nobeastsofierce - Fotolia
Bei der Migration in Cloud die Sicherheit berücksichtigen
Die Cloud-Nutzung nimmt kontinuierlich zu und immer mehr Unternehmen setzen auf sie. Dabei darf aber die Sicherheit der dem Provider anvertrauten Daten nicht vernachlässigt werden.
Große und kleine Unternehmen sowie ihre Technologiepartner sehen sich heute einem ernsten Problem gegenüber: Es gibt aus wirtschaftlicher Sicht zahlreiche Gründe, die für eine Migration in die Cloud sprechen, aber oft ist dabei nicht klar, welche Auswirkungen das auf die Sicherheit der Anwendungen und Daten hat. Viele stellen sich deswegen die Frage, ob die Abläufe in einer Cloud-Umgebung zu Nachteilen im Bereich Sicherheit führen und ob sie bedeutend genug sind, um eine Migration zu verzögern oder sogar komplett zu verhindern? Was ist die beste Methode, um sich mit dieser wichtigen Frage und den durchaus berechtigten Sicherheitsbedenken zu beschäftigen?
In den meisten Fällen sind die Workflows in einer Cloud-Umgebung sicherer als im direkten Vergleich zu einem traditionellen On-Premises-Modell. Diese Aussage trifft aber nur dann zu, wenn alle dabei verwendeten Abläufe sorgfältig aufgesetzt und fehlerfrei implementiert wurden. Um für eine Sicherheit in der Cloud zu sorgen, müssen Unternehmen und ihre Partner drei Punkte kennen und verstanden haben. Nur so können Sie den Schutz Ihrer Daten in der Cloud sicherstellen.
Typische Probleme beim Umsetzen einer Cloud-Security-Strategie
Folgende Punkte sollten Sie bei der Planung Ihrer Cloud-Sicherheitsstrategie beachten:
Ein Wechsel in die Cloud alleine bedeutet noch nicht, dass eine Umgebung sicher ist
Die Cloud bietet ganz sicher viele Vorteile wie etwa die geographische Verteilung der Rechenzentren, erhebliche finanzielle und vor allem regelmäßig durchgeführte Investitionen in Hardware-Upgrades und in der Regel eine erweiterte physische Absicherung. Die Informationsseiten zum Thema Security vieler großer Cloud-Anbieter gehen meist sehr ausführlich auf die umfangreichen Aufwendungen ein, die sie in Sicherheitstests und Compliance-Fragen vornehmen. In der Regel beschreiben sie zudem die verschiedenen angebotenen Sicherheitsfunktionen wie Verschlüsselung, Monitoring, Audits und mehr.
Das ändert aber nichts daran, dass eine solide Sicherheitsstrategie aus mehr als nur einem Umstieg auf die Cloud bestehen muss. Das Thema Sicherheit muss bereits tief in den Bereich Deployment verankert werden, sonst sind alle diese Vorteile nur bedingt etwas wert oder werden unterminiert.
Das Thema Zusammenarbeit gestaltet sich höchst unterschiedlich, birgt aber immer Risiken
Die meisten Branchen erfordern zumindest ein Mindestmaß an Zusammenarbeit beziehungsweise Collaboration zwischen verschiedenen Partnern. In manchen Bereichen ist es mehr, in anderen weniger. Für eine Zusammenarbeit werden aber auch Vertrauen sowie ein Zugang zu wichtigen Informationen benötigt. Diese Bedingungen erhöhen aber zugleich das Risiko für alle Daten, die für die jeweiligen Teilnehmer einer wie auch immer gearteten Partnerschaft von Bedeutung sind.
Cloud-Security ist eine Kerndisziplin im Geschäftsalltag
Sicherheit in der Cloud ist nicht nur eine Aufgabe der IT-Abteilung, sondern betrifft das gesamte Unternehmen. Eine Migration in die Cloud erfordert deswegen eine Reihe von für einen Betrieb essentiellen Entscheidungen, die alle Geschäftseinheiten betreffen können. Dazu gehört zum Beispiel auch das Anbieter-Ökosystem, auf das das Unternehmen bisher vertraut hat und das sich nun meist verändert.
Früher war es üblich, IT-Sicherheit als rein technisches Thema zu behandeln, das außerhalb der direkten Kontrolle der Unternehmensführung erledigt werden konnte. Weil aber mittlerweile den meisten klar geworden sein dürfte, dass IT-Sicherheit zu den Kerndisziplinen in jedem Unternehmen gehört, muss das Thema Sicherheit auf alle Bereiche und nicht nur auf die Cloud ausgedehnt werden.
Eine effektive Cloud-Security-Strategie entwickeln
Um die geschilderten Probleme im Bereich Cloud-Sicherheit anzugehen, finden Unternehmen und ihre Partner im Folgenden mehrere Vorgehensweisen beschrieben, die sich in der Praxis bewährt haben.
Bedrohungsmodelle
Ein Bedrohungsmodell für ein Unternehmen wird genutzt, um die drei wichtigsten Pfeiler seiner IT-Sicherheitsstrategie zu definieren: Sie bestehen aus den Besitztümern, die geschützt werden sollen, den Gegnern, gegen die dieser Schutz benötigt wird sowie allen Angriffsflächen, gegen die Angreifer möglicherweise ihre böswilligen Attacken ausführen können. Das Bedrohungsmodell ist also die Basis für viele künftige Entscheidungen. Dazu gehören auch Überlegungen, wie Ressourcen verteilt werden sollen, wie sich Risiken im jeweiligen Geschäftsumfeld einschätzen lassen und sogar wie Erfolge definiert werden können.
Vertrauensmodelle
Im Gegensatz zu einem Bedrohungsmodell, das die Beziehungen zwischen einem Unternehmen und seinen Gegnern beschreibt, geht das Vertrauensmodell auf die Verbindungen zwischen einem Unternehmen und seinen Partnern ein. Dazu zählt zum Beispiel, warum einem bestimmten Anbieter Vertrauen entgegengebracht wird, wie dieses Vertrauen überprüft werden kann und wie es später auch wieder entzogen werden kann, falls dies nötig sein sollte.
Ein Vertrauensmodell ermöglicht es einem Unternehmen, fundierte Entscheidungen zu treffen, die sich auf die Bereiche Vertrauen, Zusammenarbeit und Zugang zu Informationen auswirken.
Definieren von Workflows
Jedes Unternehmen ist einzigartig und jeder Provider ist ebenfalls einzigartig. Das bedeutet, dass jegliche Beziehungen zwischen einem Unternehmen und seinem Partner ebenfalls einzigartig sind. Das ist wesentliche Grund für die Empfehlung, dass alle Abläufe und Bedingungen in der Geschäftsbeziehung zwischen dem Kunden und dem Anbieter individuell ausgearbeitet werden sollten. Ein guter Anfang ist hier das gemeinsame Festlegen bestimmter Kontrollmöglichkeiten.
Von besonders hoher Bedeutung beim Erstellen gemeinsamer Workflows sind kontinuierliche Anpassungen an die gefundenen Bedrohung- und Vertrauensmodelle sowie an Überlegungen aus Security-Sicht, die das einzigartige Verhältnis zwischen dem Unternehmen und seinem Provider definieren.
Eine Sicherheitsstrategie für die Cloud umsetzen
Unternehmen, die ihre Cloud-basierten Abläufe absichern wollen, müssen die Einstellungen ihrer Umgebung kontinuierlich auf fehlerhafte Konfigurationen überprüfen. Dazu gehört neben den detaillierten Bedrohungs- und Vertrauensmodellen als wichtigen Teilen ihrer Planungen auch das gesamte Deployment. Wo immer es nötig ist, müssen diese Abläufe in Zukunft weiter optimiert werden.
Jetzt ist der richtige Zeitpunkt, um abzuklären, was der Cloud-Provider in diesem Bereich anbieten kann und welche Maßnahmen die Kunden vornehmen müssen, um auf dieser Basis eine verlässliche Sicherheitsstrategie zu entwerfen. So lassen sich auch Risiken durch diese Zusammenarbeit besser erkennen und IT-Security als ein wesentliches Kernelement Ihrer Gesamtstrategie festlegen. Wenn Sie diese Aufgaben erledigt haben, dann werden viele Unsicherheiten beim Schutz Ihrer Daten in der Cloud verschwinden, so dass Sie die ja durchaus vorhandenen Vorteile der neuen Technik auch wirklich zum Vorteil Ihres Unternehmens einsetzen können.
