Cloud und Cyber Security ist kein Widerspruch

Clouds können einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Dazu müssen Unternehmen jedoch sicherstellen, dass die richtigen Massnahmen ergriffen werden und die Kontrolle über die Cloud bewahrt bleibt. Nur so lassen sich Vorteile der Cloud mit Sicherheit nutzen.

Unternehmen setzen zunehmend auf Multi- und Hybrid-Cloud-Strategien. Grosse Treiber sind hier unter anderem sicherlich Office 365, Azure und Salesforce. Genau solche hybriden Umgebungen sind aber eine Herausforderung für die Cyber Security; insbesondere im Hinblick auf die Data Governance und ihre DSGVO-konforme Behandlung. Zudem wissen Unternehmen oftmals gar nicht, welche Cloud-Services überhaupt im Einsatz sind. Die Shadow-IT lässt grüssen.

Multi-Cloud-Sicherheit geht nur gemeinsam

Die Nutzung von Cloud-Plattformen bringt erhebliche betriebliche und wirtschaftliche Vorteile. Jedoch darf die Sicherheit nicht ausser Acht gelassen werden. Dabei geht es in erster Linie um das Management von Risiken. Cloud Computing (insbesondere Hybrid Cloud) nutzt unter anderem Application Programming Interfaces (APIs), neue Datenflüsse oder auch komplexe Netzwerkkonfigurationen. Um Multi-Cloud-Umgebungen effektiv abzusichern, ist ein plattformunabhängiger, standardisierter Sicherheitsansatz erforderlich. Hier gilt ein wichtiges Prinzip: die gemeinsame Verantwortung von Provider und Kunde. Bewährt hat sich bei SaaS das Shared-Responsibility-
Modell.

Nebst den klassischen Angriffsszenarien sind in Cloud-Umgebungen auch neue Sicherheitsrisiken relevant, welche durch die Workload-Portabilität hervorgerufen werden. So stellt das einfache Starten und Verschieben von Workloads einen wesentlichen Vorteil der Hybrid Cloud dar, birgt jedoch sicherheitstechnisch grosse Herausforderungen. Traditionelle Sicherheitsansätze stossen hier an ihre Grenzen; nicht zuletzt durch die Nutzung von Containern und Mikroservices. Für Unternehmen, die u.a. DevOps einsetzen, kann dies besonders schwierig sein. Sicherheit in einen Ansatz zu integrieren, der sich auf schnelle Entwicklung und Bereitstellung konzentriert, ist eine echte Herausforderung. Viel zu schnell wird dabei die Sicherheit schlichtweg «übersehen», wenn es um das Einhalten von engen Zeitplänen geht. Der Schlüssel hier lautet DevSecOps und «Defense in Depth Security»: Also mehrschichtige Abwehrmechanismen, um wertvolle Daten und Informationen zu schützen, die den gesamten Lebenszyklus betrachten.

Best-Practice-Sicherheitsansätze für hybride Umgebungen

Unternehmen sind also gut beraten, der Informationssicherheit in Cloud-Umgebungen das nötige Gewicht beizumessen. Ein systematischer Sicherheitsansatz ist somit das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden. Internationale Standards wie die ISO 27000 Familie oder das NIST Cyber Security Framework bieten dazu anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience.

Gleichzeitig werden aber auch die Compliance-Anforderungen immer strenger. Aufgrund der DSGVO und anderer gesetzlicher Regelungen, müssen Unternehmen alle Daten kennen und jederzeit in der Lage sein, jene mit sensiblen und personenbezogenen Informationen zu finden. Dazu müssen die Daten zunächst klassifiziert werden. Diese Klassifizierung gilt es in hybriden Cloud-Umgebungen auf lokale Datenspeicher auszuweiten. Durch ein Privilegien-Modell auf Basis der minimalen Rechtevergabe wird zudem sichergestellt, dass nur die berechtigten Personen Zugriff auf die Daten haben.

Bei spezifischen Sicherheitsherausforderungen im Zusammenhang mit der Cloud können natürlich auch Technologien unterstützen. So helfen beispielsweise Cloud Access Security Broker (CASB), die unbefugte Nutzung von Cloud-Diensten (Shadow IT) zu identifizieren und zu unterbinden. Aber egal ob in der Cloud oder On-Premise: Heutzutage ist die Erkennung, Analyse und Reaktion auf Cyberattacken genauso wichtig wie (technische) Sicherheitsmauern. Zur Erkennung möglicher Bedrohungen eignen sich beispielsweise Systeme, welche das Verhalten der User analysieren. Eine solche Verhaltensanalyse (User and Entity Behavior Analytics, kurz UEBA) erhöht die Sicherheit und reduziert False Positives bei der Erkennung von Sicherheitsbedrohungen.

Einmal ist keinmal

Da sich die Risikosituation stetig ändert, ist Cyber Resilience keine einmalige Angelegenheit. Unternehmen müssen die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv optimieren sowie kontinuierlich verbessern. Wichtige Elemente einer Security Governance beinhalten deshalb Risk Assessments, organisatorische Audits, System Security Testing, simulierte Cyberattacken und Vulnerability Scans. All dies hilft schlussendlich, die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte – auch im Zeitalter der zunehmenden Digitalisierung und Cloud-Nutzung – zielgerichtet und nachhaltig zu verbessern.

Autor: Markus Limacher, Head of Security Consulting, InfoGuard AG

InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel. +41 41 749 19 00
www.infoguard.ch