AKTUELLE NEWS

Sicherheitsaspekte von Cloud Services

16.Dezember 2016

 

Cloud Services wie z.B. Amazon, Google, Microsoft, Apple & Co. sind ein integraler Bestandteil der heutigen IT-Landschaft. Unternehmen sind oftmals von den postiiven wirtschaflichen Vorteilen überwältigt und im Handumdrehen rücken Sicherheitsaspekte in den Hintergrund und werden zur Nebensache - mit fatalen Folgen.

 

 

Grundsätzliche Überlegungen

 

  1. Analysieren Sie Ihr Geschäftsmodell: Wie kritisch sind Ihre Unternehmensdaten? Verarbeiten Sie auch Daten von Kunden? Sind sie auch Dienstleitser für andere Unternehmen?

  2. Hinterfragen Sie den Einsatz von Cloud Services: Gibt es wirtschaftliche Vorteile, Vorteile für Kunden etc. Was bedeutet die Abhängigkeit von Dritten für die Verfügbarkeit? Stellen sie eine Klassifikationsmatrix auf Basis dieser gesammelten Informationen zusammen.

  3. Erwägen Sie nur Cloud Service Provider, die "vertrauenwürdig" sind, d.h. jene, die einen einwandfreien Ruf am Markt genießen. Vertrauen kann auch durch Zertifikate und professionelles Auftreten gestärkt werden (z.B. ISO 27001, ISO 20000 etc.)

  4. Führen Sie in jedem Fall eine Risikobewertung durch, um den Schutzbedarf Ihres Vorhabens bewerten und argumentieren zu können.

 

 

Sicherheitsvorgaben an Cloud Service Provider (CSP)

  1. Physische Sicherheit: Überzeugen Sie sich davon, dass Unbefugte nicht ohne weiteres zu Ihren Daten und Systemen gelangen können. Der CSP muss auch sicherstellen, dass Kernkomponenten ausfallssicher ausgestaltet sind.

  2. Netzwerksicherheit: Bei der Nutzung von gemeinsamer Infrastruktur durch unterschiedliche Kunden ist die Isolierung der Datenströme essentiell. Auch Vorkehrungen gegen netzbasierte Angriffe (z.B. DDoS) sollten zur Grundausstattung gehören.

  3. Server- und Applikationssicherheit: In der Regel ist die zugrundeliegende Virtualisierungsumgebung der gemeinsame Nenner aller Kunden des Cloud Service Providers. Dies macht den CSP leider auch zu einem Ziel für Angreifer. Host-based Intrusion Detection sowie zertifizierte Backendsysteme (nach der Common Criteria) sollten Standard sein.

  4. Datensicherheit: Daten sollten grundsätzlich immer verschlüsselt transportiert und gespeichert werden (auch zwischen einzelnen Data Center Standorten). Achten Sie dabei auf das Schlüsselmanagement. Sind Schlüssel kompromittierbar, ist die Verschlüsselung nichts Wert.

 

Expertentipps:

  1. Halten Sie schriftlich im Vertrag nicht nur Service Levels, sondern auch Vorgehensweise bei Sicherheitsvorfällen fest.

  2. Überlegen Sie im Vorfeld die Vorgehensweise beim Ausstieg aus dem Cloud Service (Datenübernahme, sichere Löschung etc.)

  3. Vereinbaren Sie ein Audit-Recht und bestehen Sie auf die Durchführung und die Ergebnisse von Penetrations- und Notfalltests.

 

Beherzigen Sie diese Eckpunkte, so werden Sie mit Sicherheit das richtige Maß an Cloud Service Integration in Ihrem Unternehmen finden.

 

 

 

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: