Suchen

"Microsoft Cloud Security Readiness Tool " (CSRT) Unabhängige Bewertung des Cloud-Security-Reifegrads

Autor / Redakteur: Michael Matzer / Florian Karlstetter

Cloud-Security ist in Zeiten von Spähprogrammen wie dem amerikanischen "Prism" und dem britischen "Tempora" wichtiger denn je. Der IT-Verantwortliche möchte wissen, wo er steht. Das von Microsoft initierte Cloud Security Readiness Tool soll dabei helfen.

Das Microsoft Cloud Security Readiness Tool gibt Aufschluss, auf welchem Reifegrad sich die IT-Infrastruktur einer Organisation im Hinblick auf Cloud Security befindet.
Das Microsoft Cloud Security Readiness Tool gibt Aufschluss, auf welchem Reifegrad sich die IT-Infrastruktur einer Organisation im Hinblick auf Cloud Security befindet.
(© alphaspirit - Fotolia.com)

Das Cloud Security Readiness Tool wird von Microsoft seit Oktober 2012 kostenlos online zur Verfügung gestellt. Im Wesentlichen handelt es sich um einen Fragebogen mit 27 Fragen. Damit kann der IT-Verantwortliche, insbesondere in kleinen und mittleren Unternehmen, beurteilen, auf welchem Reifegrad sich die IT-Infrastruktur seiner Organisation im Hinblick auf Cloud Security befindet.

Diese 27 Fragen jedoch haben es in sich. Jede bezieht sich auf eine Ebene der Cloud Controls Matrix (CCM), die die Cloud Security Alliance (CSA) aufgestellt hat. Die Ebenen decken die Aspekte, um die sich die CSA kümmert, ab, also nicht nur Sicherheit, sondern auch Verfügbarkeit, Compliance usw.

Die unabhängige Non-Profit-Organisation Cloud Security Alliance erteilt unparteiische Ratschläge und gibt Empfehlungen, die auf Best Practices basieren. In diesem Sinne ist auch das CSRT aufzufassen. Es hilft unverbindlich, die Fragen zu beantworten: "Wo stehen wir im Hinblick auf Cloud Security, wo wollen wir im Zeitraum x sein und wie kommen wir dorthin?"

Der Antwortgeber wählt zunächst zwischen den Cloud-Services aus, die sein Unternehmen nutzt: IaaS, PaaS, SaaS - also Infrastruktur, Plattform oder Software as a Service? Er beurteilt selbst den Reifegrad seiner Cloud-Security, so etwa "Wir stehen am Anfang", wenn sich seine Organisation gerade daran macht, Cloud-Dienste in der IT-Infrastruktur zu nutzen. Ähnliches gilt, wenn bereits Cloud-Services erprobt im Einsatz sind.

Bildergalerie
Bildergalerie mit 6 Bildern

Die zehn Zentralbereiche, die das CSRT abdeckt, sind:

  • 1. Security Architecture
  • 2. Information Security
  • 3. Widerstandfähigkeit (Resiliency)
  • 4. Data Governance
  • 5. Release Management
  • 6. Operations Management
  • 7. Risk Management
  • 8. Human Resources Security
  • 9. Facility Security
  • 10. Rechtsfragen

Die 27 Antworten, die der IT-Verantwortliche eingibt, landen in einem vertraulich gehandhabten Report. Dieser gibt mit Hilfe der Empfehlungen der CSA in der Cloud Control Matrix detaillierte Auskunft über den Reifegrad des jeweiligen Unternehmens in den verschiedenen Bereichen. So wird beispielsweise der wichtige ISO-Standard 27001-2005 auf Beachtung, Einhaltung bzw. Implementierung geprüft. Ist das nicht oder nur unvollständig der Fall, empfiehlt der Report die schrittweise Umsetzung der im ISO-Standard empfohlenen Sicherheitsfunktionen. Das gleiche gilt für Standards wie PCI/DSS in der Handhabung von Kreditkartendaten oder hinsichtlich HIPAA, wenn es um Daten aus dem Gesundheitswesen geht.

Nutzen und Vorteile

Anhand des Reports erfährt der IT-Verantwortliche, auf welchem Level er und sein Personal hinsichtlich Richtlinieneinführung und -umsetzung stehen, welche wirksamen oder unwirksamen Hardware-Mechanismen seine IT schützen, ob Datenschutz gemäß einer maßgeblichen Norm beachtet und überwacht wird, ob die Infrastruktur hochverfügbar ist (einschließlich Datensicherung und -wiederherstellung) sowie Inventarverwaltung und Risikobewertung. Allein schon die Erhebung solcher Daten kostet, wie zahlreiche ISO-Zertifizierungsverfahren gezeigt haben, mitunter eine geraume Zeit und kann einen bedeutenden Aufwand für alle Beteiligten darstellen.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Ergebnisse

Die Ergebnisse von 5700 anonymisierten Befragungen zeigten nach sechs Monaten (Stand: März 2013) nach Angaben von Microsofts Security Manager Jeff Jones, dass "die meisten Organisationen in fast allen der zehn Kontrollbereiche, die der CSRT abdeckt, relativ unreif sind." Es fiel auf, dass der einzige Bereich, in dem alle Organisationen gut abschnitten, die Implementierung von Antiviren-Software und Firewalls war.

Vier weitere Bereiche sahen nicht allzu schlecht aus ((vgl. Balkengrafik Abb. 3)), wenn es um die Erreichung der vorgegebenen CSA-Metrik geht. So ist die Sicherheitsarchitektur durch die Synchronisation der Systemuhren der vernetzten PCs - eine dringende Empfehlung der CSA - robuster gegen Angreifer, die zu kapernde PCs ausfindig machen wollen, die zeitlich hinterherhinken, etwa beim Patch Management.

Auch beim physischen Gebäudeschutz durch Zugangskontrolle (mit Chipkarten-Ausweisen usw.) hatten die Antwortgeber bereits erheblichen Fortschritt gemacht. Aber das hat nicht unbedingt etwas mit der Cloud-Nutzung zu tun. Ein Großteil der 27 Fragen lag weit unter dem Soll, einmal sogar um 52,4 Prozent.

Recht und Datenschutz

Wie aus den zehn Zentralbereichen hervorgeht, involviert der Gang in die Cloud in den Augen der Cloud Security Alliance nicht nur die technischen Bereiche wie etwa den IT-Betrieb, den Umgang mit und Schutz von Daten. Sondern dazu gehören ganz wesentlich auch die Abdeckung von Rechts- und Personalfragen. Wem gehören beispielsweise die Daten, wenn sie auf einem Server in einem Rechenzentrum irgendwo auf der Welt abgelegt worden sind? Welchen rechtlichen Status müssen die Personen haben, die darauf zugreifen dürfen?

Der Report zeigt nach Ansicht von Jeff Jones, dass genau hier die Schwachpunkte vieler befragter Organisationen liegen:

  • 1. Personalverwaltung: Nur Personen, die die Richtlinien umsetzen können, sollten eingestellt werden;
  • 2. IT-Betrieb: wirksame Kapazitätsplanung wird vernachlässigt;
  • 3. Informationssicherheit durch konsistentes Berichten über Vorfälle;
  • 4. rechtlicher Selbschutz durch Non-disclosure Agreements, also vereinbarte Schweigepflicht;
  • 5. IT-Betrieb: wirksame Wartung der Ausrüstung (Server, Netzwerk, Storage).

Schlussfolgerungen

Jeff Jones zieht aus den vorhandenen 5700 Antworten den grundlegenden Schluss, "dass sich viele Schwachstellen durch Einsatz von Cloud-Diensten beheben lassen". So kann etwa die Datensicherung in die Cloud ebenso stattfinden wie die Zuschaltung von IT-Kapazitäten aus der Cloud.

Dass Cloud-Umgebungen unbedingt auch Benutzerrollen, Zugriffsrechte und Richtlinienumsetzung involvieren, darf inzwischen als selbstverständliches Wissen vorausgesetzt werden. Allein, sie auch umzusetzen, erfordert ein erhebliches Maß an Kenntnissen eines Netzwerkadiministrators, über die nicht jedes kleine oder mittlere Unternehmen verfügt.

"Die Selbsteinschätzungsdaten, die uns Organisationen aus aller Welt gegeben haben", resümiert Jeff Jones, "weisen darauf hin, dass Cloud Computing das Potential besitzt, noch größeren Wert hinsichtlich Sicherheit zu bieten, als wir zuvor geschätzt hatten." Er weist darauf hin, dass gerade kleine Organisationen keinerlei IT-Abteilungen besitzen: "Sie verlassen sich auf die Auto-Update-Funktion ihrer Software."

Dass aber auch große Organisationen wie etwa Konzerne sich manchmal in einer falschen Gewissheit wiegen, sie hätten alle Aspekte bedacht. "In jedem Fall kann der CIO mit den Ergebnissen des CSRT zu seinem CEO gehen und auf die Schwachstellen hinweisen, etwa in der Personalpolitik oder der Zugangskontrolle, die auf den ersten Blick nichts mit IT zu tun zu haben scheinen."

Deutsches Pendant

In Deutschland gibt es nur einen vergleichbaren Report. Der IT-Cloud-Index Mittelstand wird vierteljährlich vom Beratungsunternehmen TechConsult mit Unterstützung von HP erstellt, allerdings nur für den Mittelstand. Damit wird der Reifegrad der mittelständischen Unternehmen ermittelt.

Fazit

Mit dem kostenlosen Online-Fragebogen des CSRT kann sich jedoch der IT-Verantwortliche anonym selbst ein Bild von der Cloud Security Readiness seiner IT machen, ohne dass die Antworten nach "draußen" dringen. Und da der Report mit Empfehlung einer unabhängigen Organisation wie der CSA bewerten wird, bekommt der Interessent auch keine unverlangten Angebote von bestimmten Herstellern oder Providern ins Haus geschickt.

(ID:42301927)