:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
C5-Cloud-Compliance per Register Wenn das BSI fünfmal klingelt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Kriterienkatalog „C5“ definiert, was einen sicheren Cloud-Service ausmacht. Jetzt gibt es auch Systeme, die in der Lage sind, die C5 Compliance strukturiert zu prüfen und zu gewährleisten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Informationssicherheit und Cloud-Services: ein potenzielles Minenfeld? Viele Unternehmen, insbesondere auch in sicherheitskritischen und regulierten Branchen, brauchen Gewissheit, bevor sie sich auf ein konkretes Cloud-Angebot verlassen. Um hier eine Leitlinie und einen Konsens zu schaffen, hat das BSI schon 2016 den Kriterienkatalog C5 veröffentlicht, der heute in der weitgehend überarbeiteten Version von 2020 vorliegt.
Er spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Dieser Katalog setzt sich am Markt zunehmend durch – sowohl auf der Anbieterseite als Qualitätsmerkmal als auch als Auswahlkriterium für Anwenderunternehmen:
C5 definiert nämlich Anforderungen für beide Seiten, also Anbieter und Anwender. Genauso wichtig aber, speziell für regulierte Branchen: C5 bildet die Grundlage, um ein kundeneigenes Risiko-Management durchführen zu können.
Die Verpflichtung
Tatsächlich sind zum Beispiel Banken und Versicherungen verpflichtet, für jeden Anwendungsfall umfangreiche Risiko-Analysen bezüglich Informationssicherheit, Datenschutz und Compliance vorzunehmen. Das ist zeitraubend und teuer und einer der wesentlichen Hinderungsgründe im Hinblick auf den Einsatz von Cloud-Diensten.
Gleichzeitig ist das schnelle „Onboarding“ von Cloud-Diensten aber eines der zentralen Argumente für den Weg in die Cloud. Der Weg aus diesem Dilemma liegt – überraschenderweise – in der Cloud: In einem zentralen Cloud-Use-Case-Register, das eine einheitliche Erfassung und Bewertung sämtlicher neuer Cloud Use Cases (Anwendungsfälle, Lösungen, Dienste).
Ein solches Tool, wie es zum Beispiel unter der Bezeichnung „Cloud Gate“ angeboten wird, unterstützt die Durchführung (regulatorisch) erforderlicher Risiko-Analysen mit digitalen Checklisten, die als Vorlagen inklusive Antwortoptionen bereits hinterlegt sind und die von allen Entscheidern parallel bearbeitet werden können. Es strukturiert zudem die Freigabe-Workflows, stellt volle Transparenz beim Fortschritt von Prüfung und Freigabe dar und gewährleistet durch kontinuierliche Protokollierung der einzelnen Prüf- und Freigabeaktivitäten Revisionssicherheit.
Ziel: Möglichst große Transparenz
Fehlende Transparenz ist bisher der größte Bremsklotz bei Anwendung der C5-Kriterien im Rahmen von Cloud-Einführungen – und gleichzeitig selbst ein Risiko. Zu leicht ist es, die Übersicht über alle Cloud-Anwendungen und ihren Status zu verlieren oder zu groß der Aufwand, diesen Überblick zu behalten, insbesondere wenn Fachabteilungen eigene Cloud-Projekte ohne den Weg über die IT anstoßen. Die Steuerung über eine zentrale, herstellerunabhängige Plattform stellt diese Übersicht her und beschleunigt allein schon dadurch das Onboarding die Nutzung neuer Cloud-Dienste erheblich.
Aber auch nach der Einführung ist ein Register wie Cloud Gate für den revisionssicheren Betrieb und zum Beispiel das Risiko-Reporting eine wertvolle Entlastung. Denn Risiko-Analysen und Reportings werden Workflow-basiert unterstützt, bekannte Risiken werden dokumentiert und können aktiv kontrolliert und minimiert werden.
Hier lauert eine Lücke, die oft übersehen wird und deren Beseitigung dem Ressourcenmangel zum Opfer fällt: Wenn Risiken identifiziert werden, muss die Umsetzung von Mitigationsmaßnahmen lückenlos begleitet und durch Erinnerungsfunktionen in der Wahrnehmung gehalten werden.
Wichtig für Provider und Kunden
Es gibt also gute Gründe für Anwender, die Einhaltung von Standards aus dem C5-Katalog ernst zu nehmen und mithilfe eines geeigneten Tools strukturiert zu steuern. Erheblich erleichtert wird das, wenn sich bereits Provider an diesen Kriterien orientieren. Deshalb ist C5-Compliance auf Anbieterseite ein überzeugendes Verkaufsargument. Doch auch Provider tun ebenfalls gut daran, ihre Konformität Tool-gestützt sicherzustellen und nachzuhalten.
Tatsächlich hat sich schon eine ganze Reihe von globalen und regionalen Anbietern wie die Deutsche Telekom ihre C5-Compliance bescheinigen lassen. Die Inhalte und Ergebnisse solcher Testate werden in Kürze für Cloud-Gate-Kunden zugeordnet zu den einzelnen C5-Kriterien über das Werkzeug abrufbar sein. Das erleichtert den Kunden dann insbesondere die Bewertung der eigenen C5-Kritierien im Zusammenhang mit einem dedizierten Cloud-Dienst.
Gerade für Banken und Versicherungen sind solche Anforderungen aus der Regulatorik bekannt. Ein Register lässt sich deshalb nicht nur für einen Prüfkatalog wie C5 einsetzen. Auch Prüflisten nach EIOPA, VAIT, KWG, BAIT und MaRisk sind verfügbar, um nur einige Beispiele zu nennen.
Ihnen allen gemeinsam ist: Cloud-Services sollen weder Treibsand noch Minenfeld sein, also keine unkontrollierbaren Risiken produzieren, auch wenn diese sich über die Zeit verändern. Gleichzeitig muss die Risikosteuerung durch Automatisierung so effizient sein, dass sie nicht den Tempovorteil der Cloud untergräbt. Ein digitales „Zentrales Cloud Register“ erleichtert diesen Spagat erheblich.
* Branimir Brodnik arbeitet bei der Microfin Unternehmensberatung.
(ID:48098037)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945572/original.jpg "Bei dem hochaktuellen Security-Ansatz „Zero Trust“ wird keinem Akteur, der Zugang zu Ressourcen oder Diensten im Netzwerk fordert, von vornherein vertraut. Stattdessen wird jeder Datenzugriff auf der Grundlage vorher festgelegter Richtlinien überprüft. (Yingyaipumi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1949800/1949853/original.jpg "Das neue eBook zu Zero Trust gibt einen umfassenden Überblick über das Security-Trendthema. (©Production Perig/AdobeStock, VIT)")