Sergey Nivens - Fotolia

Die Rolle des CISOs bei der Nutzung von Cloud-Diensten

Bei der Einführung neuer Cloud-Dienste spielt der CISO eine wichtige Rolle, um auch bei komplexen Umgebungen die Sicherheit zu gewährleisten.

Es ist ein gängiges Missverständnis, das die Nutzung von Cloud-Diensten rein aus Budgetbeweggründen erfolgt. Das mag einst der primäre Grund gewesen sein, ist es aber längst nicht mehr. Laut einer SANS-Umfrage aus dem Jahr 2015 nennen Unternehmen Gründe wie schnelle Implementierung, Skalierbarkeit und eine zentrale Verwaltbarkeit in Sachen Compliance als entscheidend für Cloud-Projekte. Je mehr Workloads und Abläufe Unternehmen in die Cloud verlagern, desto wichtiger ist die Rolle der Sicherheit. Inzwischen werden zunehmend die Sicherheitsverantwortlichen bei Cloud-Entscheidungen miteinbezogen, wenngleich das dafür eingeplante Sicherheitsbudget meist eher noch zu gering ausfällt.

„Die Rolle des CISO muss sich ändern, und zwar von ,Richtlinien und Compliance' hin zu ,Richtlinien und Enablement'“, so Joey Jablonski, Vice President und leitender Architekt Big Data bei Cloud Technology Partners in einem Blogbeitrag aus dem Jahr 2015. Warum das so ist? Die Nutzung von Cloud-Diensten erfolgt mit oder ohne Einbeziehung der Sicherheitsverantwortlichen, da in der Wahrnehmung der Anwenderabteilungen die Vorteile gegenüber den Nachteilen überwiegen. Darüber müssen sich Sicherheitsverantwortliche im Klaren sein. Daher gilt es, die Haltung vom konsequenten Neinsager hin zu einem „Ja, aber lasst uns vorsichtig vorgehen“ zu ändern.

So nennen in einer SANS-Umfrage zu Hybrid-Rechenzentren 44 Prozent der befragten Unternehmen die mangelnde Transparenz im Hinblick auf die Netzwerkumgebung des Cloud-Anbieters als größte Herausforderung für die Cloud-Sicherheit. Dieses Thema zieht sich durch viele IT-Security-Bereiche „Wir wissen nicht, was wir nicht wissen“. Cloud Provider sind nicht verpflichtet über die Sicherheit ihrer Netzwerke Auskunft zu geben. Bevor Unternehmen die Entscheidung treffen, ihre Daten an einen Dritten oder dessen Infrastruktur zu übertragen, wäre diese Informationen jedoch hilfreich.

Der CISO benötigt Informationen, um eine risikobasierte Einschätzung geben zu können. In den meisten Unternehmen ist der CISO direkt mit der technischen Seite der Sicherheit befasst. In einer immer komplexer werden Technologielandschaft ist es die Aufgabe des CISO die undurchschaubaren Details in ein Konzept zu übersetzen, mit dessen Hilfe die Führungskräfte die bestmögliche Entscheidung treffen können.

Abbildung 1: Die mangelnde Transparenz im Hinblick auf die Infrastruktur des Cloud-Providers wird oftmals als Problem gesehen.

Die Nutzung fremder Infrastruktur oder die Auslagerung von Daten auf dieselbe birgt immer neue Risiken. Ist eine solche Entscheidung im Hinblick auf die Risikobewertung sinnvoll? Die Sicherheitsverantwortlichen sollten den Cloud-Anbieter im Hinblick auf die Sicherheitslösungen und Richtlinien bewerten. Abseits der reinen Angebots- und rechtlichen Bewertung, die ohnehin durch unterschiedliche Abteilungen stattfindet. Insbesondere bei IaaS- und - PaaS-Angeboten (Infrastruktur as a Service, Platform as a Service) muss die IT-Security jede Menge Input für das Design und die Implementierung liefern.

Die CISO-Migration in die Cloud

Ein großer Teil der notwendigen Vorgehensweise ist taktischer Natur, worauf sollte ein CISO sich also konzentrieren? Zunächst ist eine Schnittstelle zu der mit der Beschaffung beauftragten Abteilung unabdingbar. Hier gilt es sicher zu stellen, das die Sicherheitskriterien für die Cloud-Bereitstellung eingehalten werden. Welche Kontrollen sind erforderlich, basierend auf der Art der betroffenen Daten? Was wäre da etwa gemäß ISO 27002 die richtige Antwort? Zudem benötigt die Rechtsabteilung in der Regel Unterstützung im Hinblick auf die Risiken eines Datenverlustes oder Datendiebstahls, den Datenlebenszyklus sowie sonstigen die Sicherheit betreffenden Vertragsinhalte. Damit spielt der CISO eine entscheidende Rolle andere Abteilungen über die Sicherheits- und Compliance-Anforderungen an die Cloud-Lösungen aufzuklären.

Dabei kann sich die Lage nahezu beliebig komplex entwickeln, etwa wenn der Anbieter des Dienstes selbst wiederum Cloud-Leistungen eines Dritten für die Bereitstellung nutzt. Hinzu kommen gerade in Europa auch geografische Überlegungen im Hinblick auf die Rechenzentren sowie gesetzliche Vorschriften – Stichwort Datenschutz. Die Geschäftsführung kann oft einschätzen, wie die Cloud-Lösung zur Erreichung der Unternehmensziele beiträgt. Die Risiken, die mit dem Outsourcing von Infrastruktur und Anwendungen verbunden sind, werden jedoch oft nicht korrekt bewertet. Hier muss der CISO die Geschäftsführung über die sich ständig verändernde IT-Landschaften, etwa im Hinblick auf Virtualisierung, Container und Cloud-Technologie im Allgemeinen auf dem Laufend halten.

Zudem gilt es klarzustellen, was es mit den Security-as-a-Service-Angeboten auf sich hat. Diese können für die IT-Sicherheitsabteilung im Hinblick auf Verschlüsselung, Identitäts- und Schwachstellenmanagement eine sinnvolle Ergänzung der vorhandenen Werkzeuge sein.

Zusammenarbeit mit Fachabteilungen

Und damit zurück zu den Fachabteilugen, die, wie eingangs beschrieben, meist die treibenden Kräfte bei der Nutzung neuer Cloud-Dienste sind. Oftmals kommen Fachabteilungen mit Vorschlägen im Hinblick auf Cloud-Angebote, die reichlich Superlative enthalten. Unglaubliche Funktionen werden da geboten, die Implementierung ist kinderleicht und die Skalierbarkeit unbegrenzt.

Diese Begeisterung muss der CISO oft dämpfen, da es mit der Sicherheit bei manchen Cloud-Angeboten nicht weit her ist. Da sind dann zusätzliche Tools oder auch Dienste vonnöten, um sowohl internen als auch offiziellen Standards gerecht zu werden. Daher sollte der CISO in entsprechende Entscheidungen für Cloud-Dienste von Anfang an einbezogen werden. Auch um sicher zu stellen, dass bei der Kostenberechnung des Projektes der Anteil für Security entsprechend Berücksichtigung findet.

Das bedeutet, stets offen über die Risiken und zusätzlichen Kosten im Hinblick auf die Cloud-Nutzung zu kommunizieren. Beliebt macht man sich damit natürlich nicht immer, aber das hat für Sicherheitsverantwortlich ja bereits Tradition.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM.

Datenschutz-Grundverordnung: Die meisten Cloud-Apps sind nicht bereit.

 

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close