Daten in der Cloud brauchen Extra-Schutz

Cloud-Security - Best Practices

IT-Schulungen
Quelle: Bundesdruckerei
Was ist nun bei der Umsetzung der komplexen Sicherheitsanforderungen in die Praxis zu beachten? Kompetent ist hier zum Beispiel das Wiener Sicherheitsunternehmen Radar­Services, das sich umfassend mit den Bereichen IT-Security-Monitoring und IT-Risk-Detection auskennt und auch Managed-Security-Dienste anbietet.
Christian Polster, CFO & Chefstratege bei RadarServices, setzt eindeutige Prioritäten: „Die Vertragsgestaltung mit dem Cloud-Provider steht im Mittelpunkt. Hierin sollten mehrere Punkte besonders detailliert werden. Dazu gehört zum Beispiel, Informationen über die Sicherheitsmaßnahmen des Cloud-Providers einzuholen, diese zu bewerten und regelmäßig upzudaten. Auch Informationen darüber, wie die Daten des Nutzers von denen anderer getrennt werden, zählen dazu.“ Weiterhin regt Polster an, auch für den Sicherheitsbereich detaillierte SLAs (Service Level Agreements) festzulegen: „Nur was dort festgeschrieben ist, führt im Schadensfall auch zu möglichen Ansprüchen gegen den Cloud-Anbieter.“
Darüber hinaus sind sich alle Sicherheitsexperten einig, dass die Unternehmen eine Verschlüsselung des Datenverkehrs und der gespeicherten Daten einsetzen sollten. Auch im Fall einer Hybrid Cloud sollten sämtliche Daten verschlüsselt sein, die zwischen dem Public-Cloud-Service-Provider und einem Kunden übertragen werden. Selbst in einer Private Cloud sollten die abgelegten Daten verschlüsselt sein, um sie etwa bei einem auftretenden Sicherheitsleck vor unbefugtem Zugriff zu schützen.
Alexander Vierschrodt
Head of Commercial ­Management Server bei 1&1
www.1und1.de
„Dem Provider stehen zur Gewährleistung der Sicherheit der Cloud-­Services eine Vielzahl von Optionen zur Verfügung. Er sollte sich die Sicherheit der eigenen ­Infrastruktur zertifi­zieren lassen.“
Ebenso wichtig ist das allzu oft vernachlässigte User-Management. Dazu Alexander Vierschrodt von 1&1: „Unternehmen sollten darauf achten, dass nur diejenigen Personen Zugriff auf unternehmenskritische Daten haben, die auch den strengen Sicherheitsrichtlinien folgen.“ In vielen Cloud-Lösungen, so Vierschrodt weiter, sei bereits eine Funktion für die Verwaltung der Benutzer integriert. Mit deren Hilfe lasse sich der Zugriff der jeweiligen Mitarbeiter auf die Daten häufig detailliert festlegen und kontrollieren.
Albert Schöppl von Forcepoint sieht das ähnlich: „Privilegierte User und sensible Daten müssen geschützt werden. Firmen sollten speziell diese Kanäle monitoren, um Leaks zu identifizieren.“
Noch eine Reihe zusätzlicher Empfehlungen zum Thema Cloud-Sicherheit hat Trend-
Micro-Business-Consultant Richard Werner parat: „Zunächst stellt sich die Frage, ob das Rechenzentrum weiterhin als Ganzes gemanagt werden soll, auch wenn einzelne Teile in eine oder mehrere Clouds ausgelagert werden.“
Die selbe Überlegung, ob interne oder externe Verwaltung, müsse man auch beim Thema Sicherheit anstellen. Wenn man sich als Unternehmen dafür entscheide, das Rechenzentrum inklusive Cloud-Systemen als eine Einheit zu betrachten, um flexibel einzelne Bereiche hin und her transferieren zu können, dann müsse auch die IT-Sicherheit über alle diese Bereiche hinweg funktionieren und ebenfalls diese flexible Gestaltung mittragen. Dies entspreche, so Richard Werner, dem häufigsten Cloud-
Modell.
Dr. Christian Polster
CFO & Chefstratege bei ­RadarServices
www.radarservices.com/de
„Die Vertragsgestaltung mit dem Cloud-Provider steht im Mittelpunkt. Hierin sollten mehrere Punkte besonders de­tailliert werden.“
Der Einsatz von klassischen Antiviren-Lösungen auf Servern sei dabei nicht zielführend. Richard Werner: „Antivirus/Anti-Malware (AV) wurde in seiner Grundkonzep­tion für Client-Systeme und das Arbeitsumfeld eines Users entwickelt.“ Da Angriffe auf Server-Systeme grundsätzlich anders strukturiert seien als Angriffe auf Client-Systeme, hätten die Antivirus-Techniken dort schlicht nicht denselben Wirkungsgrad.
Werner weist darauf hin, dass gerade weil Systeme in der Cloud vor physischen Angriffen weitgehend geschützt sind, es wenig hilft, sich dort auf Virenwächter zu verlassen. Der Business Consultant plädiert in diesem Zusammenhang dafür, verstärkt auf die Beseitigung von Schwachstellen zu setzen. Auch für Server-Systeme gelte die alte Regel „Patchen so schnell wie möglich“.
Da der Provider nur bedingt eingreifen könne, liege hier die Verantwortung für die Sicherheit beim Unternehmen. Für Aktualisierungen müsse es selbst sorgen.
Gerade mit dem Wechsel in die Cloud lohne es sich, so Werner, das Problem neu zu bewerten und möglicherweise ein „virtuelles Patchen“ in Betracht zu ziehen. Dabei werden Schwachstellen erkannt und abgeschirmt, bevor sie ein Angriff ausnutzt.
Verwandte Themen