Suchen

Geteilte Verantwortung – verstärkte Vorsicht Sichere Migration in die Cloud

| Autor / Redakteur: Reza Mehman* / Peter Schmitz

Bei der Nutzung von Cloud-Services teilen sich Unternehmen und Anbieter die Sicherheitsverantwortung für die Daten, Anwendungen und Infrastrukturen. Ob ein Cloud-Provider seine Pflichten erfüllt, sollte der Kunde mithilfe eines individuellen IT-Sicherheitskonzepts ermitteln – und permanent kontrollieren.

Firmen zum Thema

Unternehmen, die eine Cloud-Migration planen, sollten vor allem ein individuelles IT-Sicherheitskonzept entwickeln.
Unternehmen, die eine Cloud-Migration planen, sollten vor allem ein individuelles IT-Sicherheitskonzept entwickeln.
(Bild: gemeinfrei / Pixabay )

Dass die Einführung und Nutzung geschäftskritischer Anwendungen aus der Cloud spezielle Sicherheitsmaßnahmen erfordern, steht außer Frage. Denn im Gegensatz zu den On-Premises-Umgebungen in den Unternehmen sind die Cloud-Applikationen nicht durch eigenständige Netzwerke – den so genannten Demilitarisierten Zonen (DMZ) – vor unerlaubten Zugriffen geschützt. Hohe Risiken können auch von unsicheren Bedienoberflächen und APIs ausgehen, über die ein Unternehmen mit den Cloud-Services kommuniziert. Weitere Gefahrenquellen sind Schwachstellen in Code oder Konfiguration der Cloud-Applikationen und -Plattformen selbst.

Suche nach Ursache obligatorisch

Dabei irren Unternehmen, wenn sie glauben, mit den ERP-Anwendungen auch die komplette Sicherheitsverantwortung an den Cloud-Anbieter auslagern zu können. Vielmehr haften die Kunden weiterhin für die Unversehrtheit von Geschäftsprozessen, Daten, Geräten und Nutzerkonten, während der Servicepartner meist die physische Sicherheit von Cloud- Infrastruktur und Betriebssystem sowie die Netzwerk-Kontrollen verantwortet. Im Fall eines Datenmissbrauchs muss aber immer festgestellt werden, wie es dazu kam und ob dieser auf ein Versäumnis des Cloud-Anbieters zurückzuführen ist.

Vier entscheidende Auswahlkriterien

Um bei der Auswahl des Cloud Providers auf der sicheren Seite zu sein, sollten Unternehmen vier zentrale Kriterien befolgen:

1. IT-Sicherheitskonzepte müssen harmonieren

Unternehmen, die eine Cloud-Migration planen, sollten ein individuelles IT-Sicherheitskonzept entwickeln. In Frage dürfen dann nur diejenigen Cloud-Servicepartner kommen, deren Technologien und Schnittstellen damit vereinbar sind. So gilt es unter anderem zu klären:

  • Nutzt der Cloud-Provider Verfahren und Werkzeuge für Datenverschlüsselung und Protokollierung, die auf Industriestandard sind?
  • Schützt er seine Schnittstellen mit Multi-Faktor-Authentifizierung und Zugangskontrollen vor unerlaubten Zugriffen?
  • Sind diese Technologien mit den kundeneigenen kompatibel?
  • Werden die Cloud-Anwendungen regelmäßig gepatcht und Penetrationstests unterzogen?
  • Werden möglicherweise verwendete Software Frameworks von Drittanbietern in die Sicherheitsmaßnahmen einbezogen?
  • Besteht eine Zusammenarbeit mit anderen IT-Dienstleistern, die auf die eigenen Sicherheitsanforderungen verpflichtet werden müssen?

2. Nachweis anerkannter Sicherheits-Zertifikate

Angesichts der Vielzahl nationaler wie internationaler Cloud-Sicherheitszertifikate erscheint es als schwierig, den richtigen Anbieter zu identifizieren. In Deutschland hat sich der C5-Anforderungskatalog Cloud Computing des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchgesetzt, der auf international anerkannten IT-Sicherheitsstandards wie ISO/IEC 27001:2013, der Cloud Security Alliance Cloud Controls Matrix 3.0.1 und den eigenen IT-Grundschutz-Katalogen des BSI beruht. Inzwischen ist der C5 auch international etabliert und wird weltweit zum Nachweis der Sicherheit von Cloud-Diensten verwendet – und zwar unabhängig vom Anwendungskontext.

Verstärkte Sicherheitsanforderungen an das Cloud Computing stellt die Europäische Datenschutz-Grundverordnung (DSGVO). Unternehmen, die ihren Sitz oder eine Niederlassung in der Europäischen Union (EU) haben oder personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeiten, sollten daher nur mit Cloud-Anbietern zusammenarbeiten, die sich DSGVO-konform verhalten. Ihnen bietet das BSI mit seiner Publikation „Sichere Nutzung von Cloud-Diensten“ einen nützlichen Leitfaden, worauf zu achten ist.

3. Sicherheitsleistungen vertraglich vereinbaren

Um Kontrolle und Rechtssicherheit in der Zusammenarbeit mit dem Cloud Provider zu erlangen, sollten die Unternehmen die wichtigen Sicherheitsanforderungen vertraglich fixieren. Neben dem zeitnahen Einspielen von Sicherheits-Patches und regelmäßigen Penetrationstests gehören dazu interne Audits, die beim Servicepartner vor Ort oder remote durchgeführt werden und es dem Kunden erlauben, auch externe Auditoren einzubinden. Auch sollte der Einsatz automatischer Sicherheits- und Analysetools vereinbart werden, wie:

  • Cloud Access Security Brokers (CASB) zur Überwachung, Protokollierung und Steuerung der Kommunikation zwischen Kunde und Anbieter.
  • Zoning/IP Whitelisting zur Einschränkung des Cloud-Zugriffs auf als vertrauenswürdig eingestufte Partner.
  • Governance, Risk & Compliance-Verfahren (GRC) zur Erfüllung behördlicher und gesetzlicher Vorschriften.
  • Security Information and Event Management-Tools (SIEM) zur Erkennung und Beseitigung von Sicherheitsvorfällen in Echtzeit.
  • Business-Continuity- und Notfall-Management-Systeme zur zeitnahen Wiederherstellung kompromittierter Cloud-Ressourcen.

Zudem sollte der Vertrag Sanktionen enthalten, die dem Cloud-Anbieter im Fall der Nichteinhaltung der vereinbarten Sicherheitsanforderungen drohen. Wichtig ist, dass der Kunde im Fall einer Vertragsverletzung umgehend benachrichtigt und durch Vertragsstrafen abgesichert wird. Diese können von der Rückerstattung der Nutzungskosten über die vorzeitige Vertragsbeendigung bis hin zu Geldstrafen reichen.

4. Transparenz durch umfassende Dokumentation

Transparenz ist alles – dies gilt gerade im hochsensiblen IT-Sicherheitsumfeld, in dem jeder Vorfall für ein Unternehmen beträchtliche wirtschaftliche Schäden und Imageverluste mit sich bringen kann. Um jederzeit über das Sicherheitsniveau des Cloud-Anbieters auf dem Laufenden zu sein, sollte der Kunde daher eine umfassende Dokumentation der Datenschutz- und Compliance-Maßnahmen einfordern – ob es sich um die Art der Datenverschlüsselung, die Aufteilung der Hardware-Ressourcen zwischen den einzelnen Cloud-Kunden im Rechenzentrum, die Netztrennung oder die genutzten Protokolle handelt. Ebenso ist es unerlässlich, dass der Kunde zeitnah über eingespielte Sicherheits-Patches und relevante Sicherheitsvorfälle in der Cloud-Umgebung informiert wird. Welche Vorfälle als wichtig eingestuft werden, sollten Unternehmen und Provider vorab in einer Themen- und Bereichsliste festlegen.

* Der Autor Reza Mehman ist Chief Innovation Officer bei Onapsis, wo er Innovationen im Bereich Cloud Security und UEBA (User and Entity Behavior Analytics) vorantreibt. Zuvor er in derselben Position bei der Virtual Forge GmbH, die heute zu Onapsis gehört, auf die Entwicklung neuer SaaS-Produkte und Machine Learning fokussiert. Reza Mehman verfügt über jahrelange Erfahrungen als IT-Berater, die er unter anderem bei Accenture gesammelt hat.

(ID:46893039)