Startseite > Office & Kommunikation > Spagat zwischen Sicherheit und Compliance meistern

Cloud Security

Spagat zwischen Sicherheit und Compliance meistern

4. Mai 2018, 13:19 Uhr | Autor: Hauke Moritz / Redaktion: Axel Pomper

Cloud-Services für geschäftskritische Prozesse müssen Sicherheit und Datenschutz gewährleisten. Das ist angesichts zunehmender Cyberkriminalität keine leichte Aufgabe, lässt sich aber mit der richtigen Planung bewältigen.

Die umfassende Vernetzung und Digitalisierung von Geschäftsprozessen hat dafür gesorgt, dass sich die Nutzung von Cloud-Angeboten auch in deutschen Unternehmen durchsetzt. Die unbestrittenen Vorteile, wie höhere Flexibilität und Skalierbarkeit, bringen aber höhere Komplexität in Sachen Security und Compliance mit sich. Denn in Zeiten steigender Cyberkriminalität stellt die Sicherheit in der Cloud eine große Herausforderung dar, insbesondere bei Public-Cloud-Plattformen, da diese durch ihren öffentlichen Charakter eine größere Angriffsoberfläche aufweisen. Zusätzlich gilt es, auch die Compliance nicht aus den Augen zu verlieren und neue Regularien wie die EU-Datenschutz-Grundverordnung (EU-DSGVO) einzuhalten.

Doch damit nicht genug: Zu diesen Herausforderungen gesellen sich Missverständnisse und fehlendes Wissen in den Unternehmen. So glauben laut einer Studie von Veritas Technologies mehr als zwei Drittel der Befragten, dass die Verantwortung für Datensicherheit, Datenschutz und Compliance vollständig beim Cloud-Provider liegt. Fakt ist allerdings, dass der Provider nur die Infrastruktur, Plattform oder Software als Service bereitstellt. Um die Sicherheit der verarbeiteten Daten muss sich jedes Unternehmen selbst kümmern. So wird schnell klar: Um diese Anforderungen zu bewältigen, benötigen Unternehmen eine durchdachte Cloud-Security-Strategie.

Zuständigkeiten klar definieren

Die Zuständigkeiten von Provider und Unternehmen werden zwar in der Regel bereits in den Verträgen mit den Cloud-Providern beschrieben, sollten aber zusätzlich besprochen werden, um mögliche Missverständnisse zu vermeiden. Insbesondere dann, wenn ein Unternehmen weitere Dienstleister für die Verwaltung der Cloud hinzuzieht, sind klare Abgrenzungen unerlässlich.

Voraussetzung dabei ist, dass Unternehmen sich vergegenwärtigen, für welche Bereiche sie selbst zuständig sind. Meist ist das alles, was nicht in die grundlegenden, übergreifenden Services des Cloud-Providers fällt: Für Infrastructure-as-a-Service-Angebote sind das zum Beispiel die Sicherheit in den Bereichen Dateninhalte, Anwendungen, Plattformen und Betriebssysteme, Netzwerk- und Datenverschlüsselung, Schutz des Netzwerkverkehrs, Zugriffsschutz und die Sicherheit von privilegierten Accounts.

Die Strategie

Die Grundlage jeder Cloud-Strategie ist die Zielsetzung: Für welche digitalen Angebote soll die Cloud eingesetzt werden? Technisch ist nahezu alles möglich, weshalb der Blick auf die Anforderungen des Endanwenders bei der Entwicklung neuer Services im Vordergrund steht. Steht das Servicedesign fest, müssen die Sicherheitsanforderungen festgestellt werden. Dabei spielen, je nach Unternehmen, unterschiedliche Anforderungen eine Rolle. Ebenso muss ein passendes Betriebskonzept gefunden werden, das später eine einfache Übergabe des Service in den Betrieb ermöglicht. Eine sichere Cloud-Strategie ist dabei keine Einzeldisziplin einer Abteilung, sondern resultiert aus dem Zusammenspiel mehrerer Experten. So erfordert das „DevSec Ops“-Modell, dass alte Silo-Strukturen aufgebrochen werden und die Bereiche Digital Business, Office-IT/Production-IT und Security Hand in Hand arbeiten, um einen Cloud-Service anbieten und sicher betreiben zu können.

Dabei werden sich Anforderungen und Aufgaben der Mitarbeiter verändern müssen, denn Unternehmen haben heutzutage keine Zeit mehr, neue Lösungen im klassischen Wasserfallmodell in aufeinander folgenden Projektphasen zu entwickeln, sondern müssen schnell und flexibel neue Services ausrollen, bei denen die Sicherheit bereits inkludiert ist.

Dementsprechend ändern immer mehr Unternehmen ihre internen Strukturen und Zuständigkeiten, um eine Ende-zu-Ende-Verantwortung für digitale Services zu schaffen. Alternativ werden eigene Unternehmen gegründet, die diese Aufgaben übernehmen.