Was kann passieren, wenn Unternehmen auf eigene Faust entlang eines IT-Sicherheits-Frameworks wie zum Beispiel NIST loslegen? Oft entstehen Flickenteppiche, deren Komplexität kaum noch zu managen ist. Deshalb entwickeln wir mit unseren Kunden eine vollständig integrierte Sicherheitsarchitektur, die dem Leitgedanken „Security by Default“ folgt. Damit sind Unternehmen, die den Schritt in die Cloud gehen, auf der sicheren Seite.
2 Hacks and Attacks: Cloud versus On-Premises
Hacker greifen aus unterschiedlichen Motivationen heraus Unternehmen, Staaten und immer häufiger kritische Infrastrukturen an. Die Ziele sind vielfältig. Meist geht es darum, sensible Informationen, Daten und Identitäten zu stehlen oder durch unbefugtes Eindringen Veränderungen vorzunehmen. Dabei spielt es keine Rolle, wo die begehrten Daten gehostet werden: On-Premises im eigenen Rechenzentrum oder in der Cloud.
Da Hacker in der Regel über ein umfangreiches Wissen verfügen und sich Trends schnell anpassen, konzentrieren sie heute ihre Angriffe auch verstärkt auf Cloud-Services, um sich Zugriff auf sensible Daten zu verschaffen. Laut dem Verizon Data Breach Investigation Report 2020 wurden in mehr als 80 Prozent der Fälle gestohlene oder mit der Brute-Force-Methode geknackte Passwörter verwendet. Heißt das, die Cloud ist doch böse? Nein, Unternehmen müssen nur gut vorbereitet sein.
3 Gefahren abwehren: Wir gehen in die Cloud!?
Fatal ist die Einschätzung vieler Unternehmen, wenn es um die Gewährleistung der Sicherheit für die eigenen Unternehmenswerte in Form von Daten geht. Wir gehen in die Cloud und sind alle Sorgen um die IT-Security los? Irrtum, wenn man einen Blick auf die Verantwortlichkeiten von Cloud Provider und Cloud-Kunde wirft. Für Cloud Security sind beide Parteien verantwortlich. Das heißt, Cloud-Kunden müssen auf der Client-Seite für umfassende Sicherheit sorgen.
So ist der Cloud-Kunde für die Datensicherheit und Einhaltung gesetzlicher Vorgaben verantwortlich, steuert den Zugriff, schützt Identitäten und Daten und entwickelt auf Basis der Konfiguration von beispielsweise Microsoft Cloud-spezifische Sicherheitsrichtlinien.
Hand in Hand: Im Gegenzug lässt sich Microsoft als Provider regelmäßig auditieren und zertifizieren, stellt Reports zur Verfügung, betreibt und wartet die physischen Ressourcen wie Hosts, Netzwerk, Rechenzentrum. Wichtig zu wissen: Je nach Bereitstellungsmodell – SaaS, PaaS oder IaaS – ändern sich die Verantwortlichkeiten. Vertragliche Regelungen zwischen Anbieter und Kunde schaffen hier Klarheit.
4 Trotz Maßnahmen und geteilter Verantwortung – können Unternehmen Cloud-Services trauen?
Wir sagen klar: ja! Denn Cloud Security hat heute einen hohen Stellenwert und steht für Kunden als auch für die Provider von Cloud Services an erster Stelle. Die Maßnahmen der Cloud Security bestehen aus einem Set von Regeln, Prozessen und technischen Lösungen, die sicherstellen, dass gesetzliche Vorgaben eingehalten werden. Sie schützen die Infrastruktur der Cloud und deren Anwendungen, damit Daten sicher verarbeitet und gespeichert werden können.
Die Einhaltung der gesetzlichen Vorschriften wird ebenso durch Cloud-Lösungen erleichtert. 35 Prozent der Unternehmen hatten in den vergangenen fünf Jahren mindestens einen Compliance-Verstoß zu verzeichnen, mit fatalen Folgen: Reputationsverluste, finanzielle Schäden, Produkt-/Qualitätsmängel, Kundenverlust. Darüber hinaus gibt es weiterhin großen Handlungsbedarf zur Umsetzung der DSGVO. Bei der Migration in die Public Cloud werden die Unternehmensdaten in einer Compliance-zertifizierten Umgebung geschützt. Das heißt, die Anwendungen in der Cloud, die bereitgestellt werden, entsprechen den gesetzlichen und Compliance-Anforderungen. Das schafft Vertrauen.
Unser Credo bei Cloud-Projekten lautet deshalb: Nie ohne Security. Generell ist es ratsam, bei Cloud-Projekten – unabhängig davon, ob es sich um die Migration in die Public oder Private Cloud handelt – die Security schon in der Planungsphase mit ins Boot zu holen. Der Ansatz „Security by Default“ hat sich längst bei der Entwicklung von IT-Produkten bewährt und ist in IT-Projekten ebenso hilfreich. Das bedeutet in der Praxis: alle Fachbereiche mit ins Projekt einbinden, die Anforderungen definieren und sich entlang eines Fragenkatalogs ein umfassendes Bild machen, wie das Unternehmen aufgestellt ist.
5 Umfassende Sicherheitsanalyse im Vorfeld klärt Handlungsbedarfe
Das Gesamtbild entsteht auf Basis eines IT-Security Assessments, in dem wir gemeinsam mit dem Kunden herausarbeiten, wo die größten Schwachstellen liegen und wo der höchste Bedarf an Sicherheit ist. Auf Basis der CIS Controls werden 20 Bereiche unter die Lupe genommen und genau analysiert. Dazu zählen unter anderem die physikalische Sicherheit des Rechenzentrums, die Klassifizierung und der Zugriff auf die Daten, die Datensicherheit, das Management von Berechtigungen sowie der Schutz des E-Mail-Verkehrs vor Viren, Würmern und Trojanern.
Unsere umfassende Sicherheitsanalyse kurz zusammengefasst: alles zum gegenwärtigen Zustand erfahren, ihn bewerten, konkrete Handlungsfelder aufzeigen und geeignete Maßnahmen für mehr Sicherheit finden. Anhand einer Grafik wird deutlich sichtbar, wo Handlungsbedarf besteht – weil entweder die IT-Sicherheit gravierende Mängel aufzeigt oder die Compliance-Anforderungen der Branche nicht erfüllt werden. Aus den Hausaufgaben im Anforderungskatalog ergeben sich die Handlungsfelder und eine Roadmap, die wir mit den Kunden in seiner individuellen Cloud-Umgebung direkt angehen und umsetzen.
Die Maßnahmen reichen von der Entwicklung der Datenklassifizierung für Dokumente (public, internal, confidential oder nur personenbezogene Einsicht erlaubt) bis zur Vergabe für Zugriffe und Berechtigungen, Reporting, Auditing und Monitoring.
Wenn die Klassifizierung steht, geht es um das Handling in der Cloud: Wo werden Dokumente und Daten abgelegt und wie kann in diesem Zusammenhang die Klassifizierung auch verlässlich umgesetzt werden? Wie wird sichergestellt, dass Dokumente in der richtigen Kategorie abgelegt werden und eine Confidential-Klassifizierung nicht geteilt wird: in der Cloud ablegen ja, aber teilen nein.
6 Conditional Access – nur ein Aspekt für den Schutz von Daten
Ein weiterer Sicherheitsaspekt, der mit dem Kunden gemeinsam erarbeitet wird, ist die Definition einer Architektur für den Zugriff auf Daten, die in der Cloud gespeichert, geteilt und verarbeitet werden. Die wesentlichen Fragen sind: Wer darf zugreifen – nur von intern oder auch von extern, Partner, Lieferanten oder andere Player im Unternehmens-Ecosystem? Von wo aus darf der Zugriff erfolgen – nur vom Laptop oder Smartphone im Firmennetzwerk oder auch von privater Hardware aus dem Homeoffice?
Wenn geklärt ist, wer von wo aus auf welche Daten zugreifen darf und wie diese geschützt werden müssen, kommt das Monitoring und Reporting ins Spiel: Ist es nachvollziehbar, wer auf welche Daten zugegriffen hat? Von wo aus wurde zugegriffen? Stimmen die Berechtigungen oder wurde eine Berechtigung kompromittiert? Beispiel Maschinenbau: In dieser Branche bestehen häufig Exportkontrollen, die vorgeben, aus welchen Ländern ein Zugriff auf bestimmte Daten erfolgen darf. Das bedeutet, dass auch nachvollziehbar sein muss, wer aus einem Land auf Daten zugreift, aus dem der Zugriff nicht erlaubt ist. Hat die Cloud Security einmal Zweifel, ob ein Zugriff legitim erfolgte oder nicht, so kann automatisiert eine weitere Schutzmaßnahme, beispielsweise die Multi-Faktor-Authentifizierung, angefordert werden. Diese sichert den Zugriff zusätzlich ab. Dieser Ansatz des Conditional Access ist für Unternehmen ein Muss, um den Schutz der Unternehmens-Assets, also der Daten, zu gewährleisten.
Zusammengefasst: Die Vorteile der Cloud-Lösung stehen heute außer Frage. Unternehmen können wesentlich schneller agieren und agiler arbeiten als je zuvor. Aber die Sicherheit muss oberste Priorität haben und das heißt, alle relevanten