Den Weg in die Cloud mit mehr Sicherheit bestreiten

29. März 2021

Die Nutzung von Cloud Services gehört heute für viele Unternehmen zum Alltag. Durch die steigende Komplexität von Cloud-Umgebungen wird eine Überprüfung des IT-Sicherheitsniveaus in Unternehmen immer anspruchsvoller. Insbesondere, wenn es um die Verarbeitung von sensiblen Kunden- oder Unternehmensdaten in der Cloud geht, müssen auf Sicherheitsfragen fortlaufend aktuelle und nachhaltige Antworten gefunden werden – für viele Unternehmen eine große Herausforderung. Dr. Kai Schubert, usd Managing Consultant, begleitet Unternehmen schon seit vielen Jahren auf ihrem Weg in die Cloud. Wir haben nachgefragt, welche Sicherheitsgedanken – und -bedenken – ihn dabei besonders beschäftigen.

Kai, du bist Cloud-Security-Berater, gleichzeitig aber auch durchaus ein kritischer Beobachter von Cloud-Lösungen. Wie passt das zusammen?

Kai Schubert: Die Möglichkeiten von Cloud Computing faszinieren mich einerseits seit langem. Andererseits beschäftige ich mich, auch privat, noch viel länger mit Themen wie Privatsphäre und Datenschutz. In diesem Zusammenhang ist die Nutzung von Cloud Computing nach wie vor umstritten. Einer von vielen Gründen sind ungeklärte Rechtsfragen. Den Markt stark dominierende US-amerikanische Anbieter sind aufgrund des CLOUD Act verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Das widerspricht in Teilen europäischem Recht wie beispielsweise der Datenschutz-Grundverordnung (DSGVO). Ein konkretes Beispiel: für die private Kommunikation nutze ich Messenger wie Signal, die im Alltag meist einfacher und sicherer sind als E-Mails. Eine App wie Signal selbst nutzt jedoch die Cloud Services von Amazon, Microsoft und Google und wäre ohne diese in ihrer jetzigen Form kaum vorstellbar. Ich stehe dem Ganzen also mit einer gewissen Ambivalenz und kritischen Distanz gegenüber – beides hilft mir bei der produktiven Auseinandersetzung und Weiterentwicklung des Themas Cloud Security. Und es gehört zu meinem Selbstverständnis als unabhängiger Berater und Auditor, der unsere Kunden auf dem Weg in die Cloud begleiten und ihre Nutzung sicherer gestalten will.

Warum ist deiner Meinung nach der Sicherheitsgedanke beim Thema Cloud so wichtig?

KS: Die Anzahl unserer Kunden, die Cloud Computing als zentrale Technologie etablieren, steigt zunehmend. Bei den Cloud-Projekten wird aber oft nicht bedacht, dass das auslagernde Unternehmen immer für die Sicherheit der Daten und der dort betriebenen Anwendungen verantwortlich ist und bleibt. Dieses Missverständnis führt beispielsweise dazu, dass eine in der Cloud betriebene Anwendung zwar auf ihre Sicherheit überprüft wird, aber die Konfiguration der Cloud Services selbst nicht berücksichtigt wird und Schwachstellen somit unentdeckt bleiben. Angreifer können diese Schwachstellen dann ausnutzen, um die Kontrolle über die in der Cloud betriebene Umgebung und damit Zugriff auf sensible Daten zu erlangen. Dieser Angriffsvektor stellt ein enormes Risiko für Unternehmen dar.

Wie können sich Unternehmen vor diesem Risiko schützen?

KS: Wie bereits angesprochen, bleibt ein Unternehmen trotz Auslagerung für die Konfiguration der Cloud Services selbst verantwortlich, muss diese also selbst vornehmen. Darüber hinaus muss es bestehende technische und organisatorische Unternehmensprozesse anpassen oder gegebenenfalls sogar neu aufbauen. In regelmäßigen Abständen müssen die Cloud-Konfiguration und damit verbundene Prozesse außerdem auf Aktualität, Korrektheit und andere Sicherheitsaspekte überprüft werden. Bei all diesen Schritten müssen unterschiedliche Aspekte der IT-Security berücksichtigt werden. Dafür sind entsprechende Erfahrung und fachliches Know-how unbedingt notwendig.

Wie könnt ihr Unternehmen hier konkret unterstützen?

KS: Zum einen beraten wir Unternehmen, die eine Migration in die Cloud planen oder diese bereits vorgenommen haben, zu allen Fragen der IT-Sicherheit. Zum anderen führen wir nach Abschluss der Migration, bei Änderungen und idealerweise in regelmäßigen Abständen Sicherheitsprüfungen der Cloud-Umgebung durch. Zusammen mit dem Kunden bestimmen wir im Vorfeld einer jeden Prüfung die Prüftiefe und den -umfang anhand seiner Wünsche, Bedürfnisse und Risiken. In den letzten Jahren haben wir hierfür unterschiedliche Prüfverfahren entwickelt, mit denen wir frühzeitig Cloud-spezifische Risiken und Schwachstellen in der Konfiguration erkennen. So können wir die Einhaltung verschiedenster Vorgaben bei unseren Kunden sicherstellen – auch bei ihren Partnern und Dienstleistern. Wir orientieren uns bei all unseren Prüfungen an international anerkannten Sicherheitsstandards und Best Practices, wie z.B. den Benchmarks des Center for Internet Security (CIS). Zudem berücksichtigen wir Empfehlungen der Cloud Service Provider selbst und selbstverständlich die unternehmenseigenen Vorgaben unserer Kunden.


Sie haben Fragen zum Thema Cloud Security oder benötigen Unterstützung? Verschaffen Sie sich hier einen Überblick über unsere Cloud-Leistungen oder kontaktieren Sie uns. Wir helfen Ihnen gern.

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien