Top-Sicherheitsrisiken für Daten in der Cloud

Tipps zur Absicherung von Cloud-ERP-Systemen

| Autor / Redakteur: Dr. Markus Schumacher / Peter Schmitz

Das neue Whitepaper der Cloud Security Alliance ist das bisher umfassendste Dokument speziell zur Sicherung von Cloud-ERP-Anwendungen.
Das neue Whitepaper der Cloud Security Alliance ist das bisher umfassendste Dokument speziell zur Sicherung von Cloud-ERP-Anwendungen. (Bild: Cloud Security Alliance)

„Die betrügerischen Zwölf“ („The Treacherous 12“) nennt die Cloud Security Alliance (CSA) die größten Sicherheitsrisiken für Daten in der Cloud – und fasst in einem neuen Whitepaper die wichtigsten Steuerungen und Kontrollen zusammen, um Cloud-ERP-Kunden bei der Abwehr dieser Top-Bedrohungen zu unterstützen.

Datenverluste, gestohlene Benutzerdaten, geknackte Schnittstellen, ausgenutzte Systemschwachstellen, Account Hijacking und kriminelle Insider: Das sind nur einige der von der Cloud Security Alliance (CSA) gelisteten IT-Sicherheitsvorfällen, die für die Daten in der Cloud brandgefährlich werden können. Besonders folgenreich kann dies sein, wenn davon Cloud-ERP-Systeme betroffen sind, da kritische Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.

Hybridarchitektur bevorzugt

Speziell an Cloud-ERP-Kunden wendet sich das neue CSA-Whitepaper „Die 20 wichtigsten Kontrollen für Cloud-ERP-Kunden“. Die CSA ist eine internationale Non-Profit-Organisation, die eine Reihe von Forschungsinitiativen betreibt. Sie stellt auf dieser Basis Whitepaper, Werkzeuge und Berichte bereit, die Kunden und Providern bei der Absicherung von Services im Bereich Cloud Computing helfen sollen. Der jüngste Leitfaden adressiert die wachsende Zahl an Unternehmen, die eine Cloud-ERP-Migration planen oder bereits durchgeführt haben. Dabei lagern die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud mit unterschiedlichen Cloud-Services-Modellen aus. Einer IDC-Studie zufolge bestehen Ende 2019 über 40 Prozent der neuen ERP-Installationen aus einem Ökosystem von Apps aus internen Ressourcen, Dienstleistern, Technikanbietern und anderen Partnern.

Das CSA-Whitepaper stellt die wichtigsten IT-Anwendungssteuerungen vor, um eine vollständige und exakte Datenverarbeitung innerhalb eines cloudbasierten Systems sicherzustellen. Zugleich sollen der Schutz und die Sicherheit von Daten gewährleistet werden, die zwischen mehreren Anwendungen übertragen werden. Den Schwerpunkt bilden die folgenden sicherheitsrelevanten Bereiche:

  • Cloud-ERP-Nutzer: Die Steuerungen dieses Bereichs sollen die zahlreichen unterschiedlichen Nutzer einer Cloud-ERP-Anwendung schützen, die mit individuellen Zugriffsanforderungen und -berechtigungen ausgestattet sind.
  • Cloud-ERP-Anwendung: Dieser Bereich umfasst Steuerungen zur Absicherung der hochkomplexen Technologie und Funktionalität von Cloud-ERP-Anwendungen.
  • Integrationen: Diese Steuerungen dienen vorrangig dem Schutz der Integrationen von Cloud-ERP-Anwendungen, die in der Regel mit vielen anderen Anwendungen und Datenquellen verbunden sind.
  • Cloud-ERP-Daten: In Cloud-ERP-Anwendungen werden hochsensible und stark regulierte Daten gespeichert und verarbeitet. Daher fokussiert sich dieser Bereich auf Kontrollen zum Schutz der Datenzugriffe.
  • Geschäftsprozesse: Diese Steuerungen senken die Risiken für die Prozesse der Cloud-ERP-Anwendungen, die zu den komplexesten und wichtigsten Abläufen in einem Unternehmen zählen.

Alle im CSA-Whitepaper beschriebenen Steuerungen richten sich an der CSA Cloud Controls Matrix (CCM) aus. Dieses Kontroll-Framework wurde eigens entwickelt, um Sicherheitsprinzipen für Cloud-Provider bereitzustellen und potenzielle Cloud-Kunden bei der Bewertung des Sicherheitsrisikos eines Cloud-Anbieters zu unterstützen. Die CCM beruht auf den Konzepten der CSA zur Sicherung von Cloud Computing, berücksichtigt aber auch verschiedene branchenspezifische Sicherheitsstandards, Regulierungsvorschriften und andere rechtliche Rahmen, die Unternehmen zu beachten haben: darunter ISO 27001/27002, PCI DDS, HIPAA und COBIT.

Tipps für Kunden und Provider

Jede der 20 Steuerungen im CSA-Whitepaper ist in die folgenden Abschnitte unterteilt:

  • Sicherheitsrelevanter Bereich
  • Steuerungs-ID (eindeutiger Name der Kontrolle)
  • Steuerungsbeschreibung
  • Steuerungsziele
  • Bedrohungen und Risiken
  • Zugehörige CCM-Steuerungen (ID der Steuerung gemäß Definition in der CCM)

Zwei Beispiele mögen dies verdeutlichen:

USR05 – Funktionstrennung: verhindert, dass einem Anwender unvereinbare Funktionen zugeordnet und damit betrügerische Aktivitäten begünstigt werden.

APP06 – Sichere ERP-Erweiterungen: verhindert, dass bei Erweiterungen der ERP-Funktionalität neue Risiken oder Schwachstellen in den Code gelangen.

Die Steuerungen sind auf unterschiedliche ERP-Cloud-Services-Modelle anwendbar, wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Je nach Services-Modell trägt entweder der Cloud-Kunde oder der Cloud-Provider die Verantwortung dafür. Ist der Kunde zuständig, gibt das CSA-Whitepaper zusätzlich einen Hinweis, ob die Steuerungen von seiner IT- oder der Fachabteilung zu implementieren und zu verwalten sind.

Enge Zusammenarbeit mit Sicherheitsanbietern

Das neue CSA-Whitepaper entstand in enger Zusammenarbeit von CSA und Sicherheitsanbietern wie Onapsis, die ihre langjährigen Fachkenntnisse und Erfahrungen beigetragen haben. Im Ergebnis entstand das bisher umfassendste Dokument speziell zur Sicherung von Cloud-ERP-Anwendungen. Die Kunden können damit ein breites Spektrum von Risiken abdecken, die bei der Migration und dem Betrieb kritischer Geschäftsanwendungen in der Cloud entstehen. Sie sind gut beraten, die beschriebenen Steuerungen sorgfältig zu prüfen und möglichst vollständig in ihre ERP-Sicherheitsstrategie zu integrieren.

Über den Autor: Dr. Markus Schumacher ist General Manager Europe bei Onapsis. Als Mitgründer und Geschäftsführer der Virtual Forge GmbH, die heute zu Onapsis gehört, ist er Experte für Cybersecurity im ERP-Betrieb. Zuvor leitete er beim Fraunhofer Institut für Sichere IT (SIT) den Bereich "Security and Embedded Devices". Davor war er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der SME Business ByDesign-Lösung tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46271678 / Cloud und Virtualisierung)