Die sichere Cloud: reine Utopie?

23. Oktober 2018
An der Cloud-Nutzung kommt nahezu kein Unternehmen mehr vorbei. An der Cloud-Nutzung kommt nahezu kein Unternehmen mehr vorbei. Bild: NTT Security

    Die Vorteile der Cloud sind weitreichend dokumentiert, Sicherheitsbedenken aber nach wie vor bei etlichen Unternehmen präsent. Mit einer durchdachten Migrations- und Security-Strategie muss Sicherheit allerdings keine Utopie bleiben.

    Vor der Einführung von Cloud-Services sollte sich jedes Unternehmen mit einigen elementaren Sicherheitsmassnahmen auseinandersetzen. Nur so können sie das Cloud-Risiko unter Kontrolle behalten und die Vorteile in vollem Umfang ausschöpfen. Zur Vorbereitung gehören eine genaue Bestandsaufnahme der IT-Landschaft und eine Festlegung der Ziele, die mit der Cloud erreicht werden sollen. Daraus ergeben sich Kriterien dafür, welche Applikationen, Daten und Dienste in die Cloud verlagert und welche im eigenen Rechenzentrum verbleiben sollen.

    Unternehmen müssen sich dann mit den Cloud-spezifischen Risiken und den zur Verfügung stehenden Sicherheitsmassnahmen beschäftigen. Die Anforderungen an die Informationssicherheit ergeben sich dabei aus dem Schutzbedarf der ausgelagerten IT-Infrastruktur, Applikationen und Daten. Unter dem Aspekt Sicherheit sind vor allem folgende Kriterien zu beachten: Steuerung, Datenschutz, Compliance und Incident Response.

    Steuerung der IT-Sicherheit
    Die Steuerung der IT-Sicherheit ist eine wesentliche Voraussetzung für ein effektives Management und die Kontrolle von Risiken für die Informationssicherheit. Erforderlich ist ein leistungsstarkes Rahmenwerk mit Richtlinien und Prozessen. Diese Anforderung gilt sowohl für Cloud-Provider als auch für Cloud-Nutzer. Nur mit einem solchen Rahmenwerk sind Unternehmen und Cloud-Provider gemeinsam in der Lage, die organisatorischen und technologischen IT-Sicherheitsmassnahmen zur Beherrschung der Risiken zu definieren, umzusetzen und zu überwachen.

    Datenschutz
    Oft werden personenbezogene beziehungsweise vertrauliche Daten in der Cloud gespeichert. Die Sicherheit dieser Daten ist in der Cloud wesentlich schwieriger zu gewährleisten als in einer On-Premise-Umgebung. Die zwei grössten Herausforderungen lauten „Verlust der Kontrolle über die Daten“ und „Abhängigkeit vom Coud-Provider“. Wenn vertrauliche Unternehmensdaten in der Cloud gespeichert werden sollen, sind deshalb in aller Regel zusätzliche Sicherheitsmassnahmen erforderlich. Dazu gehören Vorgaben hinsichtlich Datenhoheit und Speicherort der Daten, Datenverschlüsselung, Zwei-Faktor-Authentifizierung und Massnahmen zum Schutz privilegierter Benutzerkonten.

    Compliance
    Aufgrund der Beschaffenheit der Cloud sind möglicherweise Gesetze, Vorschriften oder andere Vorgaben zu beachten, die ein Verschieben bestimmter Daten oder Geschäftsprozesse in die Cloud einschränken oder verbieten. Unternehmen müssen sich intensiv mit den rechtlichen Aspekten im Zusammenhang mit der Cloud auseinandersetzen und sich gegebenenfalls rechtlich beraten lassen, um alle geltenden Vorschriften zu kennen und einzuhalten – inklusive der neuen EU-DSGVO zum Schutz personenbezogener Daten. Viele Unternehmen haben zusätzlich auch interne Compliance-Regeln definiert, die dann natürlich auch für den Cloud-Provider gelten müssen.

    Incident Response
    Schwachstellen oder Sicherheitslücken in der Cloud können zu erheblichen Problemen führen, seien es Imageschäden oder Umsatzeinbussen. Unternehmen müssen auf derartige Probleme vorbereitet sein und deshalb über einen Incident-Response-Plan verfügen. In diesem Plan müssen rasche und effektive Reaktionen auf Sicherheitsvorfälle geregelt sein. Auftraggeber und Cloud-Provider müssen hier vor allem festlegen, wer bei einem Cloud-Sicherheitsvorfall für welche Aufgaben zuständig ist.

    An der Cloud-Nutzung kommt nahezu kein Unternehmen mehr vorbei. So ist eine Digitale Transformation ohne Cloud nicht denkbar. Und fast täglich entstehen neue Cloud-Services, etwa aus den Bereichen künstliche Intelligenz oder maschinelles Lernen, die Unternehmen bei ihrem digitalen Wandel entscheidend voranbringen. Sicherheitsvorbehalte dürfen dabei kein Hindernis darstellen. Sie sind unbegründet, denn mit den richtigen vorbereitenden Massnahmen und gegebenenfalls unterstützt durch einen erfahrenen IT-Security-Spezialisten sind die Sicherheitsanforderungen in und mit der Cloud durchaus beherrschbar.

    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!