von Redaktion IT-A…
Lesezeit
4 Minuten
Verantwortungsmodelle für mehr Cloudsicherheit
IT-Experten schätzen die IT-Sicherheit von Clouddiensten wesentlich höher ein als die des lokalen IT-Betriebs. Die Krux dabei: Die Provider-Security deckt nicht alle Elemente und Dienste ab. Es bedarf also neuer Ansätze, die die Verantwortung aller Akteure miteinbeziehen. Ein möglicher Weg ist das Shared-Responsibility-Modell. Es teilt sämtliche Verantwortungsbereiche in der Cloud gleichwertig auf, von den Providern über die Kunden bis hin zu jedem einzelnen Endnutzer. Auf diese Weise soll ein Rundumschutz garantiert und die Vorteile der modernen Cloud-IT voll ausgeschöpft werden – egal, ob IaaS, PaaS oder SaaS.
Große Unternehmen tun es bereits, andere beschäftigen sich gerade erst mit dem Thema oder haben noch nie etwas davon gehört: Shared Responsibility für effektiveres und sichereres Cloud Computing. Bricht man das Ziel dieses Modells auf einen Satz herunter, dann besagt es, dass jeder, der mit Cloudtechnologie arbeitet, auf seine Weise verantwortlich für den Schutz der Systeme und sämtlicher Komponenten, Dienste und aller Daten ist. Darunter fallen unter anderem die Konfiguration, der Datenfluss zwischen und der Zugang zu verschiedenen Clouddiensten sowie das Nutzerverhalten.
Sämtliche Aspekte bringen potenzielle Risiken mit sich, für die es ein erhöhtes Aufmerksamkeitsniveau von allen Seiten braucht. Gartner prognostiziert für 2023 sogar, dass 99 Prozent der Fehltritte in Sachen Cloudsicherheit auf der Seite der Kunden liegen wird. Das Shared-Responsibility-Modell soll dem entgegenwirken: Es teilt sämtliche Verantwortungsbereiche in der Cloud gleichwertig auf und bindet alle wichtigen Akteure mit ein – von den Providern über die Kunden bis hin zu jedem einzelnen Endnutzer. Auf diese Weise sollen ein 360-Grad-Rundumschutz garantiert und folglich die Vorteile der modernen Cloud-IT voll ausgenutzt werden.
So effizient und sicher ist die Cloud
In vielerlei Hinsicht kann die Migration in die Cloud eine gewinnbringende Ergänzung zu traditionellen On-Premises-Lösungen darstellen. Effizienteres Arbeiten – auch die Zusammenarbeit im Team –, eine gesteigerte Produktivität der Mitarbeiter und eine höhere Zufriedenheit im Unternehmen gehören zu den Vorteilen von Cloud Computing.
Auch IT-Experten schätzen die Cloudsicherheit wesentlich höher ein als bei On-Premises, da Cloud Service Provider (CSPs) in der Regel nicht wenig Geld in Hand nehmen, um ihre Infrastruktur zu schützen – wie Rechenzentren, Serverhardware, Netzwerkkonnektivität oder die Verteidigung gegen Distributed-Denial-of-Service-Attacken (DDoS). Die Problematik hier: Die Providersicherheit deckt nicht alle Elemente und Dienste ab, was zu einem nicht zu vernachlässigenden Problem werden kann. Auf der einen Seite speichern und teilen Unternehmen über Clouddienste eine Menge Daten – darunter finden sich auch sensible und unternehmenskritische Inhalte. In ihrem Cloud-Adoption-and-Risk-Report schätzt McAfee den Anteil von allen Daten dieser Art auf rund 21 Prozent. Aus der aktuellen Umfrage geht ebenfalls hervor, dass über 61 Prozent der IT-Leiter davon ausgehen, dass sich mindestens die Hälfte solcher Daten auf Cloudservern befinden. 96 Prozent der IT-Leiter planen, in Zukunft sogar noch mehr in die Cloud zu transferieren.
Hacks und Schatten-IT sorgen für Risiko
Auf der anderen Seite steigen mit der wachsenden Zahl von sensiblen und unternehmenskritischen Daten die Methoden, mit denen sich Saboteure und Cyberkriminelle über Schlupflöcher Zugang zum Unternehmensnetzwerk verschaffen. Dabei kann es sich um sowohl außenstehende Hacker handeln, die über infizierte E-Mail-Anhänge an das wertvolle Gut gelangen, als auch interne Mitarbeiter, die mutwillig Sabotage betreiben oder unbeabsichtigt – zum Beispiel über die sogenannte Schatten-IT – Einfallstore öffnen.
In jedem Fall können Unternehmen sich nicht zu 100 Prozent auf die Cloudanbieter-Sicherheit stützen, sondern müssen selbst einen Teil der Verantwortung über den Schutz ihrer Daten und Systeme übernehmen. Umso wichtiger wird die Implementierung eines Shared-Responsibility-Ansatzes.
Das 360-Grad-Shared-Responsibility-Modell
Um das Shared-Responsibility-Modell erfolgreich umsetzen zu können, müssen IT-Admins nicht nur wissen, wo sich potenzielle Sicherheitslücken befinden. Immerhin bilden sie die Schnittstelle zwischen dem IT-Team und dem Rest des Unternehmens und kommunizieren unter Umständen mit dem CISO, dem Chief Data Officer oder den IT-Sicherheitsteams, um die Einhaltung der Compliance sicherstellen zu können. Sie müssen ebenso sämtliche Sicherheitsmaßnahmen kennen, die von Seiten der CSPs gesteuert werden und wie man diese entsprechend einsetzt sowie konfiguriert. Außerdem müssen sie jedem Akteur seine oder ihre Rolle im Rahmen des Shared Responsibility-Modells zuordnen können.
Verantwortungsbereiche des Providers
Im Verantwortungsbereich der Provider liegen vor allem Angelegenheiten in Sachen Schutz vor physischen Schäden, der Hosting-Infrastruktur und des Netzwerks. Auf physischer Seite sehen ISO 27001 und SOC 2 beispielsweise den Schutz von Servern, der Verkabelung oder dem Datenspeicher vor schädlichen Außeneinwirkungen und gefährlichen Eingriffen vor.
Sollten sich Unternehmen nicht für einen IaaS-Dienst entscheiden, so liegt auch die Absicherung der Infrastruktur primär in der Verantwortung der Provider. Wird die Infrastruktur vernachlässigt, können Clouddienste zum Beispiel zur Zielscheibe von DDoS-Attacken werden. CSPs müssen daher weiterhin im Netzwerk für eine sichere Kommunikation zwischen einzelnen Diensten sorgen.
Verantwortungsbereiche des Cloudkunden
Provider und Unternehmen teilen sich, je nach Lösungen, die im Einsatz sind, die Verantwortung für das sichere Funktionieren einzelner Anwendungen und den Schutz von Applikationen vor potenziellen Gefahren. Erst auf der Ebene des Identity und Access Managements (IAM) – also die Beantwortung der Frage: "Wer darf was wie nutzen oder ausführen?" – liegt die Verantwortlichkeit hauptsächlich bei den Unternehmen selbst. Das Unternehmen muss an dieser Stelle der IT-Abteilung Tools zur Verfügung stellen, mit denen sich nicht nur die Mitarbeiter selbst, sondern auch ihre jeweiligen Nutzungsbefugnisse entsprechend identifizieren lassen.
Ebenso verhält es sich mit der Absicherung des Endgerätezugangs, über den sich die Mitarbeiter im Unternehmen oder im Home Office mit der Cloud verbinden. Auch hier muss das Unternehmen für Lösungen sorgen, mit denen die IT-Abteilung das Monitoring und die Verwaltung sämtlicher Geräte durchführen kann.
Verantwortungsbereiche des Endnutzer
Die Rolle des Endnutzers – also die Unternehmensmitarbeiter – offenbart sich erst im Rahmen der Device- sowie Datensicherheit und der Zusammenarbeit sowie Kommunikation im Team. In diesen Bereichen teilen sie sich die Verantwortlichkeit mit ihrem Arbeitgeber. Die Daten in der Cloud bleiben zwangsläufig und erfahrungsgemäß nicht immer in der Cloud. Die Mitarbeiter nutzen Smartphones und Laptops, um Daten herunterzuladen und mit ihnen arbeiten zu können. Diese gilt es ebenso zu schützen, wie die Cloud selbst, denn auch hier liegt ein hohes Gefahrenpotenzial verborgen.
Des Weiteren appelliert das Shared-Responsibility-Modell an den gesunden Menschenverstand der Mitarbeiter, die Daten aufmerksam und mit einem starken Sicherheitsbewusstsein zu nutzen und nicht rücksichtslos zu verbreiten. Hierfür muss das Unternehmen Veranstaltungen ermöglichen, in denen die Mitarbeiter im sicheren Umgang mit Daten geschult werden.
Fazit
Egal, ob Infrastructure-as-a-Service, Platform-as-a-Service oder Software-as-a-Service: Clouddienste sind sehr flexibel miteinander kombinierbar. Das 360-Grad-Shared-Responsibility-Modell deckt diese Services ab und fungiert als Best-Practice-Leitfaden für die Verbindung zwischen Diensten und Akteuren. Alle beteiligten Parteien und Personen ziehen für ein hohes Sicherheitsniveau an einem Strang. Sobald ein Akteur nicht mehr mitzieht, entstehen gefährliche Lücken, die es präventiv in einem 360-Grad-Rundumschlag versiegelt zu halten gilt.
ln/Rolf Haas, Senior Enterprise Technology Specialist bei McAfee
Sämtliche Aspekte bringen potenzielle Risiken mit sich, für die es ein erhöhtes Aufmerksamkeitsniveau von allen Seiten braucht. Gartner prognostiziert für 2023 sogar, dass 99 Prozent der Fehltritte in Sachen Cloudsicherheit auf der Seite der Kunden liegen wird. Das Shared-Responsibility-Modell soll dem entgegenwirken: Es teilt sämtliche Verantwortungsbereiche in der Cloud gleichwertig auf und bindet alle wichtigen Akteure mit ein – von den Providern über die Kunden bis hin zu jedem einzelnen Endnutzer. Auf diese Weise sollen ein 360-Grad-Rundumschutz garantiert und folglich die Vorteile der modernen Cloud-IT voll ausgenutzt werden.
So effizient und sicher ist die Cloud
In vielerlei Hinsicht kann die Migration in die Cloud eine gewinnbringende Ergänzung zu traditionellen On-Premises-Lösungen darstellen. Effizienteres Arbeiten – auch die Zusammenarbeit im Team –, eine gesteigerte Produktivität der Mitarbeiter und eine höhere Zufriedenheit im Unternehmen gehören zu den Vorteilen von Cloud Computing.
Auch IT-Experten schätzen die Cloudsicherheit wesentlich höher ein als bei On-Premises, da Cloud Service Provider (CSPs) in der Regel nicht wenig Geld in Hand nehmen, um ihre Infrastruktur zu schützen – wie Rechenzentren, Serverhardware, Netzwerkkonnektivität oder die Verteidigung gegen Distributed-Denial-of-Service-Attacken (DDoS). Die Problematik hier: Die Providersicherheit deckt nicht alle Elemente und Dienste ab, was zu einem nicht zu vernachlässigenden Problem werden kann. Auf der einen Seite speichern und teilen Unternehmen über Clouddienste eine Menge Daten – darunter finden sich auch sensible und unternehmenskritische Inhalte. In ihrem Cloud-Adoption-and-Risk-Report schätzt McAfee den Anteil von allen Daten dieser Art auf rund 21 Prozent. Aus der aktuellen Umfrage geht ebenfalls hervor, dass über 61 Prozent der IT-Leiter davon ausgehen, dass sich mindestens die Hälfte solcher Daten auf Cloudservern befinden. 96 Prozent der IT-Leiter planen, in Zukunft sogar noch mehr in die Cloud zu transferieren.
Hacks und Schatten-IT sorgen für Risiko
Auf der anderen Seite steigen mit der wachsenden Zahl von sensiblen und unternehmenskritischen Daten die Methoden, mit denen sich Saboteure und Cyberkriminelle über Schlupflöcher Zugang zum Unternehmensnetzwerk verschaffen. Dabei kann es sich um sowohl außenstehende Hacker handeln, die über infizierte E-Mail-Anhänge an das wertvolle Gut gelangen, als auch interne Mitarbeiter, die mutwillig Sabotage betreiben oder unbeabsichtigt – zum Beispiel über die sogenannte Schatten-IT – Einfallstore öffnen.
In jedem Fall können Unternehmen sich nicht zu 100 Prozent auf die Cloudanbieter-Sicherheit stützen, sondern müssen selbst einen Teil der Verantwortung über den Schutz ihrer Daten und Systeme übernehmen. Umso wichtiger wird die Implementierung eines Shared-Responsibility-Ansatzes.
Das 360-Grad-Shared-Responsibility-Modell
Um das Shared-Responsibility-Modell erfolgreich umsetzen zu können, müssen IT-Admins nicht nur wissen, wo sich potenzielle Sicherheitslücken befinden. Immerhin bilden sie die Schnittstelle zwischen dem IT-Team und dem Rest des Unternehmens und kommunizieren unter Umständen mit dem CISO, dem Chief Data Officer oder den IT-Sicherheitsteams, um die Einhaltung der Compliance sicherstellen zu können. Sie müssen ebenso sämtliche Sicherheitsmaßnahmen kennen, die von Seiten der CSPs gesteuert werden und wie man diese entsprechend einsetzt sowie konfiguriert. Außerdem müssen sie jedem Akteur seine oder ihre Rolle im Rahmen des Shared Responsibility-Modells zuordnen können.
Verantwortungsbereiche des Providers
Im Verantwortungsbereich der Provider liegen vor allem Angelegenheiten in Sachen Schutz vor physischen Schäden, der Hosting-Infrastruktur und des Netzwerks. Auf physischer Seite sehen ISO 27001 und SOC 2 beispielsweise den Schutz von Servern, der Verkabelung oder dem Datenspeicher vor schädlichen Außeneinwirkungen und gefährlichen Eingriffen vor.
Sollten sich Unternehmen nicht für einen IaaS-Dienst entscheiden, so liegt auch die Absicherung der Infrastruktur primär in der Verantwortung der Provider. Wird die Infrastruktur vernachlässigt, können Clouddienste zum Beispiel zur Zielscheibe von DDoS-Attacken werden. CSPs müssen daher weiterhin im Netzwerk für eine sichere Kommunikation zwischen einzelnen Diensten sorgen.
Verantwortungsbereiche des Cloudkunden
Provider und Unternehmen teilen sich, je nach Lösungen, die im Einsatz sind, die Verantwortung für das sichere Funktionieren einzelner Anwendungen und den Schutz von Applikationen vor potenziellen Gefahren. Erst auf der Ebene des Identity und Access Managements (IAM) – also die Beantwortung der Frage: "Wer darf was wie nutzen oder ausführen?" – liegt die Verantwortlichkeit hauptsächlich bei den Unternehmen selbst. Das Unternehmen muss an dieser Stelle der IT-Abteilung Tools zur Verfügung stellen, mit denen sich nicht nur die Mitarbeiter selbst, sondern auch ihre jeweiligen Nutzungsbefugnisse entsprechend identifizieren lassen.
Ebenso verhält es sich mit der Absicherung des Endgerätezugangs, über den sich die Mitarbeiter im Unternehmen oder im Home Office mit der Cloud verbinden. Auch hier muss das Unternehmen für Lösungen sorgen, mit denen die IT-Abteilung das Monitoring und die Verwaltung sämtlicher Geräte durchführen kann.
Verantwortungsbereiche des Endnutzer
Die Rolle des Endnutzers – also die Unternehmensmitarbeiter – offenbart sich erst im Rahmen der Device- sowie Datensicherheit und der Zusammenarbeit sowie Kommunikation im Team. In diesen Bereichen teilen sie sich die Verantwortlichkeit mit ihrem Arbeitgeber. Die Daten in der Cloud bleiben zwangsläufig und erfahrungsgemäß nicht immer in der Cloud. Die Mitarbeiter nutzen Smartphones und Laptops, um Daten herunterzuladen und mit ihnen arbeiten zu können. Diese gilt es ebenso zu schützen, wie die Cloud selbst, denn auch hier liegt ein hohes Gefahrenpotenzial verborgen.
Des Weiteren appelliert das Shared-Responsibility-Modell an den gesunden Menschenverstand der Mitarbeiter, die Daten aufmerksam und mit einem starken Sicherheitsbewusstsein zu nutzen und nicht rücksichtslos zu verbreiten. Hierfür muss das Unternehmen Veranstaltungen ermöglichen, in denen die Mitarbeiter im sicheren Umgang mit Daten geschult werden.
Fazit
Egal, ob Infrastructure-as-a-Service, Platform-as-a-Service oder Software-as-a-Service: Clouddienste sind sehr flexibel miteinander kombinierbar. Das 360-Grad-Shared-Responsibility-Modell deckt diese Services ab und fungiert als Best-Practice-Leitfaden für die Verbindung zwischen Diensten und Akteuren. Alle beteiligten Parteien und Personen ziehen für ein hohes Sicherheitsniveau an einem Strang. Sobald ein Akteur nicht mehr mitzieht, entstehen gefährliche Lücken, die es präventiv in einem 360-Grad-Rundumschlag versiegelt zu halten gilt.
ln/Rolf Haas, Senior Enterprise Technology Specialist bei McAfee
