luckycloud Adventskalender

Security-Tipp #22

Liebe Leserinnen und Leser,

obwohl Cloud-Services offensichtliche Treiber der Digitalisierung sind, gibt es Personen und Unternehmen, die diese Technologien (noch) nicht einsetzen. Untersuchungen zeigen, dass die Gründe, wieso Personen und Unternehmen Cloud-Dienste nicht nutzen, auf Sicherheitsbedenken zurückzuführen sind.  

#Tipp 22:
Checkliste für sichere Cloud-Services

Der Bereich der Besorgnis beim Cloud-Einsatz umfasst den unbefugten Zugriff Dritter oder Hacker, den Zugriff durch Behörden, sowie die nicht zweckgemäße Verwendung bzw. Monetarisierung von Daten. Zusätzlich hat fast die Hälfte der Benutzer schlechte Erfahrungen mit der Sicherheit von Seiten der Cloud-Anbieter gemacht. Untersuchungen zeigen, dass die meisten Sicherheitsrichtlinien der Anbieter tatsächlich als unzureichend empfunden werden. Auch werden Befürchtung gehegt, dass sich der Betreiber bestimmte Hintertüren offenlässt und sich dadurch Dritte ggf. Zugriff verschaffen können.

Betreiber kritischer Infrastrukturen (KRITIS) können sich nicht die geringsten Sicherheitsrisiken leisten, weswegen sichere und transparente Cloud-Dienste für sie verpflichtend sind.

Auf Kleingedrucktes achten

Nicht nur KRITIS-Betreiber sind auf sichere Cloud-Lösungen angewiesen. Letztendlich müssen sich alle Cloud-Benutzer, einschließlich Industrieunternehmen, Einzelhändler und Privatpersonen, auf ihre Cloud-Dienste verlassen können, um die Dienste sicher nutzen zu können, die von Anbietern letztendlich versprochen wurden. Nicht nur in Bezug auf die DSGVO.

"Made in Germany" und "End-to-End-Verschlüsselung" sind beliebte Sicherheitsargumente auf welche Nutzer Wert legen und von Anbietern oft als falsche Werbeversprechen genutzt werden, um das eigene Image auszuschmücken und dadurch die Verkaufszahlen anzukurbeln.

Auf den ersten Blick mögen diese beiden Argumente gut klingen. Jedoch sollte man auch hier Vorsicht walten lassen, denn wie so oft steckt der Teufel im Detail.

Bei Angeboten „Made in Germany“ ist es nicht nur wichtig, dass sich der Firmensitz in Deutschland befindet - auch die Server sollten in Deutschland ansässig sein. Nur so sind die Betreiber dazu gezwungen, die deutschen Datenschutzrichtlinien einzuhalten. Ebenfalls ist es wichtig, dass die Subunternehmen, mit denen der Anbieter zusammenarbeitet, sich ebenfalls innerhalb Europas bewegen.

Das Thema "End-to-End-Verschlüsselung" sollte ebenso streng betrachtet werden. Nicht zuletzt, weil diese Maßnahme auch technisch ein besonders hohes Maß an Sicherheit suggeriert. Tatsache ist jedoch, dass die meisten Cloud-Anbieter Entschlüsselungscodes der Daten auf ihren eigenen Servern speichern, was Angreifern und Dritten potenziell die Tür öffnen kann.

Nicht zu vergessen sind auch die schwarzen Schafe in der Branche, die sich Hintertüren offenhalten, um von Kundendaten zu profitieren.

Das macht einen sicheren Cloud-Anbieter aus:

Daten sind der Rohstoff des 21. Jahrhunderts, die sicher verarbeitet werden müssen, um mit der digitalen Transformation mithalten zu können.

Früher oder später werden all diejenigen mit Cloud-Angeboten in Berührung kommen, die Daten verarbeiten, diese sichern und zugreifbar machen müssen. Die Herausforderung hierbei ist, die Spreu vom Weizen zu trennen. Nicht zuletzt, weil die Versuchung für Kriminelle, aus dem Gold Anderer Geld zu machen, größer denn je ist.

Wer auf Nummer sicher gehen will, setzt auf Cloud-Anbieter mit den nachfolgenden Merkmalen:

Clientseitige Verschlüsselung:
Bei der Ende-zu-Ende-Verschlüsselung sollte der Schlüssel clientseitig generiert werden, womit der Nutzer die Schlüsselhoheit über die Daten behält.

Zero-Knowledge-Prinzip:
Anbieter, die nach eine Zero-Knowledge-Prinzip arbeiten, bieten datenschutzfreundliche Voreinstellungen und Services an, die die Privatsphäre der Nutzer schützen soll.

Eigene IT-Infrastruktur in Deutschland:
Nur wenn der Anbieter eine eigene Infrastruktur besitzt, können unbefugte Zugriffe kontrolliert werden.

Subunternehmen innerhalb Europas:
Wenn Datenkraken als Drittunternehmer gelistet sind, ist davon auszugehen, dass Datensicherheit nur eine Imagefrage für den Anbieter ist.

Blockbasierte Versionierung:
Um Datenverluste zu vermeiden und sich vor Ransomware zu schützen, sollte eine blockbasierte Versionierung im Funktionsumfang enthalten sein.

Rollenkonzepte:
Zur Vermeidung unbefugter Datenzugriffe auf der Unternehmensseite und für die Klärung von Verantwortlichkeiten ist ein Rollenmanagement notwendig.

Einsatz von Open-Source-Software:
Nur wenn der Anbieter mit Open-Source-Software arbeitet, kann davon ausgegangen werden, dass keine Backdoors auf der Anbieterseite eingebaut sind.

Geo-redundante Backup-Konzepte:
Ein Cloud-Service allein reicht nicht aus, um sich eine ausfallsichere Daten-Umgebung aufzubauen – diese Information wird offenkundig durch einen professionellen Anbieter kommuniziert werden und dem Kunden werden optional passende Lösungsmöglichkeiten bereithalten.

 

Mit dieser Checkliste können Sie sichere Cloud-Services erkennen und ihre IT-Infrastruktur nachhaltig vor Datenkraken schützen.

Die einzelnen Punkte dieser Checkliste können Sie in unseren vergangenen Tipps nachlesen.

Wir wünschen Ihnen eine sichere Weihnachtszeit!

Mit freundlichen Grüßen
luckycloud | Christmas Team

Facebook Twitter LinkedIn Youtube Instagram

luckycloud GmbH
Solmsstraße 26 | 10961 Berlin | Germany
Geschäftsführer: Luc Mader
Sitz der Gesellschaft: Berlin
Registergericht: Amtsgericht Charlottenburg HRB 169276
+49 30 814 570 920 | christmas@luckycloud.de | www.luckycloud.de

Modify your subscription    |    View online