"Microsoft Cloud Security Readiness Tool " (CSRT)

Unabhängige Bewertung des Cloud-Security-Reifegrads

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

Nutzen und Vorteile

Anhand des Reports erfährt der IT-Verantwortliche, auf welchem Level er und sein Personal hinsichtlich Richtlinieneinführung und -umsetzung stehen, welche wirksamen oder unwirksamen Hardware-Mechanismen seine IT schützen, ob Datenschutz gemäß einer maßgeblichen Norm beachtet und überwacht wird, ob die Infrastruktur hochverfügbar ist (einschließlich Datensicherung und -wiederherstellung) sowie Inventarverwaltung und Risikobewertung. Allein schon die Erhebung solcher Daten kostet, wie zahlreiche ISO-Zertifizierungsverfahren gezeigt haben, mitunter eine geraume Zeit und kann einen bedeutenden Aufwand für alle Beteiligten darstellen.

Die Ergebnisse

Die Ergebnisse von 5700 anonymisierten Befragungen zeigten nach sechs Monaten (Stand: März 2013) nach Angaben von Microsofts Security Manager Jeff Jones, dass "die meisten Organisationen in fast allen der zehn Kontrollbereiche, die der CSRT abdeckt, relativ unreif sind." Es fiel auf, dass der einzige Bereich, in dem alle Organisationen gut abschnitten, die Implementierung von Antiviren-Software und Firewalls war.

Vier weitere Bereiche sahen nicht allzu schlecht aus ((vgl. Balkengrafik Abb. 3)), wenn es um die Erreichung der vorgegebenen CSA-Metrik geht. So ist die Sicherheitsarchitektur durch die Synchronisation der Systemuhren der vernetzten PCs - eine dringende Empfehlung der CSA - robuster gegen Angreifer, die zu kapernde PCs ausfindig machen wollen, die zeitlich hinterherhinken, etwa beim Patch Management.

Auch beim physischen Gebäudeschutz durch Zugangskontrolle (mit Chipkarten-Ausweisen usw.) hatten die Antwortgeber bereits erheblichen Fortschritt gemacht. Aber das hat nicht unbedingt etwas mit der Cloud-Nutzung zu tun. Ein Großteil der 27 Fragen lag weit unter dem Soll, einmal sogar um 52,4 Prozent.

Recht und Datenschutz

Wie aus den zehn Zentralbereichen hervorgeht, involviert der Gang in die Cloud in den Augen der Cloud Security Alliance nicht nur die technischen Bereiche wie etwa den IT-Betrieb, den Umgang mit und Schutz von Daten. Sondern dazu gehören ganz wesentlich auch die Abdeckung von Rechts- und Personalfragen. Wem gehören beispielsweise die Daten, wenn sie auf einem Server in einem Rechenzentrum irgendwo auf der Welt abgelegt worden sind? Welchen rechtlichen Status müssen die Personen haben, die darauf zugreifen dürfen?

Der Report zeigt nach Ansicht von Jeff Jones, dass genau hier die Schwachpunkte vieler befragter Organisationen liegen:

  • 1. Personalverwaltung: Nur Personen, die die Richtlinien umsetzen können, sollten eingestellt werden;
  • 2. IT-Betrieb: wirksame Kapazitätsplanung wird vernachlässigt;
  • 3. Informationssicherheit durch konsistentes Berichten über Vorfälle;
  • 4. rechtlicher Selbschutz durch Non-disclosure Agreements, also vereinbarte Schweigepflicht;
  • 5. IT-Betrieb: wirksame Wartung der Ausrüstung (Server, Netzwerk, Storage).

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42301927 / Risk Management)