Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Spagat zwischen Sicherheit und Compliance meistern

Cloud Security

Spagat zwischen Sicherheit und Compliance meistern

4. Mai 2018, 13:19 Uhr | Autor: Hauke Moritz / Redaktion: Axel Pomper
Fortsetzung des Artikels von Teil 1

Den Status feststellen

Wer ist für welchen Teil der Cloud-Security verantwortlich?
Wer ist für welchen Teil der Cloud-Security verantwortlich?
© Computacenter

Nachdem die Anforderungen ermittelt wurden, folgt die Analyse des aktuellen Security-Status. In hybriden Cloud-Infrastrukturen bedeutet das, zu prüfen, welche bestehenden Sicherheitsmaßnahmen sich auf die Cloud erweitern lassen. Sinnvoll ist es außerdem, eine Übersicht der genutzten Cloud-Anwendungen zu erstellen, insbesondere zur Erfassung und Regulierung der Schatten-IT. Denn in vielen Unternehmen nutzen Fachabteilungen ohne Wissen der IT bereits Cloud-Services, um ihre Aufgaben schneller und effizienter zu erledigen. Da diese jedoch in der Regel nicht durch die eingesetzten Security-Maßnahmen des Unternehmens abgesichert sind, lauern hier erhebliche Sicherheitsgefahren.

Wer Platform as a Service (PaaS) oder Software as a Service (SaaS) nutzen möchte, sollte folgende Bereiche prüfen: Identitäts-, Lifecycle-, Access-, Schlüssel- und Log- Management, Cloud-Anti-Malware, Container- und Datenverschlüsselung, Audit und Compliance sowie Data Loss Prevention. Bei Infrastructure as a Service (IaaS) kommen außerdem Netzwerksicherheit, DDoS-Schutz, Schwachstellen-Management, Load Balancing und Web Application Firewall hinzu.

Risiken einschätzen

Neben der Ermittlung von Security- und Compliance-Anforderungen müssen Unternehmen auch das Risiko einer Cloud-Nutzung analysieren. Wer darf auf welche Dienste für welche Zwecke zugreifen? Was kann im schlimmsten Fall geschehen, wenn die Identifizierungs- und Authentifizierungsmaßnahmen umgangen werden?

Um zuverlässige Aussagen über die Gefahren der Cloud-Nutzung zu erhalten, sind Risiko-Assessments sinnvoll. Diese bewerten für jeden neuen digitalen Service das Sicherheitsrisiko in Abhängigkeit von der genutzten Cloud-Plattform, bevor der Service produktiv
geschaltet wird. Auf dieser Basis lässt sich entscheiden, wie mit den festgestellten Risiken umgegangen wird – ob zum Beispiel eine andere Cloud-Plattform verwendet oder der Service doch besser in der eigenen Umgebung aufgebaut wird. Zusätzlich sollten Unternehmen bestehende Services einer regelmäßigen Risikoanalyse unterziehen oder idealerweise Konzepte implementieren, die eine Risikobewertung in Echtzeit ermöglichen.

Inzwischen setzen fast alle großen Provider umfassende und zuverlässige Sicherheitsmaßnahmen für ihre Dienste ein. Dennoch lohnt sich ein Blick ins Kleingedruckte, insbesondere bei speziellen Anforderungen wie etwa einer Datenspeicherung in Deutschland aufgrund entsprechender Compliance-Anforderungen. Dies kann zum Beispiel bei sensiblen Daten von Behörden oder Finanzdienstleistern gefordert sein. Auch die Einhaltung verschiedener Sicherheitsstandards wie ISO 27018 oder des Cloud Security Alliance Frameworks sollte sicherheitshalber bei jedem potenziellen oder aktuellen Cloud-Partner angefragt werden. Natürlich dürfen Sicherheitsmaßnahmen weder die Flexibilität der Cloud-Plattformen noch deren einfache Benutzung oder die Performance beeinflussen. Die gute Nachricht ist, dass sich diese Anforderung leicht erfüllen lässt und Unternehmen dazu sogar bereits bestehende Sicherheitskonzepte und -lösungen in der Cloud weiter nutzen können. Sie müssen meist nur um den „Faktor Cloud“ ergänzt werden. Die Maßnahmen können durch integrierte Cloud-Services erweitert werden, um Funktionen wie automatische Reaktionsfähigkeiten auf Vorfälle oder selbstständiges Entdecken und Melden von Anomalien zu optimieren. Auch ein flexibles Lizenzmanagement sowie eine eigenständige Auditierung und Compliance sind aufgrund der zunehmenden Komplexität und Skalierbarkeit wichtig.

Dies gilt nicht nur für die technischen Lösungen, sondern auch für die Mitarbeiter. So wird das bestehende Know-how des IT-Betriebs durch Cloud-Wissen erweitert. Ergänzend dazu finden neue Sicherheitskonzepte, die die Automatisierung und Orchestrierung von Sicherheit in den Vordergrund rücken, immer mehr Anklang. Teilweise werden damit alte Sicherheitsdisziplinen, wie der Prozess des Schwachstellen-Managements, vollständig abgelöst.

Die Sicherheitsanforderungen an Cloud-Infrastrukturen ändern sich im Vergleich zu klassischer Office-IT kaum. Mit einem Hybrid-Cloud-Ansatz sind Unternehmen bestens aufgestellt, dieser ermöglicht ihnen eine sanfte Migration hin zu Cloud-Services.

Hauke Moritz ist Lead Consultant Cloud Security bei Computacenter

Anbieter zum Thema

AvePoint Deutschland GmbH
WatchGuard Technologies
GoTo Technologies Germany GmbH
nexspace data centers GmbH
AixpertSoft GmbH
Matchmaker+
zu Matchmaker+
  1. Spagat zwischen Sicherheit und Compliance meistern
  2. Den Status feststellen
  3. Expertenkommentar: DSGVO geht alle etwas an
  4. Checkliste: Schritt für Schritt zur Hybrid-Cloud-Security

Lesen Sie mehr zum Thema

Computacenter AG & Co. oHG Viren-/Malware-Schutz Sicherheit Mobile Security Public Cloud
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Computacenter AG & Co. oHG

Neues Mitglied in der Geschäftsleitung

Knuth Molzen wechselt von T-Systems zu Computacenter

Transformation erfolgreich gemeistert

Lenovo zeichnet seine besten Partner aus

Strategische Neuausrichtung

Komsa will Device-as-a-Service-Geschäft beschleunigt ausbauen

Verantwortung für alle Services

Computacenter Deutschland ernennt neuen Geschäftsführer

Verstärker Fokus auf Öffentliche Hand

Computacenter mit vertrieblicher Doppelspitze im Public Sector

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Public Cloud

Pharia AI-as-a-Service

Souveräne KI-Komplettlösung von Aleph Alpha und Schwarz Digits

Business Backup-Cloud

Geschäftsdaten georedundant sichern mit M-net

Hybrid-Cloud-Security-Studie von Gigamon

Komplexität und Sichtbarkeitslücken als Risiken

Virtualisierung

Morpheus-Software ins HPE-Portfolio integriert

Erstes Quartal 2025

Ionos mit starkem Wachstum

Matchmaker+
d.velop AG

d.velop AG
KONZEPTUM GmbH

KONZEPTUM GmbH
elektrofachkraft.de

elektrofachkraft.de
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Dahua Technology GmbH

Dahua Technology GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH