:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/0c/3f/0c3f1b4dcf6c0dabcd8a361628192d1a/0109850518.jpeg "Bei einem Cloud Data Warehouse bzw. Data-Warehouse-as-a-Service (DWaaS) betreibt, konfiguriert und managt ein Cloud-Anbieter die für das Data Warehouse benötigten Software- und Hardwareressourcen auf einer Cloud-Computing-Plattform. (Bild: frei lizenziert / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ec/65/ec6578329c07716430ad0943d3afc9b4/0108876291.jpeg "CMIS beschäftigt sich mit der Anbindung unterschiedlicher Content-Management-Systeme. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/e6/a1e6079e89a83d872a1a8d164edc8f97/0110412957.jpeg "Angesichts einer Krise macht es keinen Sinn, den Kopf in den Sand zu stecken. (Bild: frei lizenziert Engin Akyurt - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/7d/18/7d188a3046b9c4d893bfffcbacb4519b/0110409430.jpeg "Mehr als nur KI: Microsoft integriert ChatGPT-Funktionen in seine Office-Anwendungen (Bild: Julian - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c41e6d9f208a3e33f4ec2a1f81582a/0110071835.jpeg "KI wird hilfreich sein, um beispielsweise dem immer größer werdenden Datenstrom in der Industrie Herr zu werden; doch wer die Verantwortung für Schäden durch KI trägt, ist noch nicht geregelt. (Bild: frei lizenziert Rox_buwa - Pixabay )")
:quality(80)/p7i.vogel.de/wcms/1b/00/1b00faf29cf94322292fa8331bb5d126/0110084122.jpeg "Benutzer können Nextcloud an ihre eigenen Anforderungen anpassen, Dateien speichern oder Besprechungen planen. (Bild: Nextcloud)")
:quality(80)/p7i.vogel.de/wcms/18/5c/185c788ecb9d426bad159e65a1eae94e/0110210351.jpeg "Eine Cloud-Sicherheitsstrategie in Unternehmen kann nur dann zielführend sein, wenn teamübergreifend und mit klarer Festlegung von Verantwortlichkeiten daran gearbeitet wird. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d20df7708705038ac282075467e91c/0110101122.jpeg "Die Telecom Data Cloud von Snowflake vereint eine Datenplattform für Telekommunikationsdienstleister mit branchenspezifischen Datensätzen und Lösungen. (Bild: frei lizenziert pasja1000 / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/f7/3a/f73a045dbda88787bbad694390864531/0110331232.jpeg "Das neue eBook „Cloud-Identitäten“ informiert darüber, wie ein sicheres, aber auch nutzerfreundliches IAM für die Cloud Realität werden kann. (Bild: ThisDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/e0/20e0f904daada9c77cbcc45708a233e4/0110339416.jpeg "Der Global Cloud Storage Index von Wasabi Technologies bildet den derzeitigen Stand von Speicherinfrastrukturen in Unternehmen aus EMEA ab. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/48/8648e26e71b6baddb1bc916755c144c8/0110172680.jpeg "Daten sind eine wichtige, aussagekräftige Informationsquelle und Mittelpunkt aller Arbeitsabläufe, da sie überall enthalten und in allen Abteilungen eine Rolle spielen – vom Marketing, über den Kundenservice bis hin zur Rechtsabteilung. (Bild: tookitook - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/03/af03d1aea8625ec0adcd8465e6cd019b/0110171268.jpeg "Konkrete Anwendungsfälle für das Metaverse existieren bereits in der Industrie, für mehr Kollaboration und im Gaming. (Bild: MangKangMangMee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/a1/68a170de3b284538a21f5957002f4f87/0109460520.jpeg "Google kommt mit seiner aktuellen Produktinitative einer weiteren Ankündigung von Microsoft zuvor, die für diesen Donnerstag erwartet wird. (Bild: Vogel IT)")
:quality(80)/p7i.vogel.de/wcms/4c/ce/4cce860514f3ff6aef22c239905b64d4/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/05/780524131224e215de43311431bac0e4/0110189443.jpeg "Google schützt alle wichtigen Workspace-Anwendungen nun durch clientseitige Verschlüsselung. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/c0/4e/c04e3315ad72b322a03cc9a5835aba05/0110086536.jpeg "CloudCasa und Ondat haben ein Best-of-Breed-Bundle für Kubernetes geschnürt. (Bild: Screenshot / Ondat)")
:quality(80)/p7i.vogel.de/wcms/66/90/669036ceb3e2e1454cf921b585fb1f4e/0109987733.jpeg "Ein verbesserter Schutz vor Ransomware-Attacken ist eines der Hauptanliegen von Veeam bei der neuen Data Platform. (Bild: © – Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/bb/efbb0591b2043c447836baf43165c988/0110107485.jpeg "Mit unkonventionellen Ansätzen haben viele kleine Cloud-Anbieter disruptive Cloud-Computing-Services aufgebaut, die gut und gerne den Hyperscaler-Services Paroli bieten. (Bild: svetograph - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/55/e45584050f178633a393cb1e5eb38160/0110102008.jpeg "Das auf technologische Nachhaltigkeitsförderung spezialisierte SustainableIT.org hat Standards veröffentlicht. (Bild: gemeinfrei, jkdberna / Pixabay)")
Richtlinien sind gut, Kontrolle ist besser Compliance ist kein Allheilmittel
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/38/6138bf525ebdb/cronon-logo.jpeg "cronon-logo (Cronon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Zu oft werden IT-Sicherheit und Compliance in einen Hut geworfen, doch die Einhaltung der Regularien und Standards bedeutet nicht, dass ein Unternehmen tatsächlich genügend gesichert ist. Vor allem die Cloud-Umgebungen mischen die Karten neu. Compliance belegt lediglich die Einhaltung eines Mindestmaßes– nicht mehr und nicht weniger.
Unternehmen müssen sicherstellen, dass ihre Compliance-Überwachungs- und Audit-Programme so eingerichtet sind, dass sie fehlerfrei arbeiten, wenn sich ihre IT-Infrastrukturen, IT-Umgebungen oder Anwendungen ändern. Dies ist besonders wichtig bezüglich der Cloud, die für viele Unternehmen zum Kerngeschäft geworden ist. Täglich werden neue Codes für die dort aufgesetzten Anwendungen geschrieben, doch ohne eine angemessene Überwachung könnte sich dies negativ auf die Compliance-Prüfung des Unternehmens auswirken.
Falsches Gefühl der Sicherheit ablegen
Stets sollte bedacht werden, dass Compliance nicht mit IT-Sicherheit gleichzusetzen ist. Sie hilft dabei, eine Grundlinie für Kontrollen festzulegen, aber diese Richtlinien fußen auf allgemeinen Angriffsvektoren.
Die Einhaltung der Compliance allein betrachtet kann also in der Tat ein falsches Gefühl der Sicherheit vermitteln. Es kann vorgeschrieben sein, starke Passwörter zum Schutz des Systemzugangs zu verwenden, aber dies verhindert nicht, dass Angreifer komplexes Phishing nutzen, um Anmeldeinformationen zu stehlen oder Zugangskontrollen zu umgehen.
Cloud-basierte Einbrüche und große gemeldete Zwischenfälle haben zwar das Wissen vieler Verantwortlicher um IT-Bedrohungen erweitert, was zu besseren Sicherheitspraktiken und -kontrollen führt, wie die Einbindung von Automatisierung in Compliance-Programme. Jedoch hält dies unbekannte Angriffe (Zero-Day-Attacken) nicht ab. Hierfür bedarf es umfassend angelegter Sicherheitslösungen, die Angriffe nicht nur blockieren, sondern analysieren. Darüber hinaus reicht es bezüglich der beliebten Cloud-Microservices nicht, dass sie die Compliance-Standards des Unternehmens erfüllen, sondern es muss ihre IT-Absicherung gegen Angriffe bedacht werden.
Gezielte Schritte zur Compliance gehen
Die Abläufe zur Aufrechterhaltung von Sicherheit und Compliance in der Cloud sind wiederkehrend und können ausarten, wenn sich nicht geschulte Mitarbeiter mithilfe effizienter Prozesse und passender Technologie darum kümmern. Folgend einige wichtige Schritte:
Schritt 1: Inventarisierung der Cloud-Assets
Fachkräfte können nur schützen, was sie sehen und von dessen Existenz im Netzwerk sie wissen, aber dies ist bezüglich der vielen Microservices schwierig. In der Cloud sind jedoch die virtualisierten Ressourcen die Vermögenswerte, daher ist es unerlässlich, über Systeme zu verfügen, die zur Skalierung und kontinuierlichen Überwachung der Cloud-Umgebung ausgelegt sind. Für viele Unternehmen ist die Überwachung und Nachverfolgung von Assets außerdem ein Weg zu geringeren Kosten, da der Betrieb der Cloud so konzipiert sein sollte, dass er je nach Bedarf größer oder kleiner skaliert werden kann. Die Automatisierung dieses Cloud-Betriebs ermöglicht dabei die Inventarisierung und Konfiguration von Anlagen und schafft Sichtbarkeit der Datenströme und Konnektivität.
Schritt 2: Wahl der Compliance-Grundlage
Die Compliance-Vorschriften entsprechen stets den Anforderungen der jeweiligen Branche und des jeweiligen Marktes. Aus diesem Grund muss sichergestellt sein, dass die vorhandene Compliance-Technologie den aktuellen Standards entsprechen kann. Für Unternehmen ohne Regulierungsstandard können die Anforderungen der Kunden als Entscheidungsgrundlage dienen, da diese häufig Anbieter suchen, welche die für ihre eigene Branche relevanten Standards erfüllen. Ein weiterer guter Ausgangspunkt ist die Wahl allgemeiner Geschäftsstandards.
Schritt 3: Anpassung der Sicherheit
Es lohnt sich die Prüfung, welche Lösungen andere Unternehmen zur Erfüllung der Compliance-Richtlinien entwickelt haben. PCI-Frameworks weisen beispielsweise darauf hin, dass bestimmte Systemkomponenten bezüglich der Kreditkartenkartendaten (und nicht das gesamte Netzwerk oder verbundene Systeme) den größten Teil des Schutzes erhalten müssen. Dies führt dazu, dass Teile des Systems segmentiert und mit Firewalls versehen werden, um die Kontrollen nur auf die Systeme und Daten zu beschränken, die in den vorgegebenen Bereich fallen.
Schritt 4: Überblick verschaffen
Kontrollen sollten jederzeit einsatzbereit sein und müssen ständig überwacht werden, um die Einhaltung der Compliance zu gewährleisten. Um dies in der Cloud handhabbar zu machen, sollten Unternehmer Tools nutzen, die eine Workflow-Automatisierung ermöglichen. Dazu gehören kontinuierliche Compliance- und Sicherheits-Scans, Benachrichtigungen und Ticketing. Diese Programme sollten außerdem zentral die Datenströme und Konnektivität der Anwendungen darstellen, um den Fachkräften einen Überblick und die Kontrolle zu ermöglichen.
Schritt 5: Automatisierung der Vorgänge
Cloud-Umgebungen gelten als komplexer, verglichen mit den Rechenzentren. Aus diesem Grund sollte die Automatisierung zum Einsatz kommen. Es gibt viele Bereiche, wo sie helfen kann, darunter Sicherheitsaufgaben, Überwachung der Firewall-Regeln oder komplexere Workflows. Aufwendige Arbeiten und oder Routine-Aufgaben, umfangreiche Protokollierung, Scanning, Monitoring und Analyse von Bedrohungen, werden häufig automatisiert, um die Administratoren zu entlasten und ihnen Zeit für große Projekte freizuräumen. Allerdings ist bei der Automatisierung Vorsicht geboten, um Fehlalarme zu vermeiden. Sie muss im Einklang mit der Handarbeit laufen.
Schritt 6: Regelmäßige Berichterstattung sicherstellen
Jede Compliance-Grundlage fordert eine Berichterstattung. In vielen Fällen übernimmt der Cloud Service Provider (CSP), der die physische Kontrolle über die Cloud-Infrastruktur hat, dieses Auditing. Das Unternehmen selbst sollte jedoch sicherstellen, dass der CSP wirklich regelmäßig und zufriedenstellend berichtet, sowie darauf achten, dass die Compliance wirklich, gemäß der Berichte, eingehalten wird. Müssen die Unternehmer selbst die Berichterstattung durchführen, nimmt eine Automatisierung dieses Prozesses allen Beteiligten viel Arbeit ab und liefert äußerst genau Dokumentationen.
Auditing als Stolperfalle erkennen
Es kann vorkommen, dass die Kunden eines Unternehmens ebenfalls die Informationen einer solchen Berichterstattung verlangen, oder das Unternehmen muss in der vertraglichen Vereinbarung des Cloud-Anbieters bestätigen, dass es in seiner Verantwortung liegt, die Compliance zu überprüfen.
In vielen Fällen aber sind die Auditberichte der CSPs die einzige Möglichkeit, die Compliance zu überprüfen. Die Unternehmen verfügen oft nicht über die operativen Kapazitäten, um jedem ihrer Kunden eine gesonderte Prüfung zu ermöglichen. Es ist wichtig, dies bei der Auswahl des Cloud-Anbieters zu berücksichtigen und etwaigen Bedenken hinsichtlich seiner Compliance-Berichte nachzugehen.
Zuletzt sollte jedem bewusst werden, dass die Audit-Berichte des Cloud-Anbieters sensible Informationen enthalten, weswegen die Möglichkeit, diese den Kunden zu zeigen, begrenzt ist. Ein Unternehmen darf die Informationen über die Compliance-Zertifizierung des CSP-Anbieters nicht als eigene beanspruchen, es sei denn, der CSP-Anbieter hat dies erlaubt.
Staatliche Regularien nicht vergessen
Jeder der großen CSP (wie Amazon, Google und Microsoft Azure) bietet inzwischen Hunderte von einzigartigen Diensten an und die Regulierungsbehörden für Compliance haben die Notwendigkeit erkannt, sich an die Komplexität der Cloud anzupassen. So wurden beispielsweise die Rahmenwerke gängiger Standards, wie CIS Benchmark, NIST, SOC2, PCI DSS und ISO27001, erweitert, um den Besonderheiten der Cloud-Umgebungen gerecht zu werden.
Darüber hinaus müssen Vorschriften zum Datenschutz, wie die EU-DSGVO (Europäische Datenschutz-Grundverordnung) oder CCPA (California Consumer Protection Act), eingehalten werden. Daher müssen Unternehmen außerdem nach Cloud-Anbietern suchen oder Compliance-Lösungen einsetzen, die auch diesen Standards entsprechen können.
Vorteile der Automatisierung nutzen
Wird verlangt, alle Protokolle prüfen zu können, hilft ein SIEM oder IDS bei der Bereitstellung von Echtzeitwarnungen zu potenziellen Schwachstellen und zeichnet alle Änderungen im Netzwerk auf.
Änderungen an Komponenten des Systems oder Anwendungen oder der Konnektivität, sowie an Ereignistypen erfordern Anpassungen der Richtlinien und müssen dokumentiert werden. Das ist aufwändig, weswegen eine Automatisierung das Mittel der Wahl für diese Aufgabe sein sollte, um sich beim Auditing sicher fühlen zu können. Dabei sollte diese Lösung in der Lage sein, auf der Grundlage der Risiko-Bewertung eine Priorität für die Bearbeitung verschiedener Bedrohungen zu setzen. Das bedeutet: Bei potenziell schwerwiegenden und wahrscheinlichen Ereignissen muss diese Lösung auf der Grundlage von Branchen-Informationen und Verhaltensanalysen verschiedene Angriffsarten erkennen können. Auf diese Weise lässt sich der manuelle Abstimmungsaufwand verringern.
Mindestmaß garantiert
Stets muss bedacht werden: Die Einhaltung der Compliance ist keine Garantie für die IT-Sicherheit in der Cloud – das ist eine andere Baustelle. Sie hilft aber dem Unternehmen und dem CSP, einen gemeinsamen Ansatz zu finden.
Der Wert von Compliance besteht deshalb darin, dass sie die Bedeutung der IT-Sicherheit unterstreicht und ein Mindestmaß an Absicherung verlangt. Die Zertifizierung belegt also, dass ein Unternehmen zumindest den gültigen Standards entspricht, womit viel gewonnen ist.
* Der Autor Lothar Geuenich ist Regional Director Central Europe bei Check Point Software Technologies GmbH.
(ID:47717646)
:quality(80)/images.vogel.de/vogelonline/bdb/1894300/1894374/original.jpg "„Lead Cloud Security Manager“ sind für die Planung, Implementierung, Verwaltung, Überwachung und Wartung eines Cloud-Sicherheitsprogramms in Unternehmen qualifiziert. (gemeinfrei© Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883300/1883388/original.jpg "Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben. (artiemedvedev - stock.adobe.com)")