Article

Cloud-Risiken

Die Marktlage verstehen – die Anforderungen erfüllen

Miskonfiguration, Insiderbetrug oder Cyberangriffe durch Kriminelle sind nur einige der Bedrohungen, mit welchen Unternehmen in der Cloud konfrontiert werden. Hieraus können Risiken mit teilweise verheerenden Auswirkungen entstehen. Die Nichteinhaltung gesetzlicher und regulatorischer Anforderungen beispielsweise kann nicht nur immensen Vertrauensverlust bei Kunden nach sich ziehen, sondern auch mit Strafzahlungen geahndet werden.

Ein ganzheitliches Verständnis und eine geeignete Organisation für das Management von Cloud-Risiken ist essentiell für die Einschätzung der Bedrohungslage, die Bewertung von Risiken und die Festlegung sowie Umsetzung erforderlicher Schutzmaßnahmen.

 

Cyber Security in der Cloud

Eine umfassende Absicherung gegen Angriffe, sowie eine gute Vorbereitung zur Minimierung potenzieller Schadensauswirkungen sind im Rahmen einer Cloud Transition unabdingbar. Während dies in der klassischen Enterprise IT erschwert sein kann durch ein heterogenes Technologie-Portfolio, bieten Cloud Service Provider umfangreiche Cloud-native Funktionen für die Erkennung und (automatisierte) Behandlung von Angriffen sowie langjähriges Know-how im Sicherheitsmanagement.

Darüber hinaus übernehmen die Provider im Rahmen des „Shared Responsibility Models“ für einen Teil der Cloud Komponenten die Verantwortung für die Umsetzung des von ihnen festgelegten Sicherheitsniveaus. Dennoch verbleiben umfangreiche Verantwortlichkeiten für das Erkennen und Managen von Cloud Risiken bei Unternehmen, woraus sich einige Herausforderungen ergeben können:

  • Fehlendes Bewusstsein für Art und Umfang der aktuellen Nutzung von Cloud Technologien und die damit verbundenen Risiken
  • Mangelnde Transparenz über die Bedrohungslandschaft und aktuelle Angriffsvektoren in der Cloud
  • Unzureichende Steuerung von technischen und organisatorischen Maßnahmen zur Absicherung der Cloud sowie zur Minimierung der Auswirkungen von Angriffen

Der Mensch - ein Risikofaktor?

Der Mensch ist auch im Zeitalter der Cloud-Technologien ein fortwährender Risikofaktor für Unternehmen - ganz gleich, ob durch Böswilligkeit oder Fahrlässigkeit verursacht, geht ein Großteil von Sicherheitsvorfällen in der Cloud darauf zurück. Der Verlust von privilegierten Accounts, ermöglicht durch gestohlene Nutzerdaten durch z. B. Phishing-Attacken, gehört seit Jahren zu den größten Bedrohungen einer Cloud-Infrastruktur. Ebenso nehmen Fehlkonfigurationen aufgrund menschlicher Fehler hierbei eine immer größere Rolle ein.

Um diese Bedrohungen zu minimieren, sollten Unternehmen ein erhöhtes Bewusstsein für Sicherheit und Datenschutz in der Cloud für ihre Mitarbeitenden sicherstellen. Klare Vorgaben und Leitlinien für die Nutzung von Cloud können ebenso dabei unterstützen, Unsicherheiten abzubauen und das Sicherheitsniveau zu erhöhen. Nicht zuletzt sollten auch technische Maßnahmen implementiert werden, um Risiken aus menschlichem Fehlverhalten zu reduzieren, z. B.:

  • Erkennen von ungewöhnlichen Nutzeraktivitäten und (automatisiertes) Einleiten von Maßnahmen
  • Implementierung von Multi-Faktor-Authentifizierung zur Absicherung der Cloud-Umgebung auch im Falle von Passwort-Verlust
  • Überwachung von Änderungen zur Erkennung von fehlerhaften bzw. unsicheren Konfigurationen und (automatisierte) Umsetzung von Gegenmaßnahmen

 

Herausforderung Datenschutz

Die Einhaltung lokaler Gesetze und Vorschriften im Hinblick auf den Umgang mit personenbezogenen Daten ist in globalen Cloud Infrastrukturen eine zunehmende Herausforderung.

Die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) ist diesbezüglich eine der striktesten Regelwerke und hat das Ziel, den Datenschutz für EU-Bürger zu verbessern, deren Daten von Organisationen erhoben, gespeichert und verarbeitet werden. Der Geltungsbereich der Verordnung erstreckt sich auch auf Unternehmen, deren Geschäftssitz und Infrastruktur außerhalb der EU liegen, sofern diese Daten von EU-Bürgern speichern oder verarbeiten.

Unternehmen, die eine Transition in die Cloud planen, sollten deshalb den geografischen Standort der Infrastruktur der Cloud Service Provider bewusst auswählen. Darüber hinaus ist zu prüfen, welche Personen im Rahmen der vom Cloud Provider gesteuerten Betriebsprozesse Zugriff auf die vom Unternehmen gespeicherten personenbezogenen Daten erlangen können – hier sind ebenfalls Sub-Unternehmen und Partnerfirmen des Cloud Providers zu beachten. Nicht zuletzt können Verschlüsselungskonzepte und auch „Confidential Computing“ helfen, personenbezogene Daten vor unberechtigtem Zugriff zu schützen und die Anforderungen lokaler Datenschutz-Gesetze zu erfüllen.

 

Security Governance in der Cloud

Trotz eines steigenden Reifegrads in Bezug auf Technologie, Know-how und Umfang der Cloud-Nutzung kann der Einsatz von Cloud für Security Abteilungen von Unternehmen herausfordernd sein. Auch bei der Auslagerung von IT-Services an einen Cloud-Anbieter bleiben Unternehmen zu jeder Zeit für Security Governance, Risk und Compliance verantwortlich. Eine Security Governance als umfassende Organisation aus Prozessen, Regularien und Technologien sollte daher die Umsetzung von sicherheitsbezogenen Unternehmenszielen im Cloud-Kontext steuern. Die Security Governance sollte dabei eigens für die individuelle Cloud-Nutzung angepasst werden, da sich sowohl die Sicherheits- und Datenschutzanforderungen als auch entsprechende Lösungen und Maßnahmen für deren Umsetzung im Kontext Cloud deutlich von bestehenden On-Premises-Lösungen unterscheiden können.

Ein zentraler Baustein der Security Governance ist das IT- bzw. Informationssicherheits-Risikomanagement. Hier ist zu ermitteln, welche Daten und Werte in den Verantwortungsbereich des Unternehmens fallen und vor Bedrohungen zu schützen sind.

 

Wesentliche Handlungsempfehlungen

  • Als Grundlage für das erfolgreiche Erkennen und Behandeln von Cloud Risiken muss ein Bewusstsein über die vorhandene Bedrohungslandschaft unter Berücksichtigung des individuellen Unternehmenskontext sowie der spezifischen Cloud Nutzung erfolgen.
  • Menschliches Fehlverhalten ist ein wesentlicher Risikofaktor und sollte durch geeignete Maßnahmen erkannt und reduziert werden; Sensibilisierungsmaßnahmen und (automatisierte) Leitlinien können das Sicherheitsniveau nachhaltig verbessern.
  • Nationale Datenschutz-Anforderungen sind im Vorfeld einer Cloud Transition zu bewerten und bei der Auswahl der Provider sowie dem Design von Cloud Services zu berücksichtigen.
  • Die Security Governance sollte für die Cloud angepasst werden; Kontrollen und technische Maßnahmen, aber auch die organisatorische Steuerung von Sicherheit und Datenschutz müssen Cloud-Spezifika berücksichtigen.