Auch wenn der Einstieg ins Cloud Computing als einfach und unkompliziert gilt, ist die Cloud-Sicherheit zweifellos weder das eine noch das andere. Cloud Security betrifft jede Komponente einer Cloud-Infrastruktur, zu der auch die Endgeräte gezählt werden sollten, die die Nutzer für den Cloud-Zugriff einsetzen.
Allein die Bedeutung sicherer Endpoints für die Cloud Security sollte klarmachen, dass es nicht alleine der Cloud-Provider sein kann, der sich für die Cloud-Sicherheit verantwortlich zeichnet. Das Modell der geteilten Verantwortung (Shared Responsibility) in der Cloud-Sicherheit ist vielen Cloud-Nutzern bekannt, aber die Wahrnehmung von Cloud Security ist trotzdem eine andere.
Zur Studie 'Cloud Security 2021' im Aboshop
Die Rollen in der Cloud-Sicherheit müssen geklärt sein
Wie die aktuelle Studie "Cloud Security 2021" von Computerwoche und CIO in Kooperation mit den Partnern plusserver, Arvato Systems, Ergon Informatik, TÜV SÜD und uniscon zeigt, sehen rund 60 Prozent der Unternehmen die Cloud als Chance, die Sicherheit zu verbessern. Gleichzeitig erklären 62 Prozent, dass Backups eine zentrale Bedeutung für die Cloud-Sicherheit haben.
So wichtig Datensicherungen für Cloud-Daten auch sind, Backups sind es nicht, die die Cloud zu einer Chance für eine höhere Sicherheit machen. Die Cloud allein sorgt nicht für Backups.
Aktuelle Cloud-Vorfälle wie der Rechenzentrumsbrand in Straßburg haben gezeigt, dass viele Cloud-Nutzer immer noch denken, ihre Cloud-Daten würden automatisch in ein Backup übertragen. Tatsächlich aber obliegen die Backups den Cloud-Nutzern selbst, wenn keine anderen vertraglichen Vereinbarungen mit dem jeweiligen Provider bestehen.
Wenn die Verantwortung für Backups unklar ist, droht der Datenverlust in der Cloud genauso wie On-Premises. Ohne Weiteres liefert die Cloud hier keinen Sicherheitsvorteil.
Deshalb ist es höchste Zeit, die Rollenverteilung bei der Cloud-Sicherheit im Sinne der geteilten Verantwortung mit Leben zu füllen.
Cloud-Sicherheit muss in der Security verankert werden
Nicht nur die geteilte Verantwortung zwischen Cloud-Provider und Cloud-Anwender wird noch nicht klar genug gesehen, auch die Verantwortung für Cloud-Sicherheit im Unternehmen selbst sollte nochmals hinterfragt werden.
Cloud Security ist ein komplexes Feld, sodass für die Konzeption und Planung von Maßnahmen der Cloud-Sicherheit viel Expertise und Erfahrung notwendig sind. Auf externes Wissen von Cloud-Sicherheitsberatern oder Trusted Advisors für Cloud Security greifen nur wenige Unternehmen zurück, wie die aktuelle Umfrage zeigt: Unabhängige Berater (Trusted Advisors) spielen mit 13 Prozent der Nennungen selbst bei Unternehmen mit weniger als 500 Beschäftigten eher eine untergeordnete Rolle, wenn es um Partner für Cloud-Sicherheit geht.
Trotzdem sind es nicht die CISOs und Security-Managerinnen und -Manager, die über die Cloud-Sicherheit in den befragten Unternehmen entscheiden. In 30 Prozent der Unternehmen macht dies die IT-Leitung, in 26 Prozent sind es die IT-Vorstände. Bei 13 Prozent ist es die Geschäftsführung, die über die Sicherheit im Cloud Computing die Entscheidungen fällt.
Ohne externe Beratung und ohne direkte Verantwortung der internen Security-Experten dürfte es jedoch schwerfallen, im komplexen Feld der Cloud Security die richtigen Wege zu beschreiten. Dies kann auch als ein Grund dafür gesehen werden, dass das Bild von Cloud Security in vielen Unternehmen noch nicht stimmig genug ist.
Cloud-Risiken werden noch unterschätzt
Mitglieder der Geschäftsführungen in den befragten Unternehmen zeigen sich zuversichtlich, dass ihre Cloud-Sicherheit gut ist. Laut der aktuellen Umfrage denken nur 13 Prozent der Unternehmen, dass betriebliche Daten in der Cloud nicht sicher sind.
Tatsächlich aber kommt es immer wieder zu erfolgreichen Cloud-Attacken mit massiven wirtschaftlichen Folgen für die betroffenen Unternehmen. Unternehmen mit jährlichen IT-Aufwendungen von mindestens zehn Millionen Euro sind besonders stark getroffen: Hier berichten 51 Prozent von einem wirtschaftlichen Schaden durch Cloud-Attacken in den letzten zwölf Monaten.
Die geschädigten Unternehmen berichten zu 43 Prozent von einer Unterbrechung der Arbeits-/Produktionsprozesse im gesamten Unternehmen oder in einzelnen Abteilungen. 34 Prozent beklagen einen kompletten Stillstand im Unternehmen und 31 Prozent Datenverlust nach einer Cloud-Attacke.
Trotzdem sehen 39 Prozent den Datenschutz als Cloud-Vorteil, 37 Prozent nennen in diesem Zusammenhang die Datenverfügbarkeit und 28 Prozent die Belastbarkeit eines Cloud-Dienstes.
Es gibt somit die Hoffnung, dem Datenschutz durch Cloud Computing besser gerecht werden zu können. Möglich wird dies aber nur durch weitere Anstrengungen und mehr Klarheit in der Cloud-Sicherheit.
Cloud-Sicherheit muss am Anfang stehen
Wie die neue Studie "Cloud Security 2021" ergeben hat, starten nur 28 Prozent der kleineren Unternehmen ihre Cloud-Projekte mit der Security. Nur 34 Prozent der befragten Unternehmen denken an die internen Security-Experten, wenn Cloud-Projekte begonnen werden.
Die Geschäftsführung meint zwar zu 41 Prozent, die Security sei gleich zu Beginn bei Cloud-Projekten einbezogen, die Wirklichkeit ist jedoch eine andere. Offensichtlich besteht bei Security by Default in Cloud-Projekten einiges an Nachholbedarf.
Auch Security by Design ist so kaum möglich, wenn zum Beispiel eine interne Entwicklung von Cloud-Apps stattfindet, die Security aber erst bei der Produktivsetzung einbezogen wird.
Cloud-Sicherheit braucht ein Budget
Wie unklar die Bedeutung der Cloud-Sicherheit noch ist, zeigt sich besonders deutlich bei der Frage nach einem entsprechenden Budget. 53 Prozent der Unternehmen sehen kein zusätzliches Budget für die Cloud-Sicherheit vor, so das Ergebnis der Umfrage. Bei 43 Prozent der Unternehmen gibt es keine Veränderung bei dem Security-Budget, zehn Prozent senken das Budget sogar, wenn Anwendungen von On-Premises in die Cloud wandern. Ein erhöhtes Security-Budget bei Cloud-Migration bestätigen nur 39 Prozent.
Dabei zeigt die aktuelle Studie, dass die Unternehmen das Security-Budget insgesamt durchaus erhöhen wollen. So steigt das Security-Budget bei 72 Prozent der Unternehmen. Bei zwölf Prozent der Unternehmen steigt in 2021 das Security-Budget deutlich um mehr als zehn Prozent an. Bei 28 Prozent wächst das Security-Budget um fünf bis zehn Prozent. Bei 33 Prozent ist die Erhöhung mit weniger als fünf Prozent eher gering. 18 Prozent berichten von keiner Änderung. Einen Rückgang sehen dagegen nur sechs Prozent.
Offensichtlich wird aber die Cloud-Sicherheit vielfach nicht von der Erhöhung des generellen Security-Budgets profitieren.
Provider, Security-Anbieter und Berater sind gefordert
Wenn das Security-Budget insgesamt steigt, bei der Cloud-Sicherheit aber nur eine Minderheit stärker investieren will, kann dies mehrere Gründe haben, die in der aktuellen Studie sichtbar geworden sind.
Zum einen sind die Aufgaben und Verantwortlichkeiten in der Cloud-Sicherheit noch nicht klar genug. Fühlt man sich nicht verantwortlich und kennt man seine Aufgaben nicht, dann sinkt natürlich die Bereitschaft, in Cloud-Sicherheit zu investieren.
Zum anderen fehlt bei den Entscheidern oftmals die Expertise, den Bedarf für weitere Cloud Security zu erkennen, denn meistens sind die entsprechenden Entscheider nicht die Security-Verantwortlichen, wie die Studie ergeben hat.
Auch die Cloud-Risiken werden unterschätzt - ein zusätzlicher Punkt, der erhöhtes Engagement für die Cloud-Sicherheit verhindert.
Damit aber die Sicherheit der Cloud wirklich deren Bedeutung für die Digitalisierung entsprechen kann, sind all diejenigen gefragt, die die Anwenderunternehmen als Partner in der Cloud-Sicherheit sehen: die Cloud-Provider, die Cloud-Security-Anbieter und die Berater. Die Rollen, Aufgaben, Verantwortlichkeiten und Risiken müssen noch besser kommuniziert werden. Die Sicht auf die Cloud Security darf nicht länger getrübt sein. Andernfalls gibt es für die sichere Digitalisierung nur "trübe" Aussichten.
Zur Studie 'Cloud Security 2021' im Aboshop
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Gold-Partner: PlusServer GmbH
Silber-Partner: Arvato Systems GmbH; Ergon Infromatik AG (Airlock); TÜV SÜD AG; uniscon GmbH
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und in den Fachbereichen (LoBs), IT-Entscheider und IT-Spezialisten aus dem IT-Bereich, IT-Security-Spezialisten
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media sowie zur Erfüllung von Quotenvorgaben über externe Online-Access-Panels; persönliche E-Mail-Einladungen zur Umfrage
Gesamtstichprobe: 383 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 1. bis 15. März 2021
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services