Wie die Cloud meine Daten schützt

Wie sicher sind Daten in den Clouds der großen weltweit agierenden Anbieter, sog. „Hyperscaler“, eigentlich? Wie sieht die aktuelle Bedrohungslage aus und wie kann ich als Unternehmen oder Organisation meine Daten mit modernster Technologie schützen?

Es ist nun fast 5 Jahre her, als die Cybersecurity Abteilung von Moeller-Maersk, der weltgrößten Container-Logistik Firma, eines morgens feststellen mussten, dass Laptops von Mitarbeiter*innen nicht mehr starteten und weltweit IT-Systeme ausfielen. Es war wohl einer der größten Cyberangriffe auf ein Unternehmen (mit der „NotPetya“-Ransomware) und sorgte weltweit für Schlagzeilen mit einem Schaden der später auf über 300 Mio. Dollar geschätzt wurde.

Seither hat sich die Bedrohungslage für Unternehmen, Organisationen und Privatpersonen in mehrfacher Hinsicht vervielfacht und Cybersecurity steht heute (hoffentlich) auf jeder Agenda einer IT-Leiter*in ganz oben. Dies hat zwei Gründe, explodierende Datenmengen und Vernetzung einerseits und Professionalisierung der Bedrohungen andererseits:

100,000,000,000,000,000,000,000
= 100 Zettabyte an Daten, besagen jüngste Schätzungen werden dieses Jahr weltweit erstellt, erfasst, kopiert oder konsumiert werden. Die Hälfte des weltweiten Datentraffics erfolgt bereits über mobile Geräte und die Zahlen der an das Internet („of things“) angeschlossenen Geräte beträgt rund 30 Milliarden in diesem Jahr. Darüber hinaus steigt die weltweite Vernetzung und Nutzung von Clouddiensten weiter an, ein durchschnittlicher Großkonzern nutzt heutzutage Microsoft Schätzungen zufolge über 100 Clouddienste. Dadurch hat sich die Angriffsfläche eines Unternehmens in den letzten Jahren vervielfacht.

4,000,000
Über vier Millionen Dollar betragen die durchschnittlichen Kosten für einen Datenverlust („Data Breach“) Incident, wie der „Cost of a Data Breach Report 2021“ von IBM herausgefunden hat. Gefahren wie kompromittierte Mails, manipulierte Identitäten oder schlecht gewartete/konfigurierte Architekturen stellen die Hauptgefahren und somit Einfallstore dar.

1,14
ist der Preis (wieder in Dollar), also ca. 1 Euro, der im Darknet bezahlt werden muss, um 1.000 Login Daten / Passwörter im Paket zu erwerben. DDoS Attacken für unter 1.000$ pro Monat oder Ransomware Attacken im „risikofreien“ Revenue-Sharing Modell, also Teilen des Lösegelds, sind andere Beispiele, die zeigen, wie einfach heute Bedrohung „bestellt“ werden können. Dazu kommen noch staatlich organisierte Cyberangriffe bzw. Risiken aus kriminellem Insiderverhalten.

Sicherheit als Kerndisziplin
Bei Microsoft implementieren und betreiben wir als einer der weltweit größten Anbieter von Cloudservices („Hyperscaler“) spezialisierte Technologien, Betriebskonzept und Abteilungen, um diesen Bedrohungen entgegenzutreten, damit die Daten unserer Kunden bestmöglich geschützt sind.

Dies beginnt bei der Umsetzung höchster Sicherheitsstandards auf mehreren Ebenen bei unseren Standorten.  Biometrische Mehrfaktor-Kontrollen, ausschließlich temporäre Zugangsberechtigungen, Vorort-Hardware-Recycling und Datenträger-Vernichtung, getrennte Betriebs- und Administrationsteams usw. gehören weltweit zum Standard bei unseren über 200 Rechenzentren.

Sämtliche Daten werden ausschließlich verschlüsselt gespeichert und zwischen den Rechenzentrumsstandorten übertragen. Zusätzlich stehen unseren Kunden weltweit sichere Zugänge über VPN („Virtual Private Networks“) zu Verfügung, um auch die „letzte Meile“ des Datentransfers abzusichern.

Als einer der größten Cloud- und Internet-/IT-Infrastrukturanbieter weltweit kommt uns als Microsoft eine besondere Verantwortung für die Sicherheit und Verlässlichkeit des digitalen Rückgrats der Gesellschaft zu. Das Microsoft Security Response Center ist Teil der globalen Sicherheitscommunity und nimmt in der Weiterentwicklung von Konzepten eine wichtige Rolle ein. Wir arbeiten seit über 20 Jahren mit über 8.000 Experten daran, die Sicherheit für unsere Kunden zu verbessern und werden in den nächsten Jahren weitere 20 Milliarden Dollar in diesen Bereich investieren. Schon heute werden 24 Billionen digitale Signal täglich über unsere Infrastruktur automatisiert auf potentielle bekannte und neuartige Bedrohungen analysiert. Damit konnten im letzten Jahr 9.6 Mrd Angriffe auf Endgeräte verhindert, über 35 Mrd. Phishing Emails blockiert und über 35 Mrd. Versuche, Passwörter zu stehlen verhindert werden. Dies schaffen NUR modernste hochskalierbare Cloud-Infrastrukturen. Zu diesen Themenfeldern bieten wir auch regelmäßig weiterführende Berichte und Artikel über die aktuelle Digitale Sicherheitslage an.

Zero Trust
Oft werden in selbst betriebenen IT-Infrastrukturen einfachste Security-Grundsätze noch nicht durchgehend umgesetzt. So wird Angreifern die Arbeit erleichtert und die eigenen Daten werden nur unzureichend geschützt. So können bereits 98% der Angriffe durch fünf Basis-Maßnahmen verhindert werden, wie der neueste Cyber Signals Report von Microsoft zeigt:

Um einen umfassenden breiten Sicherheitsstandard optimal in der eigenen Security Architektur umzusetzen, empfiehlt sich heutzutage der „Zero-Trust-Standard“ zur Absicherung von Identitäten, Systemen/Applikationen, Netzwerken und Daten. Die Grundprinzipien einer expliziten Verifikation, geringst-nötigen Zugriffs und angenommener Sicherheitsverletzung ermöglichen Hand in Hand beim Cloudanbieter und Kunden ein höchstmögliches Level an Angriffsschutz für alle digitalen Ressourcen. Eine erste Selbstbewertung kann mit Hilfe unseres kostenfreien Self-Assessments durchgeführt werden.

Höchste Verfügbarkeit
Cloudregionen bei Microsoft stehen unseren Kunden mit 3 redundanten Verfügbarkeitszonen zur Verfügung. Das bedeutet einfach formuliert, dass die Daten über drei anbindungs- und energie-unabhängige, physisch getrennte, Standorte verteilt werden. Das reduziert Downtimes auf ein Minimum und verhindert Datenverlust. So kann über dieses Konzept eine monatlich Verfügbarkeit für virtuelle Computer von 99,99% (4 9s) erreicht werden.

Unterschiedliche Betriebsmodelle und Cloud-Regionen zur Erfüllung von Complianceanforderungen
Bei der Nutzung von IT-Services aus der Cloud werden bereits viele notwendige Sicherheitsaufgaben an den (spezialisierten) Cloudanbieter übertragen. Bereits bei der Nutzung von Infrastruktur als Service übernimmt der Cloudanbieter die Sicherheit für die physischen Anlagen sowie viele Betriebssystem- und Netzwerkschichten. Bei den komplexeren Plattform- (PaaS) bzw. Softwareservices (SaaS) werden nach und nach auch viele Teile der Applikations-, Identitäts- und Clientsicherheit vom Anbieter übernommen.

Eine globale Cloudinfrastruktur wie die der Microsoft bietet Kunden einerseits die Möglichkeit auch (welt)weit verteilte Standort mit IT-/Cloud-Services zu versorgen, andererseits aber auch Datenhaltung und Applikationsbetrieb innerhalb bestimmter Regionen zu begrenzen.

So plant Microsoft, bis Ende 2022 die Umsetzung der sogenannten „EU Data Boundary“ abgeschlossen zu haben, mit der unserer Kunden dann die Möglichkeit haben werden, Datenspeicherung UND Datenverarbeitung UND Supportleistungen nur innerhalb der Europäischen Region zu nutzen. Es wird dann nicht mehr notwendig sein, für bestimmte Cloudservices auf Regionen in USA zurückgreifen zu müssen. Darüber hinaus besteht auch die Möglichkeit den Support nur aus Standorten innerhalb der EU zu beziehen. Somit werden Kunden in Zukunft noch leichter Compliance- und regulative Anforderungen erfüllen können.

Sollen Datenspeicherung und Verarbeitung innerhalb Österreichs erfolgen, planen wir für unsere Kunden im Laufe des nächsten Jahres die „Cloud Region Österreich“ als vollwertige „Commercial Cloud Region“ mit 3 Verfügbarkeitszonen anbieten zu können. Mehr zu diesem Thema werden wir in Kürze an dieser Stelle berichten.

Weitere Informationen:

Ganzheitliche Sicherheit für Unternehmen | Microsoft Security
Digital Security Tips and Solutions – Microsoft Security Blog
Cyber Signals: Defending against cyber threats with the latest research, insights, and trends – Microsoft Security Blog
Starke Datenintegrität in der Cloud | Microsoft Trust Center
Einfache Compliance in der Cloud (microsoft.com)
Speicherung und Verarbeitung von Daten ausschließlich in der EU | News Center Microsoft
Was habe ich eigentlich von der Microsoft Cloud Österreich?