Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 5)

IT-Sicherheit in der Cloud

| Autor / Redakteur: Dr. Daniele Fiebig * / Florian Karlstetter

Bedingt durch die Vielzahl an Netzwerk- und Internet-Technologien, Prozessen und Services erfordert Cloud Computing eine mehrschichtige Sicherheitsarchitektur.
Bedingt durch die Vielzahl an Netzwerk- und Internet-Technologien, Prozessen und Services erfordert Cloud Computing eine mehrschichtige Sicherheitsarchitektur. (© Rawpixel - Fotolia.com)

Cloud Computing ist eine Technologie, die erst durch das Zusammenspiel vieler IT-Bereiche möglich wird, wie z. B. verschiedene Netzwerk- und Internet-Technologien, der Virtualisierung, von modernen Software-/Webtechnologien (HTML, Java, Apps, …), den IT-Service Management Prozessen und einer Vielzahl an administrativen Tools. All das bedarf einer entsprechenden Absicherung.

Die Vielzahl an beim Cloud Computing zum Einsatz kommenden Technologien und Schnittstellen bietet zahlreiche Angriffsmöglichkeiten, sowohl von Innen als auch von Außen. Deshalb benötigen Unternehmen eine mehrschichtige IT-Sicherheits-Architektur. Besonders die netzübergreifende Kommunikation verlangt Überlegungen zu sicheren Protokollen, erforderlichen Bandbreiten, zuverlässiger Authentifizierung, zur Verschlüsselung, zu sicheren Webservices und Maßnahmen gegen unbefugten Netz- und System-Zugang.

Hinweise und Checklisten zur IT- und Cloud-Sicherheit sind zu finden beim BSI (BSI-Standard 100, den BSI-Katalogen, ISO 22301 (Business Continuity), ISO/IEC 10181 (Security frameworks), Open Web Application Security Project (jeweils aktuelle Veröffentlichung der OWASP Top 10-Web-Risiken) und in der ISO/IEC 27001 hinsichtlich des Managements der unterschiedlichsten Systeme für die IT-Sicherheit.

Allgemein gilt es die vier folgenden Bereiche bei der Planung der IT-Sicherheit zu beachten. Zusätzlich müssen die kritischen Punkte aus der Risikoanalyse Berücksichtigung finden.

  • Technische / Rechenzentrums-Sicherheit
  • Organisatorische Sicherheit
  • Juristische Sicherheit
  • Wirtschaftliche Sicherheit

Details zu den aufgeführten Bereichen finden Sie im Kasten.

Ergänzendes zum Thema
 
Wichtige Bereiche bei der Planung der IT-Sicherheit

Einen strukturierten Überblick über IT-Sicherheit in der Cloud liefert das Eckpunktepapier des BSI „Sicherheitsempfehlungen für Cloud Computing Anbieter“ – Mindestanforderungen in der Informationssicherheit (2‘2012). Weiterhin empfehlenswert ist der Leitfaden „Security Guidance for Critical Areas of Focus in Cloud Computing“, der aktuell in Version 3.0 vorliegt, veröffentlicht von der Cloud Security Alliance.

Empfehlung: eigene Cloud-Richtlinien

Unternehmen sollten eine eigene Cloud-Richtlinie zusammenstellen, die alle datenschutzrechtlichen und branchenspezifischen Anforderungen beinhaltet.

Ein wichtiger Faktor für den Informationssicherheitsstatus eines Unternehmens ist das Know-how des IT-Teams. Dieses wird immer mehr zum Manager von IT-Services und zum Bediener von Service-Tools. Um die IT-Sicherheits-Landschaft und deren Funktionen effizient einsetzen zu können, muss das IT-Personal regelmäßig geschult werden. Nur ein der Technologieentwicklung angepasstes IT-Know-how im eigenen Haus garantiert die Transparenz, die die Überwachung von Cloud-Services erfordert.

Neben den technischen Funktionen können angepasste, zeitgemäße Prozesse zur Sicherheit beitragen. Deshalb spielt neben effektiven Prozessen für das Patch-Management und einem zuverlässigen Backup auch die Geschwindigkeit eine Rolle. Ständig aktuelle Virenpattern und Sicherheits-Updates sind ebenso unerlässlich, wie die Nutzung aktueller Software-Versionen und Security-Appliances mit den neuesten Sicherheitsfunktionen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42937272 / Allgemein)