Vertragsparteien definieren.

Datenschutz sowie Datensicherheit spielen eine entscheidende wichtige Rolle, da bei PaaS-Diensten oft sensible Daten verarbeitet werden. Der Vertrag muss klare Bestimmungen zum Schutz personenbezogener Daten enthalten. Zudem ist es unvermeidbar, im Vertrag festzulegen, wer das geistige Eigentum an den erstellten Anwendungen besitzt, wobei normalerweise der Nutzer das Eigentum an den Anwendungen behält und der Anbieter das Eigentum an der Plattform behält.[6]

Fazit

Unabhängig davon, ob es sich um ein Startup, eine Venture Capital-Firma, ein KMU oder um eine grössere Unternehmung handelt, Cloud-Sicherheit ist für jedes Unternehmen von entscheidender Bedeutung.

Dabei gilt es nicht nur zu beachten, mit welchen Cloud-Providern man als Unternehmen zusammenarbeiten möchte, sondern auch, welche Rahmenbedingungen hierbei gesetzt werden.

Die Sicherheit liegt im End-Effekt nicht alleine in der Verantwortung des Serviceproviders der Cloudtechnologie per se, sondern die Mitarbeitenden einer Unternehmung nehmen eine ebenso wichtige Rolle im Sicherheits-Aspekt einer Cloud ein.

Es ist unerlässlich, regelmässig in die Schulung und Sensibilisierung der Mitarbeiter zu investieren, um sicherzustellen, dass die Mitarbeitenden über das nötige Know-how verfügen, um mit den Sicherheitsrichtlinien und -verfahren umzugehen. Um jedoch das ganze Potenzial einer Cloud auszuschöpfen, sollten Unternehmen sowohl in die Instandhaltung der eigenen Systeme oder der Systeme von externen Partnern, als auch in die Rekrutierung neuer IT-Mitarbeitenden investieren. So kann ein Unternehmen die Systemsicherheit sicherstellen, und damit die Kundenzufriedenheit erhöhen, womit das Ansehen des Unternehmens langfristig gesteigert wird.

Ein grosser Knackpunkt bei der Auswahl eines externen Cloud-Providers ist seit jeher die Abhängigkeit von ausländischen Anbietern und deren Datenschutzverordnungen. Unternehmen begegnen dieser Herausforderung durch Massnahmen wie der gründlichen Prüfung der Datenschutzrichtlinien, hybriden Cloud-Ansätzen zur Risikominimierung, Bewertungen der Sicherheitsmassnahmen und Zertifizierungen der Anbieter, Datenschutz-Impact-Assessments, regelmässigem Monitoring und Audits sowie der Vorbereitung auf mögliche Datenschutzverletzungen. Die Strategien variieren je nach Unternehmensgrösse und -branche, dienen jedoch alle dem Ziel, die Datenschutzkonformität zu gewährleisten und potenzielle Risiken im Umgang mit externen Cloud-Diensten zu minimieren.

Quellenverzeichnis

Cloud Computing
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Cloud Deployment Model (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Die Cloud verstehen - wissen Sie, was eine Public Cloud und was eine hybride Cloud ist? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Was ist IaaS? Definition und Wissenswertes
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Worauf Sie bei der Erstellung bei SaaS-Verträgen achten sollten (2022)
https://www.top.legal/wissen/saas-vertraege

Platform-as-a-Service Verträge (PaaS Verträge): Ein Leitfaden (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

 

Themenrelevante Artikel

Welche Backup-Art ist die beste Wahl für meine Daten?
Die am häufigsten gestellten Fragen bei der Auswahl einer Backup-Lösung
Die Vor- und Nachteile der verschiedenen Windows-Dateisysteme

Veröffentlichen Sie hier einen Kommentar...