Cloud-Security: So wählen und steuern Sie Cloud-Dienste sicher

Cloud-Security ist nicht die Frage, ob "die Cloud sicher ist". Die sinnvolle Frage lautet: Ist dieser konkrete Cloud-Dienst für Ihren konkreten Einsatzzweck sicher genug und beherrschbar? Genau darum geht es in ISO 27001 A.5.23: Für Erwerb, Nutzung, Verwaltung und Ausstieg aus Cloud-Diensten müssen Verfahren festgelegt werden, die zu den Informationssicherheitsanforderungen der Organisation passen. Das NCSC beschreibt seine Cloud Security Principles genau als Rahmen, um zu prüfen, ob ein Cloud-Dienst die eigenen Sicherheitsbedürfnisse erfüllt.

Die kurze Antwort

Gute Cloud-Security heißt nicht, dass der Anbieter ein paar Zertifikate auf die Website geschrieben hat. Gute Cloud-Security heißt: Sie haben vor der Nutzung geklärt, wie Daten geschützt werden, wie Zugriffe gesteuert werden, wie Logs und Warnungen verfügbar sind, wie Konfiguration und laufender Betrieb abgesichert werden und wie Sie wieder herauskommen, wenn Sie den Dienst wechseln wollen. Die Verantwortung für die Sicherheit von Daten und Diensten in der Cloud ist immer zwischen Kunde und Anbieter aufgeteilt.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wenn der Anbieter groß ist, wird Sicherheit schon automatisch mitgeliefert." Das ist zu kurz gedacht. Die Konfiguration und sichere Nutzung liegt in der Verantwortung des Kunden. Cloud-Security scheitert deshalb oft nicht am Rechenzentrum des Anbieters, sondern an schlechter Auswahl, falscher Konfiguration und fehlenden Exit-Gedanken.

Die erste Frage: Gibt es dort überhaupt belastbare Backups?

Viele Unternehmen merken erst im Ernstfall, dass "der Dienst läuft in der Cloud" nicht automatisch heißt, dass Wiederherstellung und Datensicherung zu ihren Anforderungen passen. Hier hat das NCSC eigene Prinzipien für ransomware-resistente Cloud-Backups veröffentlicht und weist darauf hin, dass Cloud-Backups nicht automatisch gegen Zerstörung oder Überschreiben durch Angreifer resistent sind. Genau deshalb ist die Frage wichtig: Gibt es Backups, wie belastbar sind sie, und wie kommen Sie im Notfall an Ihre Daten zurück?

Die zweite Frage: Kann man Zugänge fein granular steuern?

Wenn ein Cloud-Dienst nur grobe Rollen kennt oder Rechte nur mit der Schrotflinte verteilt, wird es sicherheitsseitig schnell unerquicklich. Außerdem sollen Cloud-Dienste helfen, unnötige Rechte zu erkennen und zu entfernen. Praktisch heißt das: Brauchen Sie dort echte Rollen, Least Privilege und saubere Delegation – oder nur Admin und Nicht-Admin? Wenn Letzteres die Realität ist, wäre ich vorsichtig.

Die dritte Frage: Lässt sich der Dienst an Ihr eigenes AD oder IdP anbinden?

Wenn jede Cloud-Anwendung mit eigenem Login, eigener Passwortwelt und eigener Benutzerverwaltung lebt, wird Identitäts- und Zugriffsmanagement schnell chaotisch. Empfohlen sind daher Single Sign-On, moderne Authentisierung und die Einbindung in Joiners-, Movers- und Leavers-Prozesse. NIST beschreibt Föderation zusätzlich als etablierten Weg, damit eine Identitätsquelle Authentisierung für mehrere Dienste bereitstellen kann. Praktisch ist die Frage also sehr sinnvoll: Kann die Cloud-Anwendung an Ihr AD, Entra ID, Okta oder einen anderen IdP angebunden werden? Wenn nicht, steigt der Verwaltungs- und Sicherheitsaufwand fast automatisch.

Die vierte Frage: Kriegen Sie dort brauchbare Logs heraus?

Wenn ein Cloud-Dienst sicherheitsrelevante Ereignisse nicht vernünftig protokolliert oder Sie keinen Zugriff auf diese Informationen bekommen, bleibt im Vorfallfall oft nur Rätselraten. Die Möglichkeit, das Cloudsystem in das eigene Logging einzubindern, sollte daher maßgeblich für dessen Nutzung sein. Außerdem sollten Aufbewahrungszeiten und Erweiterungsmöglichkeiten klar sein. Anders gesagt: Ohne gute Logs kein belastbares Sicherheitsmanagement.

Die fünfte Frage: Gibt es Exportmöglichkeiten, wenn Sie wechseln wollen?

ISO 27001 A.5.23 spricht ausdrücklich auch vom Ausstieg aus Cloud-Diensten. Genau an diesem Punkt sind viele SaaS-Lösungen schwach. Sie bekommen Ihre Daten irgendwie heraus, aber nur halb brauchbar, unvollständig oder in Formaten, mit denen später niemand etwas anfangen kann. Daher ist das Decommissioning als kritische Lebenszyklusphase zu betrachten - und die kann teuer und kompliziert sein, wenn sie nicht sauber geplant wird. Die praktische Frage ist deshalb zwingend: Können Sie Daten, Konfigurationen und relevante Metadaten in brauchbarer Form exportieren, bevor Sie sich an den Dienst binden?

Cloud-Security ist Auswahl, Nutzung, Verwaltung und Exit

Cloud-Security beginnt vor dem Kauf, geht über in saubere Nutzung und Verwaltung und endet nicht erst dann, wenn Sie irgendwann frustriert kündigen wollen. Wer nur auf den Anschaffungsmoment schaut, baut meist ein halbes Konzept.

Was will der Auditor sehen?

Ein Auditor will in diesem Thema nicht hören: "Das ist halt ein großer Cloud-Anbieter, der wird das schon können." - Er will erkennen, dass Sie vor Auswahl und Nutzung geprüft haben, wie Daten geschützt werden, wie Zugriffe gesteuert werden, welche Logs verfügbar sind, wie der Dienst sicher administriert wird und wie ein Exit aussehen würde. Genau darum geht es bei A.5.23: Cloud-Dienste dürfen nicht nur bequem, sondern müssen auch beherrschbar sein. Die NCSC-Prinzipien liefern dafür einen sehr passenden Prüfrahmen.

FAQ

Interesse geweckt?

Wenn Sie Cloud-Dienste nicht nur bequem einkaufen, sondern im Rahmen einer ISO 27001-Zertifizierung sicher auswählen, sauber betreiben und ohne Lock-in-Risiko wieder verlassen wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!