Suchen

IT-Sicherheit bei Cloud-Services Wie sicher ist die Cloud?

| Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Workloads werden immer häufiger in der Cloud laufen. Dies bestätigte die IDC-Studie Data Center Trends 2019. Häufig wird dabei gerne übersehen, dass bei Cloud-Lösungen die Unternehmensdaten auf fremden Servern liegen. Was ist bei der der Implementierung von Cloud-Diensten im Hinblick auf die IT-Sicherheit zu beachten?

Firmen zum Thema

Werden Cloud Services für Workloads von einem externen Dienstleister bezogen, kann man im eigenen Unternehmen dazu nur schwer Wissen aufbauen.
Werden Cloud Services für Workloads von einem externen Dienstleister bezogen, kann man im eigenen Unternehmen dazu nur schwer Wissen aufbauen.
(Bild: gemeinfrei / Pixabay )

Mit der voranschreitenden Digitalisierung nimmt auch die Inanspruchnahme von Cloud-Services zu. Für die Nutzung dieser Dienste sprechen zahlreiche Vorteile: eine schnelle Bereitstellung und hohe Skalierbarkeit gestatten eine extrem flexible und damit bedarfsgerechte Nutzung. Gleichzeitig versetzt es die Anbieter in die Lage, durch Skaleneffekte niedrigere Preise an Kunden weiterreichen zu können. Zudem bietet das Modell Pay-per-Use den Vorteil der Variabilisierung von Fixkosten.

Das klingt sehr spannend und vor allem überzeugend. Aber wo ist der Haken? Ein entscheidender Punkt, der in der Praxis von Führungskräften gerne übersehen wird: Mit der Migration in die Cloud, liegen die Daten nicht mehr auf den eigenen Servern, sondern auf denen eines externer Dienstleisters. Um den Fokus der IT-Security nicht aus den Augen zu verlieren ist es sinnvoll, sich vorab über einige Fakten Klarheit zu verschaffen.

Cloud-Migration mit Kontrollverlusten

Beim Wechsel in die Cloud gehört die IT-Security zu einem der dringlichsten Themen. Im eigenen Data Center überwachen und kontrollieren die Security-Teams jedes Detail, was in der Cloud dann obsolet wird. Denn im eigenen Data Center kommen meist spezielle Security-Appliances zum Einsatz, die der IT helfen, die Sicherheit zu gewährleisten.

Alte Gewohnheiten lassen sich nicht so schnell abstellen. Leider funktioniert das in der Cloud nicht mehr, da die Kunden von ihren Cloud-Providern für eine Vielzahl an Netzwerkströmen gar keinen Zugriff mehr erhalten. Auf diese Weise verbleiben den Security-Teams nur wenige Instrumentarien, um die IT-Sicherheit zu überwachen. Folglich kann IT-Sicherheit nicht direkt in die Cloud übertragen werden.

Trotzdem sind viele Unternehmen fast immer versucht, ihre bisherige Sicherheitsarchitektur in die Cloud mitzunehmen, anstatt aktiv an der Erhöhung der Cloud-Sicherheit zu arbeiten. Besser wäre es, Cloud-spezifische Sicherheitsfragen von Anfang an mit Cloud-spezifischen Sicherheitslösungen anzugehen. Wobei IT-Teams gerne vergessen, dass es bestimmte Probleme in der Cloud gar nicht gibt.

Zum Beispiel stellen Unternehmen in Data Center ihre Firewall vor alle Web-Properties und Anwendungen, um sich dann auf die Pflege eines einzigen Regelsatzes zu konzentrieren. In der Cloud sollte die IT-Security spezifisch für die jeweilige Anwendung ausgerichtet sein und zusammen mit der Applikation bereitgestellt, vollständig getestet und aktualisiert werden.

Richtlinien für Klassifizierungen und Freigaben

Letztlich ist in einer Sicherheitskette bei Cloud-Services immer der Mensch das schwächste Glied. Damit vertrauliche oder datenschutz-relevante Informationen nicht auf unsichere Plattformen abgelegt werden, muss eine entsprechende Klassifizierungs-Richtlinie die möglichen Freigaben klar definieren.

Dies erfordert eine Kategorisierung der Daten in folgende vier Stufen: öffentlich, intern, vertraulich und streng vertraulich. Die Unternehmen müssen dabei hinterfragen, ob streng vertrauliche Daten wie zum Beispiel innovative Betriebsgeheimnisse überhaupt in die Cloud gehören, um das Risiko eines möglichen Know-how-Verlusts gleich vorab durch Verzicht zu minimieren.

Zertifizierungen und Service-Level-Agreements (SLA)

Mittlerweile betreten auch kleinere Cloud-Anbieter den Markt mit oftmals günstigeren Lösungen. Kunden sollten diese Angebote daher hinsichtlich der Dimensionen Kompetenz, Standort, ausreichende Transparenz, mögliches Insolvenzrisiko sowie Seriosität kritisch hinterfragen.

Ein Indikator für ein bestimmtes Maß an Sicherheit sind Zertifizierungen wie zum Beispiel das Informationssicherheits-Management-System (ISMS) nach ISO 27001 oder der BSI-Grundschutz sowie die Einhaltung von technisch-organisatorischen Maßnahmen.

Ausreichend Zeit sollten Unternehmen in die Verhandlungen der Service-Level-Agreements (SLA) investieren, wofür die zu erbringenden Dienstleistungen anhand festgelegter Kennzahlen klar formuliert sind.

KPI für das Provider-Management

Im Zuge der Steuerung eines Cloud-Service-Providers sind verschiedene Key Performance Indicators (KPI) zu beachten, um die Leistung des Dienstleisters objektiver bewerten zu können. Neben den typischen Applikations-Indikatoren wie zum Beispiel Ausfallzeit, Latenzzeit oder Verfügbarkeit ist es angezeigt, eigene Kennzahlen im Hinblick auf die Cloud-Services zu vereinbaren.

Dazu gehören unter anderem die Anzahl der gemeldeten Security Incidents Major/Minor, Mean Time to Detect (MTTD), Mean Time to Resolve (MTTR) sowie Ergebnisse von Audits/Phishing-Tests. Des Weiteren empfiehlt es sich, auch eine Regelung zum sicheren und zeitnahen Löschen als auch regelmäßige Datensicherungen zu definieren.

Zudem sollten Verschlüsselungen (von Verbindungen, als auch bei Ablage von Daten) sowie Multi-Faktor-Authentifizierungen als Standard genutzt werden, um die Vertraulichkeit sowie Integrität der Daten zu schützen. Es empfiehlt sich, solche Technologien nicht nur intern, sondern auch beim Cloud-Service-Provider zu installieren.

Einbindung aller relevanten Interessengruppen

Im Vorfeld der Cloud-Implementierung sollten Unternehmen im Sinne einer Risikominderung Prozesse, Technologien als auch Mitarbeiter auf die anstehende Migration vorbereiten. Dafür eignen sich Instrumente der Dienstleister-Steuerung hinsichtlich eines Access-, Incident-, Change-, und Problem-Managements.

Während die IT insbesondere mit der technischen Anbindung, Einhaltung der SLA, Steuerung des Providers und Schnittstellen betraut ist, trägt die Informationssicherheit dazu bei, den Prozess der Datenübertragung zu kontrollieren. Enthalten Daten einen konkreten Personenbezug, ist auch der Datenschutz mit einzubinden.

Ergänzend müssen, falls bestimmte interne oder externe Vorgaben (zum Beispiel im juristischen Sinne) zu berücksichtigen sind, auch Mitarbeiter aus dem Bereich Corporate Governance und Compliance in Kenntnis gesetzt werden.

(ID:46385678)

Über den Autor