CyberCompare

Cloud-Security: Diese Maßnahmen sollten Sie im Blick haben

Nahezu alle unsere Kunden beschäftigen sich aktuell mit dem Thema Cloud – Inzwischen sind die Cloud-Dienste von Microsoft 365 meistens der Standard, größere Unternehmen wechseln zu Cloud-basierten Anwendungen wie zum Beispiel Salesforce CRM oder SAP S4/HANA und das ist natürlich nur die Spitze des Eisbergs. Neben einzelnen Applikationen wird oft auch ein Teil oder gar die gesamte IT-Infrastruktur beispielsweise auf AWS oder Azure ausgelagert. Die Vorteile sind: vereinfachte Skalierbarkeit, Verfügbarkeit und Kostenersparnisse gegenüber dem Eigenbetrieb.

Trotz der Auslagerung in die Cloud entfällt das Thema Cybersecurity nicht. Bei der Cloud-Security gelten die gleichen Grundregeln wie bei einer On-Premise IT-Landschaft, ergänzt um Cloud-spezifische Maßnahmen. Cloud Security Lösungen sind noch nicht vollumfänglich verbreitet, nehmen aber stark zu.

 

Worauf sollte man bei Cloud-Security besonders achten?

Der Bundesverband IT-Sicherheit e.V. (www.teletrust.de) hat dazu einen lesenswerten Leitfaden mit einer Empfehlung an organisatorischen und technischen Maßnahmen veröffentlicht. Hier auszugsweise einige Punkte:

– Identity & Access Management:

– „Selbst von Diensteanbietern kryptographisch gesichert gespeicherte Passwörter können mit Hilfe sogenannter Rainbow-Tables in Klartext umgesetzt und genutzt werden. Ohne weitere Sicherheitsmaßnahmen ist der Einsatz von Benutzername und Passwort damit nicht mehr Stand der Technik.“

– Für Mehrfaktorauthentifizierung sind plattformunabhängige Methoden und Protokolle besonders empfehlenswert, z.B. Einmalkennwörter (One Time Password, OTP), Sicherheitstoken auf Basis von FIDO (Fast Identity Online) oder „Out of Band Authenticator“ über Mobilgeräte.

– Die Nutzung eines spezialisierten Authentisierungsdiensts („Identity Provider“) bietet sich an – hier ist auf relevante Zertifizierungen zu achten, je nach Art der verarbeiteten Daten. Damit ist dann bei richtiger Konfiguration auch SSO (Single Sign On) für Nutzer komfortabel und gleichzeitig sicher möglich. Die Identity Provider Lösungen auf Basis des SAML Protokolls sind heute Standard, das OpenID Connect Protokoll bietet zumindest theoretisch ein noch höheres Sicherheitsniveau.

– Auch bei PaaS- und SaaS-Anwendungen ist der Nutzer für die Verwaltung der Benutzerkonten und Berechtigungen verantwortlich – nicht der Cloud-Anbieter

– Verschlüsselung: Je nach Sensibilität der Daten bieten sich unterschiedliche kryptographische Verfahren an, von dienstseitig verwalteten Schlüsseln bis hin HYOK (Hold your own key) und hardwarebasierten Modulen (HSM)

– Spezialisierte Cloud Security Lösungen, Cloud Access Security Broker (CASB), Cloud Workload Protection Platform (CWPP) und Cloud Security Posture Management (CSPM) sind oft ein unverzichtbarer Bestandteil u.a., um Cloud-Nutzung über Policies einzuschränken und zu überwachen

– E-Mail Security Gateways: „Die Verwendung von Cloud-Produkten wie Exchange Online oder Googles G-Suite entbindet trotz integrierter Sicherheitslösungen nicht grundsätzlich von der Verwendung einer 3rd Party-Lösung für E-Mail Security“

– Cloud VPNs: „Bei Cloud VPNs ist außerdem zu beachten, dass der Cloud VPN Provider die übermittelten Datenpakete einsehen kann, weil er den Endpunkt der verschlüsselten Verbindung betreibt. Mit diesem Provider müssen dementsprechend vertragliche Vereinbarungen zum Schutz der Daten getroffen werden“

– Backup-Strategie: Datenschutz und vertragliche Verpflichtungen mit Kunden und Lieferanten entscheiden, in welchen Ländern Backups gespeichert werden dürfen. Egal welche Methodik (inkrementell/voll, Medien, Redundanz) gewählt wird, der regelmäßige Test der Rücksicherung ist entscheidend.

Rechtemanagement, Verschlüsselung, Separationsmechanismen, Updates und Backups sind vermutlich die mindestens nachzuweisenden Maßnahmen, um eine Haftung der Geschäftsführung abzuwenden, falls es im Rahmen von Sicherheitsvorfällen zur Verletzung von Geschäftsgeheimnissen kommt.

Die genannten (und die weiteren im Artikel aufgeführten) Maßnahmen sind natürlich generell beachtenswert, beziehen sich allerdings im Wesentlichen auf Anwendungen der klassischen Büro-IT. Eine besondere Herausforderung ist darüber hinaus, wenn Legacy-Systeme, z.B. aus Produktion oder Logistik, an die Cloud angebunden werden sollen.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.