Zum Hauptinhalt springen

Entwicklung einer Cloud-Security-Strategie

Sicherheit als Schlüsselfaktor im Rahmen von Cloud Transformationen

Die Transformation in die Cloud kann aus verschiedensten Fachbereichen angestoßen werden: IT, Risikomanagement, Finanzen, Recht, Compliance, Chief Information Security Officer, um nur einige Beispiele zu nennen. Unabhängig davon, wer die Treiber für eine Transformation der Organisation in die Cloud sind, müssen die unternehmensübergreifenden Ziele, welche mit der Nutzung von Cloud Services verbunden sind, identifiziert und priorisiert werden.

Dabei können beispielsweise eine Kostenreduktion für Anschaffung und Wartung von Infrastruktur, eine höhere Effizienz durch Flexibilität und Skalierbarkeit bei der Nutzung von IT-Ressourcen oder auch eine Verbesserung der Informationssicherheit im Fokus stehen. Neben diesen Aspekten kann auch Innovation der zentrale Treiber sein – hier können Cloud-Technologien entscheidend zur Umsetzung neuer Geschäftsmodelle oder zur Verbesserung bestehender Geschäftsprozesse beitragen.

Abhängig von den wesentlichen Zielen für eine Transformation in die Cloud kann sich auch der Umfang der Daten, welche in die Cloud verlagert werden sollen, erheblich unterscheiden. Auch Anwendungsfälle mit sensiblen Daten, z. B. aus den Bereichen Kundenmanagement oder Forschung und Entwicklung, können in die Cloud verlagert bzw. dort realisiert werden. Somit kann auch der Aspekt der Informationssicherheit einen unterschiedlichen Stellenwert und Fokus in der Cloud Strategie einnehmen.

Cloud: Eine Unternehmenskultur im Wandel

 

Eine große Herausforderung von Unternehmen besteht darin, ihre Mitarbeitenden angemessen in die digitale Transformation miteinzubeziehen. Hier gilt es, Vorurteilen entgegenzutreten, Unsicherheiten abzubauen und eine gemeinsame Vision für die zukünftige Arbeitswelt zu entwickeln. Auch hinsichtlich der Einhaltung von Datenschutz- und Sicherheitsanforderungen existieren weit verbreitete Sorgen und Mythen, die mittels fundierter Analysen und Erfolgsbeispiele entkräftet werden können.

Effizienzvorteile der Cloud können zu einer Produktivitätssteigerung führen. Durch reduzierte Aufwände für die Beschaffung und Wartung von Infrastruktur-Komponenten kann beispielsweise eine Re-Fokussierung auf die wichtigeren Kernprozesse der Organisation erfolgen – so entsteht mehr Raum für Innovation und Geschäftsentwicklung. Cloud ist damit vielmehr ein Wegbereiter als ein Stellhebel zum Abbau von Arbeitsplätzen.

Geteilte Verantwortung in der Cloud

 

Wichtige Faktoren bei der Konkretisierung einer Cloud-Strategie sind sowohl die Festlegung der Cloud-Service-Ansätze als auch der Service-Modelle. Hieraus ergeben sich für Unternehmen unterschiedliche Verantwortungsbereiche hinsichtlich der Umsetzung von Sicherheitsanforderungen.

Grundsätzlich lässt sich festhalten: Unternehmen sind verantwortlich für Security IN the Cloud, Cloud Service Provider sind verantwortlich für Security OF the Cloud. In einigen Bereichen ergibt sich darüber hinaus eine geteilte Verantwortung.

Beim IaaS Modell (Infrastructure-as-a-Service) stellt der Cloud Service Provider lediglich Infrastruktur bereit. Somit tragen Unternehmen die Verantwortung für die Verwaltung und Absicherung der Daten, Ressourcen, Applikationen und Betriebssysteme bis zur Plattform-Ebene. Der Cloud Service Provider ist dagegen für die physische Sicherheit der Infrastruktur sowie für die Absicherung seiner Netzkomponenten verantwortlich. Beispiele hierfür sind der Schutz der Rechenzentren vor unberechtigtem Zugang sowie die Absicherung der Kommunikation zwischen Regionen und Verfügbarkeitszonen.

Das PaaS Modell (Platform-as-a-Service) ergänzt das IaaS Modell um den Aspekt, dass der Cloud Service Provider den Unternehmen zusätzlich Plattform-Ressourcen und Betriebssysteme bereitstellt. Unternehmen verantworten bei PaaS-Lösungen weiterhin ihre Applikationen und sind somit für deren Sicherheit verantwortlich.

Beim SaaS Modell (Software-as-a-Service) erweitert sich die Verantwortung des Cloud Service Providers auf die Verwaltung bereitgestellter Applikationen und Software. Auch in diesem Bereitstellungsmodell bleiben Unternehmen für den Schutz ihrer Daten nach geltenden rechtlichen und regulatorischen Anforderungen verantwortlich.

Eine Auslagerung der Verantwortung für Security Governance, Risk und Compliance an einen Cloud Service Provider ist unter keinen Umständen möglich.

Legacy-IT

 

Legacy-IT ist oftmals heterogen und über einen langen Zeitraum gewachsen – Nischen-Technologien und veraltete Anwendungen können neben funktionalen Einschränkungen auch hohe Aufwände für Betrieb und Wartung nach sich ziehen. Für Unternehmen stellt sich daher die Frage, ob Cloud Services in die bestehenden Technologien integriert und somit hybride Cloud-Umgebungen geschaffen werden, die Cloud als parallele IT-Umgebung und somit als Ergänzung zu Legacy-Systemen etabliert, oder ob die Legacy-Systeme vollständig in die Cloud transferiert und primär auf Cloud-nativen Services betrieben werden können. Die aufgeführten drei Optionen haben mitunter erheblichen Einfluss auf erzielbare Kosten- und Effizienzvorteile. Auch hinsichtlich der Sicherheits- und Datenschutzaspekte können sich wesentliche Unterschiede und Einschränkungen ergeben, z. B.:

  • Die zentrale Steuerung von Authentifizierung und Autorisierung über einen zentralen Cloud Identity Provider ist nicht für alle Anwendungen möglich.
  • Das Monitoring von relevanten Sicherheitsereignissen und die Behandlung von kritischen Sicherheitsvorfällen kann gar nicht oder nur eingeschränkt automatisiert erfolgen, die Nutzung von Cloud-nativen Sicherheitsfunktionen ist erschwert.
  • Die Einhaltung von Sicherheits- und Datenschutzaspekten wird mit zunehmender Anzahl der Provider und zunehmender Komplexität der Systeme und Technologien aufwändiger, es herrscht keine Transparenz über den Compliance Status.
  • Personenbezogene Daten sind in verschiedensten Systemen und Umgebungen sowie auf verschiedene Provider verteilt, das Beantworten von Auskunftsersuchen sowie die Pflege eines Verarbeitungsverzeichnisses sind erschwert.
  • Die Verschlüsselung von Daten erfolgt auf unterschiedlichen Ebenen – mit Plattformlösungen, auf Applikations- oder Datenbankebene, mit Hilfe von Gateways, das Schlüsselmanagement wird erheblich verkompliziert.

Wesentliche Aspekte und Handlungsempfehlungen

 

  • Der Wechsel in die Cloud und deren fortwährende Nutzung ist kein einmaliger Schritt, sondern ein kontinuierlicher Prozess.
  • Eine Cloud-Transformation ist kein IT-Projekt, sondern sollte als eine strategische Initiative mit Einfluss auf die gesamte Organisation verstanden werden.
  • Es sollten die wesentlichen Ziele und Treiber für die Cloud Transformation formuliert werden, idealerweise mit konkreten Messgrößen.
  • Mitarbeitende sollten in den Transformationsprozess aktiv einbezogen werden. Vorbehalte und Bedenken hinsichtlich Datenschutz und Informationssicherheit können objektiv entkräftet werden.
  • Das Verständnis für Cloud und Informationssicherheit sollte in der Unternehmenskultur verankert werden.
  • Ausgehend von Art und Umfang der Cloud Services sind unterschiedliche Verantwortlichkeiten für Sicherheit zu berücksichtigen. Die Verantwortung für den Schutz von Unternehmensdaten und die Einhaltung regulatorischer Anforderungen verbleibt stets beim Unternehmen.
  • Für bereits im Einsatz befindliche Technologien und Anwendungen sollten die generelle Machbarkeit und die Aufwände für eine Migration in die Cloud untersucht werden; Einschränkungen sollten auch hinsichtlich ihrer Gesamtauswirkungen auf das Design, die Steuerung und die Umsetzung von sicherheitstechnischen Maßnahmen untersucht werden.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-min-Umfrage