Best Practices für Cloud-Applikationen So gelingt Security by Design bei Cloud-Anwendungen

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Anwendungen wandern nun vermehrt in die Cloud, um Remote Work zu vereinfachen. Dabei muss von Beginn an die Sicherheit der Cloud-Apps im Fokus stehen, denn nun sind die Anwendungen den Cloud-Risiken ausgesetzt. Security-by-Design ist für Cloud-Apps besonders wichtig. Automatisierte Security-Checks können helfen, die Sicherheit bereits während der Entwicklung zu überprüfen.

Firma zum Thema

Security-by-Design ist bei Cloud-Apps besonders wichtig.
Security-by-Design ist bei Cloud-Apps besonders wichtig.
(Bild: Werner Moser / Pixabay )

In Zeiten von Homeoffice und Remote Work haben sich die Anforderungen an die Security verändert. Zum einen werden immer noch vermehrt private Endgeräte zu betrieblichen Zwecken (BYOD) genutzt. Von sicheren Endgeräten kann man deshalb nicht einfach ausgehen, stattdessen muss die Sicherheit bei den Zugriffen und in den Cloud-Applikationen herrschen, auf die zugegriffen wird.

Zum anderen hat die Zahl der Anwendungen, die in eine Cloud ausgelagert werden, deutlich zugenommen. Die Marktforscher von Gartner erklären, dass sich der Anteil der IT-Ausgaben, die in die Cloud verlagert werden, nach der COVID-19-Krise deutlich erhöhen wird. Die Cloud wird voraussichtlich 2024 14,2% des gesamten globalen IT-Ausgabenmarkts für Unternehmen ausmachen, nach 9,1% im Jahr 2020.

Auf diese Entwicklung muss die Security vorbereitet sein, gerade auch im Bereich der Applikationen, die nun in der Cloud laufen sollen. Wie aber sorgt man für eine zuverlässige Sicherheit bei Cloud-Apps?

Cloud-Sicherheitsvorgaben müssen überprüft werden

Nun ist es nicht so, dass es keine Vorgaben für sichere Cloud-Anwendungen geben würde. Standards und Richtlinien für die Cloud-Sicherheit und auch für die Applikationssicherheit gibt es reichlich. Ebenso sind auch die typischen Schwachstellen bei Clouds und bei Applikationen bekannt, die es zu vermeiden gilt. Man denke nur an die Top 10 Web Application Security Risks oder an die Cloud Security Alliance (CSA) Top Threats

Bereits bei der Entwicklung neuer Cloud-Apps oder bei der Migration einer Applikation in die Cloud gilt es, solche Risiken zu beachten und Schwachstellen zu vermeiden, nicht erst dann, wenn eine Cloud-App in Produktion ist und bereits Cyberattacken ausgesetzt sein kann. Nachträgliche Cloud-Sicherheit soll und kann kein Ersatz für Security-by-Design sein. Dazu benötigen die Cloud-Entwickler aber mehr Unterstützung, bei der Knappheit der Security-Experten in den Unternehmen am besten eine automatische.

Die Lösung: Automatisierte Security-Checks

Ein automatisierter Security Check kann den Code während der Entwicklungs- und Bereitstellungsphase kontrollieren und auf mögliche Sicherheitskonflikte bei Cloud-Apps hinweisen. Unternehmen können Probleme bei ihren Cloud-Apps frühzeitig beheben. Für die Produktionsphase hilft dann zusätzlich ein Patchmanagement und die Erkennung und Abwehr von Cloud-Attacken.

Geeignete Security-Checks decken dabei auch Compliance-Fragen ab, also Anforderungen an die Cloud-Sicherheit, wie sie sich zum Beispiel aus der Datenschutz-Grundverordnung (DSGVO) oder aus PCIDSS (Payment Card Industry Data Security Standard) ergeben.

Eine parallele Prüfung der Anforderungen an Sicherheit und Datenschutz bei Cloud-Apps ist mehr als sinnvoll, wie zum Beispiel die aktuellen Entwicklungen bei der Cloud-Zertifizierung zeigen. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Cloud Computing Compliance Criteria Catalogue“ (C5) beispielsweise deckt neben Aspekten der Informationssicherheit auch eine Vielzahl von Anforderungen ab, die im Kontext des Datenschutzes zu erbringen sind.

Solche Anforderungen an die Sicherheit und den Datenschutz müssen nicht nur die Cloud-Provider erfüllen, wie im Fall von C5. Auch die Unternehmen, die ihre Apps in einer Cloud laufen lassen, müssen an Sicherheit und Datenschutz denken, von Beginn an, also gleich bei der Entwicklung der Cloud-Apps.

(ID:47159777)