Wie man die Sicherheit von Cloud-Anbietern bewertet: Kompletter Leitfaden

• Datenpannen: Der direkte Weg ist die beliebteste (und potenziell schädlichste) Art von Sicherheitsdefekt. Datenpannen kommen bei Cloud-Diensten sehr häufig vor. Sie können scheinbar grundlos auftreten, aber wenn sie passieren, sind sie verheerend. Capital One ist hierfür ein ausgezeichnetes Beispiel. Im Jahr 2019 führte eine einfache Schwachstelle in der Amazon Web Services (AWS) Firewall dazu, dass die Daten von 100 Millionen Kunden offengelegt wurden. Das war so gravierend, dass es jetzt einen ständigen Link auf der Startseite gibt, um Betroffene über die Sammelklage auf dem Laufenden zu halten.
• Mangelhaftes Identitäts- und Berechtigungsmanagement (IAM): Etwa 67 % der weltweiten Cloud-Dienste werden von nur vier Unternehmen bereitgestellt, wobei AWS allein die Hälfte abdeckt. Bei so vielen Kunden wird es zwangsläufig kompliziert, und die so wichtigen IAM-Sicherheitsrichtlinien können leicht vernachlässigt werden – mit katastrophalen Folgen. Große Anbieter sind darin inzwischen besser geworden. Dennoch müssen sie weiterhin eine solide Multi-Faktor-Authentifizierung und das Prinzip der geringsten Berechtigungen beibehalten, da beides beliebte Einfallstore für große Datenlecks sind.
• Unsichere Schnittstellen und APIs: Nachlässiges Schnittstellendesign kann dazu führen, dass die breite Öffentlichkeit sich im Debitorenmanagement anmeldet oder das Vertriebsteam Zugang zu vertraulichen HR-Daten hat. Davor schützt Sie nur ein ordentlich durchgeführter Test durch eine externe Partei, die eine extra Prämie bekommt, wenn sie Ihre API erfolgreich knackt.
• Geringe Sichtbarkeit und lasche Kontrollen: Im Jahr 2020 nutzten einige clevere Hacker einen Angriff auf die Lieferkette, um bösartigen Code in einen Regierungsauftragnehmer namens SolarWinds einzuschleusen. Die kontaminierte Software Orion verbreitete sich anschließend lateral bei mehreren Kunden und öffnete Backdoors in deren Systeme. Da es ziemlich geringe Sichtbarkeit und kaum Sicherheitsprüfungen gab, bemerkte fast neun Monate lang niemand, was vor sich ging. 
• Probleme durch das Shared-Security-Modell: Geteilte Sicherheit betrifft oft eher Juristen als Ingenieure. Ein typischer Cloud-Dienstanbieter übernimmt die Verantwortung für die Cloud-Infrastruktur und andere von ihm kontrollierte Teile – für die Sicherheit Ihrer Daten und etwaiger Verschlüsselungen sind jedoch Sie selbst verantwortlich.
• Compliance- und regulatorische Probleme: Wenn Ihr Unternehmen in den USA mit Gesundheitsthemen zu tun hat, kennen Sie HIPAA. Arbeiten Sie in der EU, ist Ihnen die DSGVO ein Begriff. Und in Kalifornien gibt es die CCPA. Ist Ihr Anbieter nicht korrekt nach den gängigen Datenschutzstandards zertifiziert, besteht ein echtes Risiko, dass ein Teil der Bußgelder bei Ihnen landet – wie zum Beispiel die 1,2 Milliarden € Strafe, die die irische Regierung im Mai 2023 gegen Meta für die Verletzung von Datenschutzrechten verhängte. Stellen Sie beispielsweise sicher, dass Sie eine solide Cloud-Compliance für Daten eingerichtet haben.
• Advanced Persistent Threats (APTs) und Ransomware: Im Mai 2021 führte ein Ransomware-Angriff auf das Colonial Pipeline Kraftstoffnetzwerk praktisch zum Stopp der Benzinlieferungen an der Ostküste der USA. Abgesehen von den eindrücklichen Bildern von Menschen, die versuchten, Benzin in Plastiktüten zu füllen, sorgte das Ereignis für großes Aufsehen bei der Regierung. Ein einziger, hoch entwickelter Hack ermöglichte es Kriminellen, zentrale Steuersysteme zu verschlüsseln und Millionen Menschen in mehreren Bundesstaaten Angst zu machen.

Wichtige Kriterien zur Bewertung der Cloud-Service-Security von Anbietern

Überprüfung von Compliance und rechtlichen Standards

• Branchenspezifische Zertifikate: Wahrscheinlich gibt es in Ihrer Branche eigene Standards. Je nachdem, wie sensibel Ihr Arbeitsbereich ist, kann dies eine umfassende Prüfung und Offenlegungsregeln bedeuten oder nur eine kurze Überprüfung, dass Sie kein Uran schmuggeln. In jedem Fall sollte Ihr Cloud-Service-Anbieter über alle Zertifikate verfügen, die Ihre Branche verlangt. Im Gesundheitswesen ist dies beispielsweise HITRUST, Kreditkartenanbieter benötigen den Payment Card Industry Data Security Standard (PCI DSS) usw. Große Anbieter verfügen in der Regel über mehrere solcher Zertifikate, wie beispielsweise AWS, das mit etwa 50 Zertifikaten aufwarten kann.
• Regelmäßige Compliance-Prüfungen: Im Cloud-Bereich geht alles schnell, die Einhaltung von Vorschriften muss daher kontinuierlich überprüft werden. Stellen Sie sicher, dass Ihr Anbieter regelmäßig Compliance-Prüfungen erhält, insbesondere bezüglich SSAE 16 und anderen sicherheitsorientierten Prüfungen.

• Anpassung an sich entwickelnde Gesetze: Mit dem technischen Fortschritt ändert sich auch die Gesetzeslage – meist mit einer kleinen Verzögerung. Finden Sie heraus, wie Ihr Cloud-Service-Provider auf gesetzliche Änderungen reagiert. Gibt er seinen Kunden Hinweise, wenn es wichtige Veränderungen gibt? Benötigen Sie das? Das frühzeitig zu klären, kann Ihnen später viel Ärger ersparen.
• Spezielle Situationen: Viele Cloud-Verträge sind von der Stange – vor allem für kleine und mittlere Unternehmen. Wenn Sie aber ein großes Unternehmen mit besonderen Anforderungen sind, brauchen Sie vielleicht einen gesondert ausgehandelten Vertrag oder zumindest zusätzliche Ergänzungen.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with LinkedIn

Or sign up with email:

LinkedIn

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Umfassenden Datenschutz sicherstellen

• Verschlüsselung: Verschlüsselung ist unverzichtbar. Suchen Sie sich die Besten auf dem Markt aus und arbeiten Sie mit ihnen (und lassen Sie andere Faktoren außen vor). Branchenstandard ist aktuell AES-256, und große Anbieter wie AWS lassen Sie wählen, ob Sie die Schlüssel selbst verwalten oder dies von ihnen erledigen lassen. 
• Backup und Disaster Recovery: Zuverlässiges Disaster Recovery ist ebenfalls unverhandelbar. Hacker sind nicht die einzige Möglichkeit, wie Daten verloren gehen – auch ein schlecht gestaltetes System ist anfällig für Serverausfälle, Feuer oder Asteroideneinschläge. Einer der größten Vorteile von Cloud-Services ist die schnelle Wiederherstellung verlorener Daten. Ihr Cloud-Anbieter muss hierfür einen guten Plan und nachgewiesene Erfahrung im Datenschutz haben.
• Durchgängiges Datenlebenszyklus-Management: Das Datenlebenszyklus-Management umfasst Werkzeuge zur Klassifizierung, Speicherung, Archivierung und ordnungsgemäßen Entsorgung von Daten. Ihr Anbieter sollte für alle Phasen entsprechende Verfahren bereithalten – ähnlich wie eine Arztpraxis alte Akten schreddert, statt sie einfach hinten im Müllcontainer zu entsorgen.

Identitäts- und Zugriffsmanagement stärken

• Umfassende Benutzer-Authentifizierung: Keine Sicherheitsmaßnahme eines Cloud-Service-Providers nützt, wenn jeder mit Ihrem Passwort Zugang bekommt. Nutzt Ihr potenzieller Anbieter Multi-Faktor-Authentifizierung? Biometrische Kontrollen? Knifflige Fragen zu Ihrer alten Schule? Es ist zwar umständlich, aber je mehr Schutzebenen Sie haben, desto sicherer sind Ihre Zugänge.
• Zugriffssteuerung: Mitarbeiter sollten nur Zugang zu den Bereichen bekommen, die sie für ihre Arbeit benötigen. Im Geheimdienst nennt man das "Need to know", in der IT ist es das Prinzip der minimalen Rechtevergabe. Prüfen Sie, ob Benutzer wirklich nur den nötigsten Zugang erhalten oder ob ein Anbieter es ermöglicht, dass sie sich unberechtigt in vertraulichen Datenbanken umsehen.
• Audit Trails und IAM-Reporting: Ihr Anbieter sollte transparente und vollständige Audit Trails sowie ausführliche Berichte über alle Benutzeraktionen in allen Umgebungen bieten. Vermeiden Sie Anbieter, die verschwiegen agieren oder Lücken im Reporting lassen, in denen Sicherheitsrisiken unbemerkt bleiben können. 

Netzwerk- und Infrastruktursicherheit

• Moderne Firewall-Schutz: Der Firewall-Schutz, den Sie erhalten, sollte weit über das gewöhnliche Paketfiltering hinausgehen, das Sie selbst durchführen könnten. Suchen Sie nach einem CSP, der Next-Generation-Firewall (NGFW)-Schutz bietet. Dieser kann raffiniertere Angriffe auf Ihr Netzwerk erkennen und blockieren als industrieweite Standardoptionen.
• Systeme zur Erkennung und Abwehr von Eindringlingen (IDPS): Erinnern Sie sich an den SolarWinds Orion-Hack, den ich zuvor erwähnt habe? Diese Katastrophe zog sich von den ersten Angriffen Ende 2019 bis zum endgültigen Fix im November 2020 hin. Ihr CSP muss Malware erkennen, sobald sie auftaucht, und schnellstmöglich Abhilfe schaffen.
• Sichere APIs: Die Schnittstelle ist immer eine Schwachstelle in jedem System. Stellen Sie sicher, dass Sie über eine sichere API verfügen, die zum Beispiel QAuth oder Google Cloud Endpoints mit der richtigen Validierung verwendet, um Ihre anfällige Schnittstelle wirksam zu schützen.
• DDoS-Vorsichtsmaßnahmen: Distributed-Denial-of-Service-(DDoS)-Cyberbedrohungen sind so alt wie der Morris Worm. Eine böswillige Partei kann Ihr Netzwerk ganz einfach mit endlosen Anfragen lahmlegen, die Ihre gesamte Bandbreite verbrauchen. Cloudflare ist hier Marktführer mit einer beeindruckenden Bilanz bei der Abwehr der größten DDoS-Angriffe, die je registriert wurden – mit Millionen Anfragen pro Sekunde.
• Updates und Patches: Verwaltet Ihr CSP aktiv Ihr Informationssicherheits-Ökosystem mit regelmäßigen Patches und Updates, um gegen die neuesten Bedrohungen gewappnet zu sein? Es tauchen ständig neue Schwachstellen auf, und jeder Cloud-Service sollte darauf vorbereitet sein, diese zu beheben, sobald sie entdeckt werden.
• Angemessene Segmentierung: Genauso wie Ozeandampfer unter Deck über getrennte Abteilungen verfügen, um bei einer Kollision mit einem Eisberg gewappnet zu sein, benötigen sensible Daten eine Segmentierung und ihr eigenes Sicherheitskonzept. Sie können sogar noch weiter gehen mit Mikrosegmentierung, bei der individuellen Prozesspfaden eigene Sicherheitsprotokolle zugewiesen werden.

Verwaltung von Risiken durch Anbieter und Drittparteien

• Anbietersicherheit für Drittparteien: Die meisten nutzen Drittanbieter für bestimmte Anwendungen und Datenspeicherung, und diese müssen allesamt zuverlässig sein. Stellen Sie sicher, dass Ihr CSP die Sicherheitszertifikate aller Vertragspartner überprüft, regelmäßige Sicherheitsaudits durchführt und zumindest die Historie zur Vorfallreaktion beachtet. Berücksichtigen Sie auch den Umgang des Anbieters mit Verschlüsselung, Datenzugriff und Benachrichtigung im Falle von Sicherheitsverletzungen.
• Lieferkettensicherheit: Jede Anwendung und jedes Netzwerk ist eine Kette aus Produkten und Dienstleistungen, und eine Schwachstelle an einer Stelle gefährdet den Endnutzer – also Sie. Ihr CSP muss die gesamte Kette überprüfen und die Sicherheitszertifikate auf allen Ebenen validieren.
• Vorfallplanung und -reaktion: Auch guten Netzwerken können schlechte Dinge passieren, daher sollte Ihr Anbieter einen klar definierten Vorfallreaktionsplan haben, um aufkommende Probleme schnell zu bewältigen. Das kann ein Hacking, ein DDoS-Angriff, Malware-Erkennung, Ransomware-Schutz oder Ähnliches sein.

Physische und umweltbezogene Sicherheit

• Physische Zugangskontrollen: Wir denken bei Datensicherheit oft an Verschlüsselung und Zugriffsprotokolle, aber das Rechenzentrum ist auch ein physischer Ort, der Schlösser und Sicherheitspersonal benötigt. CTOs sollten die Rechenzentren des CSPs besichtigen, um sich vom passenden physischen Sicherheitsniveau zu überzeugen.

• Umweltkontrollen: Rechenzentren können auch durch Feuer oder Überschwemmung gefährdet werden. Stellen Sie sicher, dass das Zentrum über ein ausreichendes Halon-Löschsystem sowie über verlässliche Temperatur- und Feuchtigkeitskontrollen verfügt. 
• Redundanz und Backups: Egal wie gut ein Rechenzentrum geplant ist, unerwartete Ereignisse können trotzdem eintreten. Ihr CSP benötigt mehrere redundante Systeme und einen Backup-Plan, um beschädigte Server und verlorene Daten wiederherzustellen. Universelle unterbrechungsfreie Stromversorgungen (USV) sind Standard; ein anpassbarer RAID-Schutz ist ebenfalls ideal.
• Reaktions- und Wiederherstellungszeiten: Anbieter berichten Ihnen in der Regel über ihre Pläne zur Vorfallreaktion sowie deren Update- und Testplan. Achten Sie darauf, dass ein Wiederherstellungsplan vorhanden ist, der kurzfristig aktiviert werden kann. Sehen Sie sich die bisherige Performance des Anbieters an, inklusive Ausfall- und Downtime-Statistiken.

Kundensupport und rechtliche Überlegungen

• Kundensupport: Prüfen Sie, welche Art von Kundensupport Ihr CSP anbietet. Viel zu viele Anbieter reagieren langsam oder gar nicht. Stellen Sie sicher, dass mehrere Kommunikationswege verfügbar sind, zum Beispiel Telefon, Chat, E-Mail und sogar SMS.
• Umfassende Dokumentation: Die Dienste, für die Sie bezahlen, sind komplex, und eine klare Dokumentation ist entscheidend, um zu verstehen, worauf Sie sich einlassen. Lesen Sie die Benutzerhandbücher, Manuals und veröffentlichten Protokolle des Anbieters aufmerksam durch.
• Datenbesitz und Portabilität: Daten sind ein Vermögenswert. Bevor Sie den Vertrag unterschreiben, sollten Sie genau wissen, wem die gehosteten Daten gehören und wie leicht sie portiert werden können. Andernfalls sitzen Sie am Ende vielleicht auf Daten, die Ihnen zwar gehören, jedoch auf fremden Servern gefangen und nicht bewegbar sind.

• Transparenz bei Datenverarbeitung und Sicherheitsmaßnahmen: Sie brauchen Einblick, wie mit Ihren Daten umgegangen wird, und Ihr Cloud-Sicherheitsanbieter sollte Transparenz ganz oben auf die Prioritätenliste setzen. Klären Sie möglichst früh, wie Daten gespeichert und übertragen werden, welche Sicherheitsmaßnahmen bestehen und wie diese Systeme gepflegt werden.
• Juristische Unterstützung im Ernstfall: Sollte es zu einer Datenpanne kommen, kann es rechtliche Konsequenzen geben. Auf wie viel Unterstützung Ihres CSP können Sie dann zählen? Werden Sie im Regen stehen gelassen, oder haben Sie Zugang zum Rechtsteam des Anbieters? Übernimmt der Anbieter eine Mitverantwortung oder stehen Sie allein da? Klären Sie diese Fragen und planen Sie entsprechend.

Best Practices bei der Bewertung der Cloud-Sicherheit

Gründliche Risikoanalysen durchführen

• Identifizieren und Klassifizieren von Assets: Wissen Sie genau, was Sie in die Cloud auslagern, benennen Sie alles und ordnen Sie es nach Wichtigkeit ein. Das verschafft Ihnen eine Prioritätenliste für den besten Schutz wichtiger Daten.
• Bewertung von Schwachstellen und Bedrohungen: Kein Cloud-Sicherheitsanbieter ist unfehlbar, und der Schutz vor einer Bedrohung kann eine andere Schwachstelle schaffen. Erkennen Sie Ihre Schwachpunkte besser als Angreifer und behalten Sie die jeweils aktuellen Bedrohungsszenarien im Blick.
• Auswirkungen versus Wahrscheinlichkeit abwägen: Kleine Probleme sind häufig, schwerwiegende Bedrohungen eher selten. Ein kleiner Fehler ist meist kein großes Thema, ein großer Sicherheitsvorfall könnte aber Ihr Unternehmen lahmlegen. Bewerten Sie die Wahrscheinlichkeit eines Risikos im Verhältnis zu den möglichen Folgen und passen Sie Ihren Plan entsprechend an.
• Kontrollmaßnahmen festlegen: Wählen Sie Ihr Sicherheitspaket passend zur Risikoanalyse. Häufig ergibt sich eine sinnvolle Kombination aus Zugriffskontrollen, Monitoring-Tools und Verschlüsselung sowohl in der Cloud als auch in Ihrer eigenen Infrastruktur.
• Fortlaufende Risikoanalyse: Die Bedrohungslage ändert sich teils täglich und Sie müssen Schritt halten. Pflegen Sie ein stets aktuelles Bild Ihrer Schutzmaßnahmen und sind sie immer bereit für Anpassungen.

Service Level Agreements prüfen

• Kennen Sie die Verpflichtungen Ihres CSP: Der Anbieter verpflichtet sich, eine bestimmte Leistung zu liefern. Es liegt in Ihrem Interesse, alle Details zu kennen. Legen Sie von Anfang an fest, was in Sachen Verfügbarkeit, Performance und Support garantiert wird.
• Kenntnis über Abhilfe und Sanktionen: Angenommen, der CSP kommt seinen Pflichten nicht nach und Sie müssen Ausgleich verlangen. Gibt es hierzu im Vertrag klar definierte Regelungen? Das kann meist zu Geldstrafen oder Rabatten auf künftige Leistungen führen.
• Skalierbarkeit und Flexibilität festlegen: Nach der Migration wird Ihr Unternehmen wachsen – stellen Sie also sicher, dass Ihre neue Cloud-Umgebung das mitmacht. Kann der Anbieter schnell hoch- und runterskalieren? Was passiert bei sehr schnellem Wachstum? Gibt es die Möglichkeit eines nahtlosen Upgrades, oder sind Sie an einen Vertrag gebunden?
• Mehrere Exit-Strategien einplanen: Wissen Sie von Anfang an, wie Sie aussteigen können. Falls Sie den Anbieter wechseln müssen, brauchen Sie einen Migrationsplan für Ihre Daten, um sie sicher vom Server des Anbieters abzuziehen und andernorts wieder einzuspielen – selbst wenn es bloß zu einem anderen SaaS-Anbieter ist. 

Nutzen Sie die vorhandenen Tools zur Bewertung der Cloud-Sicherheit

• Branchenstandards: Es gibt bereits einige branchenweite Werkzeuge zur Bewertung von Sicherheitsfragen bei einem CSP, wie z. B. die Cloud Controls Matrix (CCM) der CSA und das Cybersecurity-Framework des NIST. Nutzen Sie diese als Teil Ihrer Checkliste vor der Migration.
• Automatisierte Tools: Es gibt auch einige fortschrittliche Tools, mit denen Sie den Prozess des Scannens nach Schwachstellen und die Anforderungen der regulatorischen Compliance automatisieren können. Scheuen Sie sich nicht, diese zu nutzen, da sie in der Regel ihren Preis wert sind.
• Cloud-Sicherheits-Posture Management (CSPM): CSPM kann Risiken entdecken, die Sie noch nicht gefunden haben, und aktive Maßnahmen ergreifen, um Sie zu schützen, bevor sie Ihre Server erreichen. Nehmen Sie dies in Ihre allgemeine Bedrohungsbewertung auf.

Sicherheit zuerst für CTOs

Wie Sie sehen, steckt viel Arbeit in einer sicheren Cloud-Migration. Viele der großen Anbieter, insbesondere Microsoft Azure, übernehmen einige dieser Aufgaben für Sie. Aber Sie sind dafür verantwortlich, zu überprüfen, ob wirklich alle Voraussetzungen erfüllt sind.

Ich habe meine Best Practices zur Bewertung der Sicherheit von Cloud-Service-Providern geteilt, aber es gibt noch mehr Cloud-Security-Ressourcen. Und Sie können unseren Newsletter abonnieren und erhalten regelmäßig aktuelle Einblicke von CTOs.