Advertorial 05.11.2018, 08:00 Uhr

Wie Cloud-Sicherheit Firmendaten schützt

Cyber-Attacken abzuwehren ist die offensichtliche Aufgabe eines Cloud-Anbieters zum Schutz der Kundendaten. Doch Cloud-Security geht viel weiter und deckt auch nicht so offensichtliche Bereiche ab.
Das Operation Control Center von Swisscom, in dem auch die Cloud-Infrastruktur überwacht wird.
(Quelle: Fotos: Luca Zanier )
Wenn Ihr Unternehmen von Ransomware wie Petya oder WannaCry nicht betroffen war, kann das drei Gründe haben: Sie wurden nicht angegriffen, haben die passenden Schutzmassnahmen ergriffen – oder Sie waren über Ihren Cloud-Anbieter bereits geschützt. Während kleine Unternehmen vielleicht gar nicht Ziel einer Malware-Attacke sind, präsentiert sich die Lage bei einem grossen Provider anders, wie das Beispiel Petya zeigt. «Wir haben diese Bedrohung früh erkannt und konnten reagieren, bevor die Ransomware überhaupt bei unseren Kunden angekommen ist», erinnert sich Tobias Langbein, IT-Sicherheitsarchitekt bei Swisscom. Konkret konnten die Angriffsadressen gesperrt und die Virensignatur frühzeitig aktualisiert werden. Damit wurden Attacken auf die Cloud und auf die Systeme der Kunden blockiert.

Vor Cyber-Angriffen geschützt

Die Früherkennung gelang auch dank enger Zusammenarbeit und der umgehenden Einspielung von Sicherheits-Updates der Software-Hersteller. Gerade bei Cyber-Attacken ist eine frühzeitige Reaktion entscheidend, so Tobias Langbein: «Indem wir präventiv reagieren und Schutzmassnahmen ergreifen, können wir reale Schäden vermeiden, die durch den Ausfall unternehmenskritischer Systeme entstehen könnten.»
Das gilt nicht nur bei Bedrohungen durch Ransomware und andere Schädlinge. Auch DDoS-Attacken, bei denen Systeme mit Anfragen überschwemmt und dadurch lahmgelegt werden, lassen sich mittels Früherkennung rechtzeitig blockieren. Die Sicherheitsexpertise und das technische Sicherheitsdispositiv eines Cloud-Anbieters kommen also direkt den Kunden zugute, deren Anwendungen und Systeme in der Cloud laufen. Die Nutzer profitieren, ohne selbst die entsprechende Infrastruktur und das nötige Fachwissen aufbauen zu müssen.

Cloud-Sicherheit ist mehr als Schutz vor Malware

Doch der Schutz vor Cyber-Angriffen ist nur ein Puzzleteil im gesamten System der Cloud-Sicherheit. Sie umfasst einerseits technische Massnahmen zum Schutz vor Angriffen und um die Datensicherheit und Verfügbarkeit sicherzustellen. Andererseits gehören die Zutrittskontrollen beim Eingang zum Rechenzentrum selbst genauso dazu. Sie sind nötig, obwohl Attacken meist übers Internet erfolgen, wie Tobias Langbein erklärt: «Die Sicherheitsmassnahmen müssen alle Aspekte umfassen. Sonst können wir die Sicherheit nicht nachvollziehbar gewährleisten.»
Denn es reicht nicht, bloss Schutzmassnahmen zu ergreifen. Ihre Wirkung muss auch belegbar sein. Dieser Beleg, dass die getroffenen Massnahmen greifen, wird als Compliance bezeichnet. Die Grundlagen bilden ISO-Standards und regulatorische Anforderungen, deren Einhaltung durch externe Kontrollstellen in sogenannten Audits überprüft wird. «Wir sichern unseren Kunden die Einhaltung von Sicherheitsstandards vertraglich zu», sagt Tobias Langbein. «Anhand der Audits können wir die Einhaltung auch belegen.»
Die Compliance kommt auch Unternehmen zugute, die an ihre eigenen Daten nicht so hohe Sicherheitsanforderungen stellen müssen wie Banken. Das gilt insbesondere für KMU, die selbst als Zulieferer und Dienstleister für Grossunternehmen tätig sind: «Diese KMU sind oft mit Compliance-Anforderungen konfrontiert, die sie selbst nur schwer nachweisen können», sagt Tobias Langbein. «Als Cloud-Provider können wir diesen Nachweis für unsere Kunden erbringen.»
Doch was passiert, wenn ein Bug in der Hard- oder Software eine unerwünschte Lücke verursacht? «In solchen Fällen werden wir vom Hersteller frühzeitig informiert und können die Lücke schliessen», sagt Tobias Langbein. Die Wirksamkeit der Massnahmen wird mittels sogenannter Penetration-Tests regelmässig überprüft. Hierbei versucht ein IT-Sicherheitsspezialist, in Systeme einzudringen – natürlich in offiziellem Auftrag. So lassen sich Schwächen erkennen und beheben. Doch nicht nur das: «Wir haben bei diesen Tests auch schon Lücken gefunden, von denen der Hersteller selbst gar nicht wusste», schmunzelt Tobias Langbein.

«Swissness» für lokale Bedürfnisse

Zertifizierungen und Audits machen Sicherheitsmassnahmen nachvollziehbar. Diese Transparenz schafft Vertrauen. Und es liegt auf der Hand, dass Unternehmen von ihrem Cloud-Anbieter die Einhaltung von Sicherheitsstandards erwarten. Doch die Anforderungen gehen gemäss Tobias Langbein über reine Sicherheitsmassnahmen hinaus: «Unsere Kunden erwarten von uns ‹Swissness›.» Das bedeutet zum einen, dass die Daten in der Schweiz gespeichert sind und der Vertrags- und Gerichtsstandort in der Schweiz liegt. Einige Kunden verlangen aber auch, dass nur aus der Schweiz heraus auf die Daten zugegriffen werden kann.
Diese «Swissness»-Aspekte sind es denn auch, was Swisscom von globalen Cloud-Anbietern unterscheidet. Oder, wie es Tobias Langbein formuliert: «Wir bieten ein lokales Cloud-Angebot für Unternehmen mit spezifischen lokalen Bedürfnissen.»