Vier Massnahmen für den sicheren Weg in die Cloud

Jan 21, 2021 von Daniel Michel
Cloud path

Cloud-basierte Lösungen verzeichnen seit Jahren grosses Wachstum. Vorteile wie bessere und schnellere Skalierbarkeit sowie reduzierte Kosten im Betrieb sind Treiber des Trends. Inzwischen hat auch das Bewusstsein bezüglich der aus der Verwendung von Clouds resultierenden Risiken zugenommen. Vielen Unternehmen fällt es schwer, den für sich passenden Ansatz für den sicheren Weg in die Cloud zu finden. Dieser Beitrag zeigt die Erfahrungswerte und Empfehlungen der Security Experten von Redguard auf.

Cybersecurity Insiders hat unterstützt durch ISC2 eine Umfrage zum Thema Cloud Security bei IT-und Security-Experten durchgeführt. Gemäss dieser sind 94 Prozent der Befragten «sehr» oder «extrem» besorgt bezüglich der Sicherheit bei Public Cloud-Lösungen. Dies bestätigt auch die Praxiserfahrung von Redguard. Nahezu alle unsere Kunden befassen sich in unterschiedlichsten Kontexten intensiv mit dem Thema Cloud und insbesondere auch Cloud Security. Diverse Organisationen konnte Redguard bereits erfolgreich auf dem sicheren Weg in die Cloud unterstützen. Folgende grundlegende Vorgehen und Massnahmen haben sich bei unseren Kunden bewährt, um im “wolkigen” Thema Cloud Security den passenden Ansatz für sich zu finden.

Standortbestimmung

Wo steht das Unternehmen bezüglich dem Einsatz von Cloud-Lösungen? Welche rechtlichen und regulatorischen Anforderungen muss das Unternehmen diesbezüglich beachten, insbesondere auch an den Datenschutz (Gerichtsbarkeit, Lokation der Datenspeicherung, Datenbekanntgabe ins Ausland)? Haben die Mitarbeitenden sowie das Management innerhalb der Unternehmung ein einheitliches Verständnis und eine einheitliche Strategie zum Thema Cloud? Sind die Verantwortlichkeiten zwischen Cloud-Anbieter und Cloud-Nutzer klar definiert? Zur Beantwortung dieser und weiterer Fragen ist eine Durchführung eines Cloud Security Assessment zielführend.

Überprüfung der Cloud-Anbieter

Aufgrund der grossen Anzahl verschiedener Anbieter und Lösungen ist es schwierig, den Überblick zu behalten, welche Lösung die grundlegenden Anforderungen bezüglich Cloud Security erfüllt. Eine gute Quelle für diese Informationen ist beispielsweise das STAR-Programm (Security Trust Assurance and Risk Registry) der Cloud Security Alliance (CSA). Der Mehrwert dieses Programms ist die einheitliche und strukturierte Beurteilung von Cloud-Lösungen. Viele der grossen Anbieter haben ihre Cloud-Lösung beim STAR-Programm registriert. Wir sind in engem Austausch mit der CSA und kennen so die neusten Entwicklungen, welche wir an unsere Kunden weitergeben, um langfristig die sichere Verwendung von Cloud-Lösungen und -Umgebungen sicherzustellen.

Aufbau der notwendigen Kompetenzen und Sensibilisierung der Mitarbeitenden

Gemäss der Studie von Cybersecurity Insiders ist die grösste Barriere bei der Einführung von Cloud-Lösungen der Mangel an ausgebildetem Personal (37% der Befragten). Weiterbildungen des ICT-Fachpersonals, externe Unterstützung durch Experten oder die Sensibilisierung der Endbenutzer zum Thema Cloud Security sind hier passende und bewährte Massnahmen. Sowohl für technische Mitarbeitende wie auch Anwender bieten wir auf Ihre Organisation zugeschnittene Schulungen an.

Cloud-Lösungen richtig konfigurieren und verwalten

Cloud-Lösungen bieten inzwischen oftmals umfangreiche Sicherheitsfunktionen. Diese müssen jedoch korrekt verwendet werden. Fehlkonfigurationen sind die häufigste Schwachstelle bei Cloud-Lösungen. Gemäss Gartner werden 2025 bis zu 99 Prozent der Cloud Security Failures auf Fehlkonfigurationen und falsches Management der Cloud-Lösung seitens Cloud-Nutzer zurückzuführen sein. Folgende Massnahmen können gemäss unseren Erfahrungen helfen, die Sicherheit diesbezüglich zu erhöhen:

  • Sichere Anmeldeverfahren und korrekte Umsetzung von Multi-Faktor-Authentifizierungen
  • Sauber definiertes und einwandfrei konfiguriertes Zugriffskonzept
  • Verschlüsselung von sensiblen Daten bei der Speicherung in der Cloud
  • Verwendung von Tools, welche Fehlkonfigurationen erkennen
  • Monitoring von Cloud-Umgebungen
  • Portabilität und Interoperabilität sicherstellen (Export von Daten, sichere Datenlöschung)
  • Durchführung von Peneteration Tests

Die NSA hat 2020 zudem ein Dokument zum Thema “Reduzieren von Cloud-Schwachstellen” veröffentlicht. Dieses kann ebenfalls als Entscheidungsgrundlage für zusätzliche Massnahmen genutzt werden.

Haben Sie Fragen oder benötigen Sie Unterstützung beim erfolgreichen und sicheren Weg in die Cloud? Gerne unterstützen wir Sie.


< zurück