Suchen

Auch die Cloud braucht Standards und Regulierung Compliance-Herausforderungen in der Cloud

Autor / Redakteur: Dietmar Schnabel* / Florian Karlstetter

Programme zur Einhaltung von Vorschriften sind so konzipiert, dass sie sich mit den wahrgenommenen Bedrohungen oder Risiken für eine Branche oder Gemeinschaft befassen. Normalerweise legt eine Industriebehörde, z.B. Regierung oder Industriekonsortium Regulierungsstandards fest, um die Zielgruppe in dieser Branche zu schützen. Sie tut dies, indem sie regulatorische Anforderungen vorschreibt, die von jedem erfüllt werden müssen, der in dieser Branche Dienstleistungen für die erbringt.

Firmen zum Thema

Anforderungen an Standards und Compliance sollten beim Cloud Computing nicht unterschätzt werden.
Anforderungen an Standards und Compliance sollten beim Cloud Computing nicht unterschätzt werden.
(Bild: © Nmedia - stock.adobe.com)

Die Regulierungsbehörde kann dann regelmäßige Audits einführen, um zu beurteilen, ob der Anbieter der Dienstleistung diese Anforderungen erfüllt - diese werden als Compliance-Audits bezeichnet.

Die Cloud-Technologie wird mittlerweile zu einem Kernbestandteil vieler Branchen, und damit verbunden sind potentielle Risiken; das Ziel von Compliance-Programmen aber ist es, diesen Risiken zu begegnen. Da Geschichten über Verstöße und Datenverluste ständig in die Schlagzeilen kommen, ist es nicht überraschend, dass Compliance-Programme auf ihren Wert hin untersucht werden. Ist die Zertifizierung der Konformität also gleichbedeutend mit Sicherheit für die Unternehmen, die mit der Einführung von Cloud-Technologie nicht zufrieden sind?

Der Wert der Compliance

Für Unternehmen, die gerade erst mit Cloud-Technologien beginnen sowie für Unternehmen, die bereits stark in die Cloud investiert haben, besteht der Wert der Compliance darin, dass ihre Daten – oder die Daten ihrer Kunden – in einer Compliance-zertifizierten Umgebung geschützt werden. Eine Bereitstellung von Anwendungen in der Cloud, die den gesetzlichen und Compliance-Anforderungen entspricht, wird auch die bewährten Sicherheitsverfahren umsetzen. Das schafft Kundenvertrauen.

Da Compliance wichtiger wird und über bestimmte Branchen hinausgeht, hat dies die öffentliche Wahrnehmung ihres Wertes beeinflusst. Für Unternehmen, die Cloud-basierte Dienste einbinden, werden Anbieter, welche die PCI (den Standard der Zahlungskartenindustrie), HIPAA (den Datenschutzstandard der US-Regierung im Gesundheitswesen) oder SOC2 (einen allgemeinen Technologie-Audit-Standard der AICPA) erfüllen, als seriöser empfunden.

Dies rührt von der Idee her, dass ein verifizierter (geprüfter) Schutz vertrauenswürdiger ist. Darüber hinaus sind bei Bedrohungen oder Risiken für das Unternehmen oft Drittanbieter oder Lieferanten das Einfallstor für Angreifer. Die Wahl eines zertifizierten, konformen Anbieters gibt daher eine gewisse Sicherheit.

Wird aus Compliance IT-Sicherheit?

Die Vorstellung, dass Einhaltung der Compliance gleich IT-Sicherheit entspricht, ist eine falsche Vorstellung. Es gibt keine Sicherheitsgarantie, und Compliance sollte nicht als Synonym für Sicherheit angesehen werden.

Programme zur Einhaltung der Vorschriften helfen zwar bei der Festlegung einer Grundlinie für Kontrollen, diese basieren jedoch auf gemeinsamen Bedrohungsvektoren. Ein Compliance-Standard kann beispielsweise sichere Passwörter zum Schutz des Systemzugangs fordern. Dies hält jedoch die Angreifer nicht auf, die Wege finden, um Passwörter vollständig zu vermeiden: Phishing-Angriffe und andere Einbrüche in Netzwerke dienen in der Regel dazu, aktive Anmeldedaten aus einer Benutzersitzung zu stehlen und ermöglichen es den Kriminellen, die Passwortkontrollen gänzlich zu umgehen.

Sicherheitsverletzungen in der Cloud und andere wichtige Sicherheitsereignisse, die behoben wurden, haben dazu beigetragen, bessere Cloud-Sicherheitspraktiken zu entwickeln. Hinzu kommen genauere Kontrollen und Automatisierungen sowie damit verbundene Compliance-Programme. Es ist jedoch wichtig zu verstehen, dass es sich um einen reaktiven Ansatz handelt und keine Lösung für unbekannte (Zero-Day), zukünftige Bedrohungen.

Die Implementierung eines beliebigen Compliance-Programms in der Cloud umfasst eine Reihe von Schritten, die wie folgt erläutert werden.

Schritt 1: Sichtbarkeit von Assets

Man kann nur schützen, was man sieht. In der Cloud sind virtualisierte Ressourcen das Kapital. Es ist daher unerlässlich, dass alle Systeme gut für die Skalierung ausgelegt sind. Für viele Unternehmen ist die Überwachung von Ressourcen auch eine Möglichkeit, Kosten-effizienter zu werden, da der Betrieb je nach Bedarf skalierbar gestaltet werden kann. Die Automatisierung von Cloud-Operationen ermöglicht die Inventarisierung und Konfiguration von Assets.

Schritt 2: Auswahl des richtigen Compliance-Rahmens

Programme zur Einhaltung der Vorschriften sollten auf der Grundlage von Branchenspezifikationen und Marktbedürfnissen ausgewählt werden. Bei Unternehmen, für die es keine Regulierungsstandards gibt, können die Bedürfnisse des Kundenstamms die Entscheidung bestimmen, da der Kunde möglicherweise Anbieter auswählt, die für seine Branche relevante Standards erfüllen. Die Wahl gemeinsamer Geschäftsstandards, wie die SOC2 der AICPA, kann ebenso ein guter Ausgangspunkt sein.

Schritt 3: Erstbewertung, Ausschlüsse und Anpassung

Bei jedem Compliance-Programm lohnt es sich zu prüfen, wie sich andere Lösungen zur Einhaltung der Rahmenvorschriften entwickelt haben. Beispielsweise weisen die PCI-Rahmenwerke darauf hin, dass bestimmte Komponenten des Karteninhaber-Datensystems (und nicht das gesamte Netzwerk oder verbundene System) den Großteil der Schutzmaßnahmen erhalten müssen. Dies führt dazu, dass Teile des Systems segmentiert und mit einer Firewall versehen werden sollten, um die Konformitätskontrollen nur auf die Systeme und Daten im gegebenen Umfang zu isolieren. Diese Anpassung eines Systems zur Erfüllung von Compliance-Anforderungen kann zu Kosteneinsparungen und Effizienzsteigerungen führen.

Schritt 4: Überwachung, kontinuierliche Bewertungsprüfungen, Workflow-Integration

Die Mehrzahl der Programme zur Einhaltung der Vorschriften folgt dem Modell, dass die Kontrollen jederzeit funktionsfähig sein sollten, und sie müssen daher überwacht werden, um dies sicherzustellen. Um die Erfüllung dieser Anforderungen zu erleichtern, setzen viele Unternehmen Werkzeuge ein, die ihre Arbeitsabläufe automatisieren. Dies kann einfache Abläufe betreffen, wie die Automatisierung von Sicherheitsaufgaben und das Hinzufügen oder Entfernen von Benutzern eines Systems, oder es kann komplexe Arbeitsabläufe beinhalten, wie die Kombination von Auftragsbearbeitung mit Bestätigungen für mehrere Systeme, um Genauigkeit, Datenschutz und Vertraulichkeit zu gewährleisten.

Schritt 5: Automatisierte Behebung

Systeme, die in der Cloud operieren, gelten als komplex gegenüber traditionellen Systemen. Steuerungen, wie großvolumige Protokolle und die Überwachung von Schwachstellen, werden darum häufig automatisiert statt manuell durchgeführt, um die Effizienz zu steigern und die Fehleranfälligkeit zu senken. Es ist jedoch wichtig, bei der Automatisierung von Überwachungsaktionen Vorsicht walten zu lassen, insbesondere in Fällen, wo eine hohe Wahrscheinlichkeit von Falschmeldungen besteht. Hier muss beispielsweise eine IDS- oder WAF-Technologie sorgfältig abgestimmt werden, um versehentliche Ausfälle zu vermeiden.

Schritt 6: Berichterstattung und Auditierung

Wenn die Cloud-Implementierung ein konformes System (und damit ein Compliance-Programm) unterstützt, muss sie eine Möglichkeit zur Berichterstattung über ihre Kontrollen bieten. In einigen Fällen wird dies an den Cloud-Service-Provider (CSP) ausgelagert (z.B. physische Sicherheit). In solchen Fällen müssen Unternehmen sicherstellen, dass Ihr CSP regelmäßige, zufriedenstellende Berichte abgeben, die belegen, dass die Compliance gegeben ist.

Die Kunden der Unternehmen benötigen diese Informationen möglicherweise ebenfalls. In den meisten Fällen werden die Kunden bei der Nutzung eines bestimmten Cloud-Anbieters in der vertraglichen Vereinbarung anerkennen und bestätigen, dass es in der Verantwortung der Unternehmen liegt, die Richtigkeit dieser Kontrollen durch Dritte zu überprüfen und aufrechtzuerhalten.

In vielen Fällen sind die CSP-Audit-Berichte sogar die einzige Möglichkeit, die Sicherheitskontrollen eines Anbieters zu überprüfen. Dies liegt daran, dass die Anbieter nicht über die operative Kapazität verfügen, um jedem ihrer Kunden eine eigene Prüfung zu ermöglichen. Es ist wichtig, dies zu berücksichtigen, wenn Firmen das Risiko eines Cloud-Anbieters bewerten und alle Bedenken bezüglich seiner Konformitätsberichte verfolgen.

Ein abschließender Hinweis zur sinnvollen Verwendung der Audit-Berichte des Cloud-Service-Anbieters ist, zu bedenken, dass es sich oft um sensible und nutzungsbeschränkte Berichte handelt. Die Möglichkeit für Unternehmen, diese Informationen mit ihren Kunden zu teilen, ist gesetzlich begrenzt. Unternehmen sollten sich bei ihrer Rechts- oder Compliance-Abteilung versichern, dass sie die Informationen zur Compliance-Zertifizierung ihres CSP-Anbieters herausgeben dürfen – oder eben nicht.

Änderungen in der Cloud sind Änderungen in der Compliance

Mit dem Wachstum der Cloud-Branche wird die Wirksamkeit von Compliance-Programmen beeinträchtigt. Der Zweck der Cloud, wie er von den ersten Anwendern definiert wurde, war die Bereitstellung von Ressourcen für Unternehmen über das Internet. Diese Definition ist von Giganten wie Amazon (AWS), Google und Microsoft Azure verwischt worden.

Jeder dieser großen Cloud-Service-Anbieter (CSPs) bietet heute Hunderte von Diensten an, um Geschäfts- und Sicherheitsbedenken zu beheben, und diese haben alle einen großen Einfluss auf fast jede Branche. Hinzu kommen Expertensysteme und automatisierte Software: Sie werden zu Schlüsselkomponenten für Sicherheit, Compliance und Governance in der Cloud.

Zusätzlich zu den Herausforderungen, die mit dem Wachstum der Branche einhergehen, erkennen die Regulierungsbehörden von Compliance-Programmen jetzt die Notwendigkeit, sich an die neue Realität der Cloud-Komplexität anzupassen. Gemeinsame Standards, wie AICPA SOC2, PCI und ISO27001 haben verbesserte Sicherheitsrahmen implementiert – oder werden bald – um den Anforderungen der Cloud gerecht zu werden. Eingeschlossen sind neue Technologien und Sicherheitsrisiken, welche diese neue Cloud-Realität mit sich gebracht hat.

Darüber hinaus zeigen neue Datenschutz-orientierte Compliance-Vorschriften, wie DSGVO und CCPA (der California Consumer Protection Act, ein US-Standard für den Schutz der Privatsphäre, der im Januar 2020 in Kraft getreten ist) bereits Wirkung und definieren neue Geschäftsprozesse, die neue Cloud-Implementierungsstrategien erforderlich machen. Unternehmen suchen zunehmend nach Cloud-Providern und Service-Anbietern, die Lösungen zur Erfüllung dieser Compliance-Anforderungen anbieten.

Compliance-Kontrolle

Letztendlich geht es bei der Compliance Assurance darum, Daten und Systeme richtig zu identifizieren und zu schützen. Jedes einzelne Unternehmen benötigt einen Prozess zur Identifizierung von Risiken und die Kontrollen zu deren Eindämmung. Unternehmen sollten darauf vorbereitet sein, jede Lücke zu identifizieren, sie auf ihre Anforderungen oder Risiken abzubilden und zu dokumentieren. Diese Gewohnheit wird ihnen bei der Entwicklung einer Sicherheits- und Compliance-Strategie in der Cloud gut dienen.

Dies gilt besonders, wenn das Compliance-Programm moderne Sicherheitsbestimmungen und Technologien zur Erleichterung der Compliance berücksichtigt. Notwendigkeiten, wie die, alle Protokolle zu überprüfen, könnte ein SIEM oder IDS übernehmen. Es gibt in Echtzeit Warnungen über potenzielle Risiken und hilft Unternehmen so, die Anforderung zu erfüllen.

Doch mit der Zeit ändern sich die Systeme, und die Kontrolle muss auf die Änderungen von Komponenten und Ereignistypen abgestimmt werden. Das Kontrollinventar und die Dokumentation sollten ebenfalls gepflegt werden.

In der heutigen Umgebung schneller und ausgeklügelter Cyber-Angriffe sind automatisierte Tools erforderlich, um die Erkennung von Bedrohungen und die Reaktions- und Abhilfemaßnahmen zu beschleunigen. Es ist zudem wichtig, diese automatisierten Tools, die Teil der Kontrollen zur Bedrohungsabwehr werden, zu überwachen, um sicherzustellen, dass sie richtig eingestellt sind und korrekt arbeiten. Zusätzlich sollten die Automatisierungswerkzeuge selbst durch Abhärtung und Tests gesichert werden.

Automatisierte Abhilfemaßnahmen sollten auf der Grundlage der Risikobewertung und der Priorität der Bedrohung priorisiert werden. So ist es bei Ereignissen mit potentiell hohen Auswirkungen und hoher Wahrscheinlichkeit besser, den Vorfall mit manuellen Werkzeugen zu behandeln, als dieses Risiko durch Automatisierung nur zu mindern. Bei Programmen zur Einhaltung von Vorschriften, die sich ausschließlich an bestimmten Risikoszenarien orientieren (z.B. PCI und HIPAA), sollten dagegen automatisierte Technologien in Betracht gezogen werden, um diese zu bewältigen.

Einhaltung der Vorschriften ist kein Allheilmittel

Die Einhaltung von Vorschriften ist zwar keine Garantie für die Sicherheit in der Cloud, kann jedoch sowohl dem Kunden als auch dem Anbieter bei einem gemeinsamen Ansatz mit Konzepten zum Risikomanagement und zur Anwendung relevanter Kontrollen helfen. Der Wert von Compliance-Programmen besteht darin, dass sie die Bedeutung der Datensicherheit für den Cloud-Service-Anbieter und dessen Kunden unterstreichen und in der Regel ein Mindestmaß an Sicherheitskontrollen durchsetzen.

Es ist aber wichtig, dass die durch die Cloud eingeführte Komplexität angemessen verwaltet wird. Sicherheitskonstruktionen, wie virtuelle Netzwerke, Container, Mikrodienste, virtuelle Firewalls und andere Cloud-basierte Angebote sind nicht so einfach zu handhaben, wie eine traditionelle Umgebung. Außerdem spiegeln Konformitätsanforderungen nicht immer die Komplexität neuer Cloud-Systeme wider oder zeigen, wo Probleme mit traditionellen Sicherheitsansätzen in der Cloud bestehen.

Fazit

Cloud-Angebote ändern sich regelmäßig, und Sicherheits- wie auch Compliance-Lösungen werden daher schnell angenommen. Für Unternehmen, die es mit der Sicherheit ernst meinen und sich um die Einhaltung von Vorschriften wirklich kümmern, gibt es tatsächlich einen Weg, beides in der Cloud zu erreichen, aber dieses Konzept erfordert Bewusstsein, Ausbildung und geeignete Ansätze.

Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies.
Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies.
(Bild: Checkpoint)

Automatisierte Tools und von Anbietern bereitgestellte Frameworks können dabei einige der Herausforderungen der Cloud-Sicherheit erleichtern, weil sie Expertensysteme bereitstellen. Diese Tools bieten eine Stütze, um sicherzustellen, dass die Sicherheitsanforderungen in Cloud-Technologien überwacht werden. Eine derartige Plattform für Benutzer von Cloud-Diensten von Amazon (AWS), Google (GCE) oder Microsoft (Azure) ist CloudGuard Dome 9. Sie bietet die Möglichkeit, ihre Sicherheitsstellung anhand von Konformitätsanforderungen zu bewerten, Fehlkonfigurationen zu erkennen und dann die tatsächliche Konformität zu überwachen und durchzusetzen. Mit Tools, wie diesen, können Unternehmen das Vertrauen in Sicherheitsansätze verbessern und sich vor Identitätsdiebstahl und Datenverlust in der Cloud schützen.

Der Autor: Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies.

(ID:46411387)