Wie Kunden von Cloud-Sicherheit profitieren

Die Kunden profitieren

Wie Cloud-Sicherheit Unternehmen schützt

Cyber-Attacken abwehren, bevor sie die Infrastruktur der Kunden angreifen: Das ist die offensichtlichste Aufgabe eines Cloud-Anbieters, wenn es um Sicherheitsmassnahmen geht. Doch Cloud-Security geht noch viel weiter und unterstützt die Kunden-Unternehmen auch in nicht so offensichtlichen Bereichen.

Wenn Ihr Unternehmen von Ransomware wie Petya oder WannaCry nicht betroffen war, kann das drei Gründe haben: Sie wurden nicht angegriffen, haben die passenden Schutzmassnahmen ergriffen – oder Sie waren über Ihren Cloud-Anbieter bereits geschützt. Während kleine Unternehmen vielleicht gar nicht Ziel einer Malware-Attacke sind, präsentiert sich die Lage bei einem grossen Provider anders, wie das Beispiel Petya zeigt. «Wir haben diese Bedrohung früh erkannt und konnten reagieren, bevor die Ransomware überhaupt bei unseren Kunden angekommen ist», erinnert sich Tobias Langbein, IT-Sicherheitsarchitekt bei Swisscom. Konkret konnten die Angriffsadressen gesperrt und die Virensignatur frühzeitig aktualisiert werden. Damit wurden Attacken auf die Cloud und auf die Systeme der Kunden blockiert.

Vor Cyber-Angriffen geschützt

Die Früherkennung gelang auch dank enger Zusammenarbeit und der umgehenden Einspielung von Sicherheits-Updates der Software-Hersteller. Gerade bei Cyber-Attacken ist eine frühzeitige Reaktion entscheidend, so Tobias Langbein: «Indem wir präventiv reagieren und Schutzmassnahmen ergreifen, können wir reale Schäden vermeiden, die durch den Ausfall unternehmenskritischer Systeme entstehen könnten.»

Das gilt nicht nur bei Bedrohungen durch Ransomware und andere Schädlinge. Auch DDoS-Attacken, bei denen Systeme mit Anfragen überschwemmt und dadurch lahmgelegt werden, lassen sich mittels Früherkennung rechtzeitig blockieren. Die Sicherheitsexpertise und das technische Sicherheitsdispositiv eines Cloud-Anbieters kommen also direkt den Kunden zugute, deren Anwendungen und Systeme in der Cloud laufen. Die Nutzer profitieren, ohne selbst die entsprechende Infrastruktur und das nötige Fachwissen aufbauen zu müssen.

Cloud-Sicherheit ist mehr als Schutz vor Malware

Doch der Schutz vor Cyber-Angriffen ist nur ein Puzzleteil im gesamten System der Cloud-Sicherheit. Sie umfasst einerseits technische Massnahmen zum Schutz vor Angriffen und um die Datensicherheit und Verfügbarkeit sicherzustellen. Andererseits gehören die Zutrittskontrollen beim Eingang zum Rechenzentrum selbst genauso dazu. Sie sind nötig, obwohl Attacken meist übers Internet erfolgen, wie Tobias Langbein erklärt: «Die Sicherheitsmassnahmen müssen alle Aspekte umfassen. Sonst können wir die Sicherheit nicht nachvollziehbar gewährleisten.»

Denn es reicht nicht, bloss Schutzmassnahmen zu ergreifen. Ihre Wirkung muss auch belegbar sein. Dieser Beleg, dass die getroffenen Massnahmen greifen, wird als Compliance bezeichnet. Die Grundlagen bilden ISO-Standards und regulatorische Anforderungen, deren Einhaltung durch externe Kontrollstellen in sogenannten Audits überprüft wird. «Wir sichern unseren Kunden die Einhaltung von Sicherheitsstandards vertraglich zu», sagt Tobias Langbein. «Anhand der Audits können wir die Einhaltung auch belegen.»

Die Compliance kommt auch Unternehmen zugute, die an ihre eigenen Daten nicht so hohe Sicherheitsanforderungen stellen müssen wie Banken. Das gilt insbesondere für KMU, die selbst als Zulieferer und Dienstleister für Grossunternehmen tätig sind: «Diese KMU sind oft mit Compliance-Anforderungen konfrontiert, die sie selbst nur schwer nachweisen können», sagt Tobias Langbein. «Als Cloud-Provider können wir diesen Nachweis für unsere Kunden erbringen.»

Datensicherheit als höchstes Gut

Damit die strengen Anforderungen überhaupt erfüllt werden können, müssen die Sicherheitsaspekte bereits bei der Planung der Cloud berücksichtigt werden. «Zentraler Aspekt dabei ist, dass die Infrastrukturen der Kunden so voneinander getrennt sind, dass kein ungewollter Zugriff möglich ist», sagt Tobias Langbein. Zu seinen Aufgaben gehört es, die Cloud-Architekten bei der Planung zu beraten, damit diese Isolation sichergestellt ist. Die Umsetzung erfolgt mittels Hard- und Software, die beispielsweise den Speicher und die virtuellen Server der einzelnen Kunden in der Cloud voneinander abschottet.

Schutzmassnahmen in Rechenzentren

Wie sicher und verfügbar ein ganzes Rechenzentrum ist, darüber geben die sogenannten Tier-Level Auskunft. Sie berücksichtigen auch Zugriffskontrollen und Brandschutz. Für den Betrieb von zentralen Unternehmensanwendungen in der Cloud sollte das Rechenzentrum nach Tier-Level 3 zertifiziert sein, der zweithöchsten Stufe. Der höchste Tier-Level 4 ist im Bereich sensibler Kundendaten bei Banken, Versicherungen und im Gesundheitswesen Voraussetzung. Diese Zertifizierung trägt beispielsweise das Swisscom Rechenzentrum Wankdorf.

ISO-Zertifikate belegen dagegen den technischen Schutz der Infrastruktur, sind also Gütesiegel für die Informatik. Wichtigste Norm ist da ISO 27001. Sie beschreibt die Sicherheitsmechanismen und die Prozesse des Sicherheitsmanagement.

Doch was passiert, wenn ein Bug in der Hard- oder Software eine unerwünschte Lücke verursacht? «In solchen Fällen werden wir vom Hersteller frühzeitig informiert und können die Lücke schliessen», sagt Tobias Langbein. Die Wirksamkeit der Massnahmen wird mittels sogenannter Penetration-Tests regelmässig überprüft. Hierbei versucht ein IT-Sicherheitsspezialist, in Systeme einzudringen – natürlich in offiziellem Auftrag. So lassen sich Schwächen erkennen und beheben. Doch nicht nur das: «Wir haben bei diesen Tests auch schon Lücken gefunden, von denen der Hersteller selbst gar nicht wusste», schmunzelt Tobias Langbein.

Mit der Isolation der Systeme wird auch sichergestellt, dass nur der Kunde selbst Zugriff auf seine Daten hat. In Kombination mit Massnahmen zum Schutz vor Datenverlusten, etwa bei Hardware-Defekten, kann so die Datensicherheit gewährleistet werden. «Für uns als Cloud-Anbieter ist dies das höchste Gut, um das Vertrauen unserer Kunden sicherzustellen», sagt Tobias Langbein.

«Swissness» für lokale Bedürfnisse

Zertifizierungen und Audits machen Sicherheitsmassnahmen nachvollziehbar. Diese Transparenz schafft Vertrauen. Und es liegt auf der Hand, dass Unternehmen von ihrem Cloud-Anbieter die Einhaltung von Sicherheitsstandards erwarten. Doch die Anforderungen gehen gemäss Tobias Langbein über reine Sicherheitsmassnahmen hinaus: «Unsere Kunden erwarten von uns ‹Swissness›.» Das bedeutet zum einen, dass die Daten in der Schweiz gespeichert sind und der Vertrags- und Gerichtsstandort in der Schweiz liegt. Einige Kunden verlangen aber auch, dass nur aus der Schweiz heraus auf die Daten zugegriffen werden kann.

Diese «Swissness»-Aspekte sind es denn auch, was Swisscom von globalen Cloud-Anbietern unterscheidet. Oder, wie es Tobias Langbein formuliert: «Wir bieten ein lokales Cloud-Angebot für Unternehmen mit spezifischen lokalen Bedürfnissen.»

 

Fachartikel zu Cloud

Studie: Empfehlungen zur CloudMit diesen fünf Empfehlungen stellen Sie erfolgreich auf eine cloudbasierte Infrastruktur um. Lesen Sie, wie die Cloud Ihre digitale Transformation beschleunigt.

 

 

 

Jetzt Fachartikel kostenlos herunterladen

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Die Bilder zeigen das Operation Control Center von Swisscom, in dem auch die Cloud-Infrastruktur überwacht wird. Fotos: Luca Zanier.

Jetzt lesen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.