Lesezeit
2 Minuten
Seite 2 - Sicherheit beim Cloud Computing
Prozesssicherheit
SaaS-Anbieter haben enorm viel Zeit und Geld investiert, um sicherzustellen, dass ihre Sicherheitsverfahren und -kontrollen, die sämtliche Aspekte der Einrichtung und Verwaltung eines Online-Systems regeln, höchsten Anforderungen genügen. Dies gilt insbesondere für Anbieter, die mit kritischen Geschäftsinformationen arbeiten. Diese Prozesse werden dokumentiert und regelmäßig überprüft, um zu gewährleisten, dass sie effektiv funktionieren und kontinuierlich zur Anwendung kommen.
Qualifizierte SaaS-Anbieter können außerdem eine Zertifizierung durch unabhängige Dritte vorweisen, wie beispielsweise SAS 70 Typ II vom American Institute of Certified Public Accountants (AICPA) oder ISO 27001 – ein ausgezeichnetes Messinstrument hinsichtlich der vom Anbieter angewandten Risikomanagement-Strategien. Mit der Zertifizierung wird eine sorgfältige Prüfung der Sicherheitsstrategien und -verfahren durch unabhängige Dritte gewährleistet. Die formellen Berichte solcher Prüfungen und Tests sollten ebenfalls auf Anfrage erhältlich sein.
Personalsicherheit
Wie aktuelle Ereignisse deutlich gezeigt haben, ist der Mensch eine wichtige Komponente in einem Informationssystem. Innentäter stellen eine Bedrohung dar, mit der kein Angriff von außen mithalten kann. In diesem Zusammenhang müssen administrative Kontrollen wie "Need to know", "restriktive Zugriffsrechte" und "Pflichtentrennung" eingerichtet werden. Die Überprüfung des Hintergrunds der Mitarbeiter sowie wirksame Vertraulichkeitsvereinbarungen sind unerlässlich. Idealerweise werden Mitarbeiter mit Zugriff auf sensible Informationen geprüft und wenn möglich sogar zertifiziert, bevor sie mit Kundendaten arbeiten. Zusätzlich halten die besten SaaS-Anbieter ihre Mitarbeiter stets up to date, indem sie permanent Schulungen und Zertifizierungsnachprüfungen anbieten, um sicherzustellen, dass sich der Wissens- und Kenntnisstand auf einem angemessenen Niveau befindet. Außerdem verwenden gute SaaS-Anbieter moderne Sicherheitstechnologie in ihren Datenzentren, wie Videoüberwachung, berührungslose Kartenleser und biometrische Scanner.
Bild 2: Auch wenn Sicherheit in der Public Cloud ein äußerst vielschichtiges Thema ist – mit den hier dargestellten Stichworten sollte jeder Dienstleister etwas anfangen können
Leider sind die Sicherheitskontrollen von Anbieter zu Anbieter sehr unterschiedlich. Nicht alle haben in modernste Sicherheitsverfahren investiert. Obwohl IT-Unternehmen Experten für die Sicherheit ihrer internen Systeme sind, fehlen ihnen häufig die nötigen Fachkenntnisse, um Cloud-Anbieter richtig einzuschätzen. Anbieter, die einen sorgfältigen Sicherheitsansatz verfolgen und umsetzen, sind in der Lage, über folgende Punkte Auskunft zu geben.
Das Einhalten von Sicherheitsstandards für das Unternehmen ist eine kostspielige und zeitintensive Angelegenheit. Die IT-Ressourcen sind normalerweise ausgelastet und es kann zu einer echten Herausforderung werden, stets auf dem aktuellen Stand zu sein. Die SaaS-Anbieter tragen jedoch eine noch größere Verantwortung als einzelne Unternehmen. Denn von ihnen fordern die Kunden die Einhaltung, zahlreicher Sicherheitsanforderungen, -standards und -kriterien, die in den einzelnen Unternehmen in diesem Ausmaß nicht notwendig sind. Führende Cloud-Anbieter müssen daher über spezifische Fachkenntnisse verfügen. Sie können schneller auf Bedrohungen reagieren, da Sicherheitserweiterungen und Anbieter-Patches unmittelbar für alle Benutzer des Systems verfügbar sind. Aufgrund der einheitlichen Umgebung ist eine bessere Fokussierung auf einzelne Schwerpunkte möglich. Zudem müssen die Anbieter eine kleinere Angriffsfläche absichern. Die Sicherheitseinrichtungen von SaaS-Anbietern sind in der Regel besonders leistungsstark, da sie weitaus mehr Sicherheitsprüfungen durchlaufen als herkömmlichen IT-Abteilungen von Unternehmen.
ln/Peter Leichsenring, Sales Direktor Zentraleuropa bei IntraLinks
SaaS-Anbieter haben enorm viel Zeit und Geld investiert, um sicherzustellen, dass ihre Sicherheitsverfahren und -kontrollen, die sämtliche Aspekte der Einrichtung und Verwaltung eines Online-Systems regeln, höchsten Anforderungen genügen. Dies gilt insbesondere für Anbieter, die mit kritischen Geschäftsinformationen arbeiten. Diese Prozesse werden dokumentiert und regelmäßig überprüft, um zu gewährleisten, dass sie effektiv funktionieren und kontinuierlich zur Anwendung kommen.
Qualifizierte SaaS-Anbieter können außerdem eine Zertifizierung durch unabhängige Dritte vorweisen, wie beispielsweise SAS 70 Typ II vom American Institute of Certified Public Accountants (AICPA) oder ISO 27001 – ein ausgezeichnetes Messinstrument hinsichtlich der vom Anbieter angewandten Risikomanagement-Strategien. Mit der Zertifizierung wird eine sorgfältige Prüfung der Sicherheitsstrategien und -verfahren durch unabhängige Dritte gewährleistet. Die formellen Berichte solcher Prüfungen und Tests sollten ebenfalls auf Anfrage erhältlich sein.
Personalsicherheit
Wie aktuelle Ereignisse deutlich gezeigt haben, ist der Mensch eine wichtige Komponente in einem Informationssystem. Innentäter stellen eine Bedrohung dar, mit der kein Angriff von außen mithalten kann. In diesem Zusammenhang müssen administrative Kontrollen wie "Need to know", "restriktive Zugriffsrechte" und "Pflichtentrennung" eingerichtet werden. Die Überprüfung des Hintergrunds der Mitarbeiter sowie wirksame Vertraulichkeitsvereinbarungen sind unerlässlich. Idealerweise werden Mitarbeiter mit Zugriff auf sensible Informationen geprüft und wenn möglich sogar zertifiziert, bevor sie mit Kundendaten arbeiten. Zusätzlich halten die besten SaaS-Anbieter ihre Mitarbeiter stets up to date, indem sie permanent Schulungen und Zertifizierungsnachprüfungen anbieten, um sicherzustellen, dass sich der Wissens- und Kenntnisstand auf einem angemessenen Niveau befindet. Außerdem verwenden gute SaaS-Anbieter moderne Sicherheitstechnologie in ihren Datenzentren, wie Videoüberwachung, berührungslose Kartenleser und biometrische Scanner.
Bild 2: Auch wenn Sicherheit in der Public Cloud ein äußerst vielschichtiges Thema ist – mit den hier dargestellten Stichworten sollte jeder Dienstleister etwas anfangen können
Leider sind die Sicherheitskontrollen von Anbieter zu Anbieter sehr unterschiedlich. Nicht alle haben in modernste Sicherheitsverfahren investiert. Obwohl IT-Unternehmen Experten für die Sicherheit ihrer internen Systeme sind, fehlen ihnen häufig die nötigen Fachkenntnisse, um Cloud-Anbieter richtig einzuschätzen. Anbieter, die einen sorgfältigen Sicherheitsansatz verfolgen und umsetzen, sind in der Lage, über folgende Punkte Auskunft zu geben.
- Ganzheitliche 360-Grad-Sicherheit: Die Lösungen müssen den strengsten Sicherheitsstandards der Branche entsprechen und sowohl die Erwartungen der Kunden erfüllen als auch die gesetzlichen Vorschriften und aktuellen Best Practices einhalten. Dazu gehört die Gewährleistung der Anwendungs-, Infrastruktur-, Personal- und Prozesssicherheit.
- Vollständiger Sicherheitszyklus: Ein qualifizierter SaaS-Anbieter weiß, dass die Gewährleistung von Sicherheit nicht nur den Einsatz von Technologie erfordert – sondern vor allem die Einrichtung eines vollständigen Sicherheitszyklus. Es sollte ein umfassender Ansatz für die Schulung, Implementierung und Auditierung/Prüfung vorhanden sein.
- Proaktives Sicherheitsbewusstsein und Gewährleistung: SaaS-Anbietern ist bewusst, dass Sicherheit am besten durch kontinuierliche Überwachung sowie genaue Beobachtung der aktuellen Tendenzen und Entwicklungen potenzieller Bedrohungen erhalten werden kann. Sie erkennen die verschiedenen Arten von Bedrohungen und können umgehend entscheidende Maßnahmen ergreifen, um potenzielle Risiken einzudämmen.
- Mehrschichtige Schutzstrategien (Defense-in-Depth): Qualifizierte SaaS-Anbieter kennen den Wert dieser Schutzstrategien und können darlegen, inwieweit sie mehrschichtige, ineinandergreifende Sicherheitsmaßnahmen anwenden, um sensible Daten effektiver zu schützen als es mit nur einem einzigen globalen Sicherheitssystem möglich wäre.
- 24h-Kundensupport: Die besten Anbieter beschäftigen rund um die Uhr Support- und Störfallteams. So können die Anbieter ihre Kunden bei der Verwendung von Software und Diensten helfen und ohne Verzögerung auf Sicherheitsbedrohungen reagieren.
Das Einhalten von Sicherheitsstandards für das Unternehmen ist eine kostspielige und zeitintensive Angelegenheit. Die IT-Ressourcen sind normalerweise ausgelastet und es kann zu einer echten Herausforderung werden, stets auf dem aktuellen Stand zu sein. Die SaaS-Anbieter tragen jedoch eine noch größere Verantwortung als einzelne Unternehmen. Denn von ihnen fordern die Kunden die Einhaltung, zahlreicher Sicherheitsanforderungen, -standards und -kriterien, die in den einzelnen Unternehmen in diesem Ausmaß nicht notwendig sind. Führende Cloud-Anbieter müssen daher über spezifische Fachkenntnisse verfügen. Sie können schneller auf Bedrohungen reagieren, da Sicherheitserweiterungen und Anbieter-Patches unmittelbar für alle Benutzer des Systems verfügbar sind. Aufgrund der einheitlichen Umgebung ist eine bessere Fokussierung auf einzelne Schwerpunkte möglich. Zudem müssen die Anbieter eine kleinere Angriffsfläche absichern. Die Sicherheitseinrichtungen von SaaS-Anbietern sind in der Regel besonders leistungsstark, da sie weitaus mehr Sicherheitsprüfungen durchlaufen als herkömmlichen IT-Abteilungen von Unternehmen.
<<Vorherige Seite Seite 2 von 2
ln/Peter Leichsenring, Sales Direktor Zentraleuropa bei IntraLinks