Wie sicher ist die Cloud-Telefonie?

Kommunikationsrisiken bewerten

Cloud-Dienste werden immer beliebter, das gilt auch für die Kommunikation über die Cloud. Aber welche Risiken sind damit verbunden und was können Nutzer selbst tun, um Cloud-Telefonie so sicher wie möglich zu machen?

Cloud-basierte Kommunikationslösungen bieten viele Vorteile. Statt in teure und wartungsintensive TK-Anlagen investieren zu müssen, haben Anwender per Knopfdruck Zugriff auf Telefonie, Fax, Conferencing-Dienste und viele weitere Kommunikationsfunktionen – und das weltweit und von jedem internetfähigen Endgerät aus.

Gerade die Kommunikation stellt aber besonders hohe Anforderungen an die Sicherheit. Schließlich werden in Gesprächen vertrauliche Firmeninformationen ausgetauscht, in Konferenzen Unternehmensstrategien geplant und Geschäftszahlen per Fax übermittelt. Darüber hinaus werden in Adressbüchern und Anruflisten personenbezogene Daten gespeichert, für die der strenge Schutz der Europäischen Datenschutzgrundverordnung (DSGVO) gilt.

Gerade was die Sicherheit in der Cloud angeht, haben jedoch viele deutsche Unternehmen noch Bedenken. Laut dem Cloud Monitor 2018, der vom Branchenverband Bitkom und der Beratungsgesellschaft KPMG herausgegeben wird, befürchten zwei Drittel der Befragten den unberechtigten Zugriff auf in der Cloud gespeicherte Unternehmensdaten, über die Hälfte sogar deren Verlust. Häufig wird dabei außer Acht gelassen, dass Cloud-Infrastrukturen in der Regel besser abgesichert und professioneller geschützt sind als die Server im eigenen Rechenzentrum. Das spiegelt sich auch in den Angaben der Monitor-Teilnehmer wider: 30 Prozent der Befragten hatten in den vergangenen zwölf Monaten einen Sicherheitsvorfall in der unternehmenseignen IT-Infrastruktur, bei weiteren 27 Prozent gab es Verdachtsfälle. In Public-Cloud-Umgebungen waren es dagegen nur 25 Prozent beziehungsweise 21 Prozent.

Sicherheitsanforderungen an den Cloud-Kommunikationsanbieter

Die Ergebnisse der Bitkom-Umfrage zeigen, dass die Sicherheit in Cloud-Infrastrukturen besser ist als ihr Ruf. Nicht alle Provider bieten jedoch das gleiche Schutzniveau. Um Risiken zu minimieren und Ihre Unternehmenskommunikation so sicher wie möglich zum machen, sollten Sie bei der Wahl Ihres Cloud-Kommunikationsdienstleisters daher auf folgende Kriterien achten:

Security by Design: Bei der traditionellen Entwicklung von Hard- und Software wird oft viel zu spät über potenzielle Sicherheitslücken nachgedacht. Versuche, diese zu schließen, sind in diesem Stadium häufig nicht nur sehr teuer, sondern auch nur zum Teil wirksam. Der Cloud-Provider Ihrer Wahl sollte dagegen schon beim Design seiner Produkte Sicherheitsanforderungen definieren und mögliche Bedrohungen berücksichtigen, um so seine Services von Anfang an so gut wie möglich gegen Angriffe zu schützen.

Sichere Rechenzentren: Die Infrastruktur des Cloud-Providers muss ausreichend gegen Einbruch, Manipulation und Datenverlust geschützt sein. Siegel und Zertifizierungen mit anerkannten Sicherheitsstandards wie der ISO-Norm 27001 oder dem Anforderungskatalog Cloud Computing (C5) des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) dokumentieren, dass der Anbieter alle nach dem aktuellen Stand der Technik möglichen Sicherheitsvorkehrungen getroffen hat.

Verschlüsselte Kommunikation: Daten und Gespräche sollten per SSL (Secure Socket Layer) verschlüsselt übertragen werden. Eine zusätzliche Abhörsicherheit bietet eine Verschlüsselung des Sprachverkehrs mit SRTP (Secure Real-Time Protocol).

Schutz vor Ausfällen: Die Infrastruktur des Cloud-Providers sollte redundant ausgelegt und über mehrere Lokationen verteilt sein. So bleiben Sie auch beim Ausfall eines Rechenzentrums weiter erreichbar.

Datenschutz: Die Europäische Datenschutzgrundverordnung (DSGVO) stellt hohe Anforderungen an den Datenschutz und die Datensicherheit. Der Cloud-Provider muss sie erfüllen – und das auch nachweisen können. Eine ausschließliche Datenhaltung in der Europäischen Union bei einem europäischen Provider ist von Vorteil. US-amerikanische Anbieter können durch den sogenannten CLOUD Act (Clarifying Lawful Overseas Use of Data) rechtlich dazu gezwungen werden, auch die Kundendaten europäischer Unternehmen an amerikanische Behörden herauszugeben.

 

 

Warum Anbieterschutz nicht genügt

Wer bei der Auswahl des Cloud-Kommunikationsdienstleisters die genannten Kriterien berücksichtigt, hat einen großen Schritt hin zur sicheren Unternehmenskommunikation getan. Das allein ist jedoch nicht ausreichend. Die größte Sicherheitslücke im Cloud Computing sind nämlich die Anwender selbst. Das Marktforschungsunternehmen Gartner schätzt, dass bis zum Jahr 2022 mindestens 95 Prozent aller Sicherheitsvorfälle in der Cloud durch die Kunden selbst verursacht werden. Deshalb empfiehlt es sich, das Thema Sicherheit nicht nur dem Dienstleister zu überlassen, sondern selbst aktiv zu werden und dazu die folgenden Punkte zu beachten:

Verschaffen Sie sich einen Überblick. Klären Sie, welche Daten verarbeitet werden, welcher Schutzbedarf besteht und welche Maßnahmen für Datenschutz und Datensicherheit zu ergreifen sind. Definieren Sie auf Basis dieser Informationen die Sicherheitsanforderungen an den Cloud-Serviceanbieter und legen Sie diese vertraglich fest.

Stellen Sie klare Regeln für die Cloud-Kommunikation auf. Legen Sie fest, wer welchen Zugang zu den Kommunikationsdiensten hat. Gehen Sie mit Administrationsrechten sparsam um, und überprüfen Sie regelmäßig, ob die erteilten Zugangsprivilegien weiterhin notwendig sind.

Sorgen Sie für sichere Zugänge: Stellen Sie verbindliche Richtlinien für die Passwortstärke und -hygiene auf. Schreiben Sie nach Möglichkeit eine Zwei-Faktor-Authentifizierung vor. Etablieren Sie Prozesse, damit beispielsweise die Zugangsberechtigungen ausgeschiedener Mitarbeiter automatisch gelöscht werden.

Sichern Sie die Zugangsgeräte. Die beste Cloud-Sicherheit nutzt nichts, wenn die Smartphones und Rechner der Anwender mit Viren und anderer Malware verseucht sind. Sichern Sie daher alle Endgeräte mit zeitgemäßen Endpoint-Security-Lösungen ab.

Bewerten Sie Ihre Risiken. Evaluieren Sie das Potenzial externer Gefahren, lassen Sie die Qualität Ihrer Verteidigungsmaßnahmen etwa durch Pentests überprüfen und entwickeln Sie so eine realistische Einschätzung für potenzielle Bedrohungen.

 

Fazit

Cloud-Kommunikationsdienste bieten viele Vorteile. Sie sind flexibel, weltweit nutzbar, machen Investitionen in TK-Anlagen-Hardware überflüssig und entlasten die TK-Verantwortlichen von Konfigurations-, Wartungs- und Pflegeaufgaben. Auch bei der Sicherheit haben sie nachgewiesenermaßen Vorteile, denn Cloud-Infrastrukturen sind in der Regel besser abgesichert als die interne IT. Um wirklich sicher über die Cloud kommunizieren zu können, sind allerdings zwei Voraussetzungen nötig: Zum einen sollten Sie bei Wahl des Providers Sorgfalt walten lassen und dessen Sicherheitsvorkehrungen genau evaluieren. Zum andern dürfen Sie aber auch interne Maßnahmen nicht vernachlässigen, die für eine sichere Nutzung der Kommunikationsdienste sorgen. Mit dieser Strategie können Sie die Vorteile der Cloud-Kommunikation genießen, ohne in Sachen Sicherheit oder Compliance Kompromisse eingehen zu müssen.