Lesezeit
2 Minuten
Seite 2 - Die Dos and Don'ts der Cloudsicherheit
Überwachung und Transparenz
Auf Seiten der Unternehmenssteuerung (Governance) gibt es eine ganze Reihe von Aspekten zu berücksichtigen. Dazu gehören beispielsweise Zertifizierungen für ISO 27001 oder den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie schreiben die Einführung eines systematischen Informationssicherheits-Managements vor, das sich auch auf Clouddienste erstrecken muss.
Zudem müssen Unternehmen auf die Compliance zu den regulatorischen Verpflichtungen der eigenen Branche achten. Hier gibt es eine Vielzahl an Regeln mit Rückwirkung auf die Cloudsicherheit. So gilt für alle Branchen der europäische Datenschutz. Darüber hinaus gibt es Regeln für jede Branche, etwa der Sarbanes-Oxley Act bei Banken. Und nicht zuletzt müssen die Organisationen Branchenstandards in ihre Sicherheitsstrategie integrieren, etwa PCI-DSS für die Abwicklung des Zahlungsverkehrs mit Kreditkarten.
Drei wichtige Grundregeln
Diese Anmerkungen zeigen, dass Cloud-Security ein ausuferndes Thema ist. Deshalb ist es wichtig, dass Unternehmen darauf achten, jederzeit drei wichtige Grundregeln für die sichere Konfiguration ihrer Infrastruktur zu befolgen:
Fazit
Mit der Cloud verlassen Daten und Anwendungen die Grenzen des eigenen Netzwerks und ermöglichen so ein modernes und ortsunabhängiges Arbeiten. Gleichzeitig entziehen sie sich dadurch der umfassenden Kontrolle durch die Unternehmen und externe Dienste und Dienstleister werden zum Risikofaktor. Dies gilt es in einer Cloud-Sicherheitsstrategie zu bedenken, insbesondere im Bereich der Zugriffskontrolle. Zero-Trust-Konzepte für den Zugang zu Unternehmensressourcen und die strenge Kontrolle des Identitätsmanagements gewinnen daher in der Cloud zunehmend an Bedeutung.
ln/Al Lakhani, Gründer und CEO der IDEE GmbH
Unternehmen benötigen eine Sicherheitsstrategie für die Cloud, damit Aspekte wie die Kontrolle der Daten und die Compliance rechtssicher organisiert werden. Um jederzeit über die Cloud-Security informiert zu sein, sollte das Management auf jeden Fall die folgenden Punkte berücksichtigen:
- Der Zugriff auf geschäftskritische Anwendungen und Daten muss die Netzwerkgrenzen berücksichtigen. Externe Zugriffe durch Systeme außerhalb des eigenen Netzwerkes sollten nicht möglich sein.
- Die Unternehmen müssen wissen, wie die vom Cloudprovider angebotene Infrastruktur verwaltet und aktualisiert wird. Darüber hinaus muss es Möglichkeiten geben, wie sich Fehlkonfigurationen der Services frühzeitig erkennen lassen.
- Die Unternehmen benötigen auf jeden Fall die Kontrolle über ihre Schlüssel. Kryptografische Schlüssel sind nur dann wirklich sicher, wenn die Cloudnutzer vollständige Kontrolle über das Schlüsselmanagement haben.
Auf Seiten der Unternehmenssteuerung (Governance) gibt es eine ganze Reihe von Aspekten zu berücksichtigen. Dazu gehören beispielsweise Zertifizierungen für ISO 27001 oder den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie schreiben die Einführung eines systematischen Informationssicherheits-Managements vor, das sich auch auf Clouddienste erstrecken muss.
Zudem müssen Unternehmen auf die Compliance zu den regulatorischen Verpflichtungen der eigenen Branche achten. Hier gibt es eine Vielzahl an Regeln mit Rückwirkung auf die Cloudsicherheit. So gilt für alle Branchen der europäische Datenschutz. Darüber hinaus gibt es Regeln für jede Branche, etwa der Sarbanes-Oxley Act bei Banken. Und nicht zuletzt müssen die Organisationen Branchenstandards in ihre Sicherheitsstrategie integrieren, etwa PCI-DSS für die Abwicklung des Zahlungsverkehrs mit Kreditkarten.
Weiterhin gilt es, das kaufmännische Controlling nicht zu vernachlässigen. Hierzu gehört, alle internen und externen Nutzer mit Zugriff auf die Cloudinfrastruktur regelmäßig zu prüfen und die durch sie entstandenen Kosten zu bewerten. Doch es geht nicht nur um Geld. Ein Asset-basiertes Risikomanagement erfasst kritische Systeme und Daten mit regelmäßigen Risikobewertungen.
Drei wichtige Grundregeln
Diese Anmerkungen zeigen, dass Cloud-Security ein ausuferndes Thema ist. Deshalb ist es wichtig, dass Unternehmen darauf achten, jederzeit drei wichtige Grundregeln für die sichere Konfiguration ihrer Infrastruktur zu befolgen:
- Überprüfen Sie regelmäßig die Sicherheit ihrer Infrastruktur. Sie sollten den einmal getroffenen Maßnahmen nicht blind vertrauen.
- Interpretieren Sie Sicherheitsstandards nicht als zu erreichendes Ziel, sondern als Grundlage für Cloud-Security.
- Nutzen Sie Lösungen, die Netzwerk-, Endpunkt- und Zugriffssicherheit zu einem vereinfachten und einheitlichen Ansatz zusammenführen.
Das Versprechen der Cloud lautet, dass sie alles einfacher macht. Das ist gemessen an der Komplexität der Aufgaben in digitalisierten Unternehmen richtig. Doch leider gibt es zahlreiche Fehler, die Unternehmen immer wieder machen. Deshalb zum Schluss noch die Liste der Fehler, die IT-Verantwortliche auf jeden Fall vermeiden sollten:
- Vertrauen: Der häufigste Fehler besteht darin, Leuten zu vertrauen. Noch einmal: Setzen Sie auf eine Zero-Trust-Architektur. Denn viele Sicherheitsbrüche entstehen durch unachtsame oder gar böswillige Mitarbeiter oder Administratoren.
- Überkomplexität: Eine überkomplexe Infrastruktur, aufwändige Workloads und komplizierte Betriebsprozesse sorgen dafür, dass Mitarbeiter die Security vernachlässigen.
- Bequemlichkeit: Cloudprovider bieten eigene Routinen für Security und Authentifizierung. Doch dadurch werden sie zum Single-Point-of-Failure. Unternehmen sollten ein eigenes Identity & Access Management einsetzen und ihre Sicherheitsmaßnahmen so definieren, dass sie zu ihrer Branche und ihrem Geschäftsmodell passen.
- Passwörter: Sie sind kein Schutz vor einem Cyberangriff, sondern oftmals das Einfallstor. Das Minimum für sichere Authentifizierung ist ein zusätzlicher Authentifizierungsfaktor, besser ist beispielsweise eine Kombination aus biometrischem Merkmalen und einem weiteren Faktor wie einem Einmalpasswort.
- Ungeschulte Nutzer: Die Aufklärung der Nutzer über Bedrohungen und einen sicheren Umgang mit den Clouddiensten sind Pflichtprogramm für Unternehmen. Diese Schulungen sollten Sie regelmäßig wiederholen und vertiefen, da die Cyberkriminellen sehr kreativ sind und sich regelmäßig neue Tricks ausdenken.
Fazit
Mit der Cloud verlassen Daten und Anwendungen die Grenzen des eigenen Netzwerks und ermöglichen so ein modernes und ortsunabhängiges Arbeiten. Gleichzeitig entziehen sie sich dadurch der umfassenden Kontrolle durch die Unternehmen und externe Dienste und Dienstleister werden zum Risikofaktor. Dies gilt es in einer Cloud-Sicherheitsstrategie zu bedenken, insbesondere im Bereich der Zugriffskontrolle. Zero-Trust-Konzepte für den Zugang zu Unternehmensressourcen und die strenge Kontrolle des Identitätsmanagements gewinnen daher in der Cloud zunehmend an Bedeutung.
ln/Al Lakhani, Gründer und CEO der IDEE GmbH