Ein ganzheitliches Verständnis und eine geeignete Organisation für das Management von Cloud-Risiken ist essentiell für die Einschätzung der Bedrohungslage, die Bewertung von Risiken und die Festlegung sowie Umsetzung erforderlicher Schutzmaßnahmen.
Eine umfassende Absicherung gegen Angriffe, sowie eine gute Vorbereitung zur Minimierung potenzieller Schadensauswirkungen sind im Rahmen einer Cloud Transition unabdingbar. Während dies in der klassischen Enterprise IT erschwert sein kann durch ein heterogenes Technologie-Portfolio, bieten Cloud Service Provider umfangreiche Cloud-native Funktionen für die Erkennung und (automatisierte) Behandlung von Angriffen sowie langjähriges Know-how im Sicherheitsmanagement.
Darüber hinaus übernehmen die Provider im Rahmen des „Shared Responsibility Models“ für einen Teil der Cloud Komponenten die Verantwortung für die Umsetzung des von ihnen festgelegten Sicherheitsniveaus. Dennoch verbleiben umfangreiche Verantwortlichkeiten für das Erkennen und Managen von Cloud Risiken bei Unternehmen, woraus sich einige Herausforderungen ergeben können:
Der Mensch ist auch im Zeitalter der Cloud-Technologien ein fortwährender Risikofaktor für Unternehmen - ganz gleich, ob durch Böswilligkeit oder Fahrlässigkeit verursacht, geht ein Großteil von Sicherheitsvorfällen in der Cloud darauf zurück. Der Verlust von privilegierten Accounts, ermöglicht durch gestohlene Nutzerdaten durch z. B. Phishing-Attacken, gehört seit Jahren zu den größten Bedrohungen einer Cloud-Infrastruktur. Ebenso nehmen Fehlkonfigurationen aufgrund menschlicher Fehler hierbei eine immer größere Rolle ein.
Um diese Bedrohungen zu minimieren, sollten Unternehmen ein erhöhtes Bewusstsein für Sicherheit und Datenschutz in der Cloud für ihre Mitarbeitenden sicherstellen. Klare Vorgaben und Leitlinien für die Nutzung von Cloud können ebenso dabei unterstützen, Unsicherheiten abzubauen und das Sicherheitsniveau zu erhöhen. Nicht zuletzt sollten auch technische Maßnahmen implementiert werden, um Risiken aus menschlichem Fehlverhalten zu reduzieren, z. B.:
Die Einhaltung lokaler Gesetze und Vorschriften im Hinblick auf den Umgang mit personenbezogenen Daten ist in globalen Cloud Infrastrukturen eine zunehmende Herausforderung.
Die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) ist diesbezüglich eine der striktesten Regelwerke und hat das Ziel, den Datenschutz für EU-Bürger zu verbessern, deren Daten von Organisationen erhoben, gespeichert und verarbeitet werden. Der Geltungsbereich der Verordnung erstreckt sich auch auf Unternehmen, deren Geschäftssitz und Infrastruktur außerhalb der EU liegen, sofern diese Daten von EU-Bürgern speichern oder verarbeiten.
Unternehmen, die eine Transition in die Cloud planen, sollten deshalb den geografischen Standort der Infrastruktur der Cloud Service Provider bewusst auswählen. Darüber hinaus ist zu prüfen, welche Personen im Rahmen der vom Cloud Provider gesteuerten Betriebsprozesse Zugriff auf die vom Unternehmen gespeicherten personenbezogenen Daten erlangen können – hier sind ebenfalls Sub-Unternehmen und Partnerfirmen des Cloud Providers zu beachten. Nicht zuletzt können Verschlüsselungskonzepte und auch „Confidential Computing“ helfen, personenbezogene Daten vor unberechtigtem Zugriff zu schützen und die Anforderungen lokaler Datenschutz-Gesetze zu erfüllen.
Trotz eines steigenden Reifegrads in Bezug auf Technologie, Know-how und Umfang der Cloud-Nutzung kann der Einsatz von Cloud für Security Abteilungen von Unternehmen herausfordernd sein. Auch bei der Auslagerung von IT-Services an einen Cloud-Anbieter bleiben Unternehmen zu jeder Zeit für Security Governance, Risk und Compliance verantwortlich. Eine Security Governance als umfassende Organisation aus Prozessen, Regularien und Technologien sollte daher die Umsetzung von sicherheitsbezogenen Unternehmenszielen im Cloud-Kontext steuern. Die Security Governance sollte dabei eigens für die individuelle Cloud-Nutzung angepasst werden, da sich sowohl die Sicherheits- und Datenschutzanforderungen als auch entsprechende Lösungen und Maßnahmen für deren Umsetzung im Kontext Cloud deutlich von bestehenden On-Premises-Lösungen unterscheiden können.
Ein zentraler Baustein der Security Governance ist das IT- bzw. Informationssicherheits-Risikomanagement. Hier ist zu ermitteln, welche Daten und Werte in den Verantwortungsbereich des Unternehmens fallen und vor Bedrohungen zu schützen sind.