Die unsichtbare Festung: Wie die Cloud ein Unternehmen sicherer macht

Die Datenspeicherung im eigenen Haus oder in der Nähe zu haben, etwa in Form eines Rechenzentrums (RZ), verleitet sowohl Grossunternehmen als auch KMUs zur Annahme, die Kontrolle und somit eine höhere Sicherheit über ihre Daten zu haben. Viele zögern, ihre Geschäftsprozesse in die Cloud zu verlegen aus Angst, Cloud-Anbieter könnten ihre Daten einsehen. Dieser sogenannte Risiko-Bias verkennt jedoch die aktuelle Sicherheitslage. Gemäss einem aktuellen Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) hat die Anzahl der Cybervorfälle 2022 in der Schweiz deutlich zugenommen. Mit RZs, die oft auf Standards aus den 90er-Jahren basieren, riskieren Unternehmen, finanzielle Einschränkungen infolge eines Cyberangriffs zu erleiden. Eine Cloud-Migration kann diese Gefahr beträchtlich verringern. 

Moderne Technologie und kontinuierliche Aktualisierungen

Mit der Cloud lassen sich viele Geschäftsprozesse vereinfachen. Meetings können schneller organisiert und Dateien effizienter geteilt werden. Dadurch wird nicht nur die interne, sondern auch die externe Zusammenarbeit erleichtert. Entgegen gängiger Auffassung führt die Cloud darüber hinaus zu mehr Sicherheit. Beim Einstieg in die Cloud kauft ein Unternehmen eine standardisierte, moderne Infrastruktur ein. Damit ist die Sicherheit automatisch höher als bei veralteten Technologien. Beispielsweise enthält Microsoft Azure Schutzmechanismen, die ohne Zutun der Kundschaft aktiviert sind, und es besteht nur temporär Zugriff auf Kundendaten, etwa bei einer Support-Anfrage. Hinzu kommt, dass eine Cloud die Möglichkeit bietet, regelmässige Updates durchzuführen, Sicherheitslücken zu schliessen und technische Schulden, die bei der ungenügenden Erneuerung von Software und Infrastrukturkomponenten entstehen, zu verringern. Dies führt wiederum zu einem höheren Datenschutz als er von einem lokalen RZ gewährleistet werden kann. 

Was bei einer Cloud-Migration beachtet werden muss

Eine Migration in die Cloud sollte jedoch nicht unüberlegt erfolgen. Die Cloud bietet zwar mehr Sicherheit, aber sie muss auch verstanden und kontinuierlich bewirtschaftet werden, um vollumfänglich davon profitieren zu können. Hier bietet es sich an, nicht das günstigste Angebot aus dem Subscription-Modell zu wählen, sondern zusätzliche Sicherheitsdienstleistungen beim Cloud-Anbieter zu erwerben. Ausserdem ist es hilfreich, wenn die interne Verantwortlichkeit klar definiert ist, sprich sich eine Person oder ein Team gut mit der Cloud-Technologie auskennt und das Management für die Migration übernimmt. Damit schafft man weitere Sicherheit, da sich das Unternehmen so nicht vollständig auf den Cloud-Anbieter verlassen muss.  

Ratsam ist zudem, sich als Unternehmen eingängig mit dem revidierten Schweizer Datenschutzgesetz (revDSG) zu befassen, bevor der Schritt in die Cloud vollzogen wird. Die am 1. September 2023 in Kraft getretene Revision sieht unter anderem vor, dass persönliche Daten «by Design» und «by Default» geschützt werden müssen.  Das bedeutet, dass der Datenschutz bereits beim Aufbau der IT-Infrastruktur eingepflegt werden muss und Individuen bei jeglicher Art der Datenbeschaffung informiert werden müssen. Persönliche Daten in unstrukturierter Form (z. B. in Dokumenten und E-Mails) gehören ebenfalls dazu und müssen erkannt und geschützt werden. Auch hier hat die Cloud von Haus aus Fähigkeiten mit hohem Automatisierungsgrad.

Generell gilt: Die Cloud bietet viele Sicherheitsvorteile. Trotzdem sollte nicht Hals über Kopf von einem RZ in die Cloud gewechselt werden. Zuerst sollte sich jedes Unternehmen intern weiterbilden und sich mit den Datenschutzbestimmungen ausführlich auseinandersetzen, nur so kann das passende Modell ausgewählt werden.