Mobile-Menu

Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 5) IT-Sicherheit in der Cloud

Autor / Redakteur: Dr. Daniele Fiebig * / Florian Karlstetter |

Cloud Computing ist eine Technologie, die erst durch das Zusammenspiel vieler IT-Bereiche möglich wird, wie z. B. verschiedene Netzwerk- und Internet-Technologien, der Virtualisierung, von modernen Software-/Webtechnologien (HTML, Java, Apps, …), den IT-Service Management Prozessen und einer Vielzahl an administrativen Tools. All das bedarf einer entsprechenden Absicherung.

Anbieter zum Thema

AixpertSoft GmbH
Fujitsu Technology Solutions GmbH
FNT GmbH
Bedingt durch die Vielzahl an Netzwerk- und Internet-Technologien, Prozessen und Services erfordert Cloud Computing eine mehrschichtige Sicherheitsarchitektur.
Bedingt durch die Vielzahl an Netzwerk- und Internet-Technologien, Prozessen und Services erfordert Cloud Computing eine mehrschichtige Sicherheitsarchitektur.
(© Rawpixel - Fotolia.com)

Die Vielzahl an beim Cloud Computing zum Einsatz kommenden Technologien und Schnittstellen bietet zahlreiche Angriffsmöglichkeiten, sowohl von Innen als auch von Außen. Deshalb benötigen Unternehmen eine mehrschichtige IT-Sicherheits-Architektur. Besonders die netzübergreifende Kommunikation verlangt Überlegungen zu sicheren Protokollen, erforderlichen Bandbreiten, zuverlässiger Authentifizierung, zur Verschlüsselung, zu sicheren Webservices und Maßnahmen gegen unbefugten Netz- und System-Zugang.

Hinweise und Checklisten zur IT- und Cloud-Sicherheit sind zu finden beim BSI (BSI-Standard 100, den BSI-Katalogen, ISO 22301 (Business Continuity), ISO/IEC 10181 (Security frameworks), Open Web Application Security Project (jeweils aktuelle Veröffentlichung der OWASP Top 10-Web-Risiken) und in der ISO/IEC 27001 hinsichtlich des Managements der unterschiedlichsten Systeme für die IT-Sicherheit.

Allgemein gilt es die vier folgenden Bereiche bei der Planung der IT-Sicherheit zu beachten. Zusätzlich müssen die kritischen Punkte aus der Risikoanalyse Berücksichtigung finden.

  • Technische / Rechenzentrums-Sicherheit
  • Organisatorische Sicherheit
  • Juristische Sicherheit
  • Wirtschaftliche Sicherheit

Details zu den aufgeführten Bereichen finden Sie im Kasten.

Ergänzendes zum Thema
Wichtige Bereiche bei der Planung der IT-Sicherheit

Technische / Rechenzentrums-Sicherheit

  • Redundanzen wichtiger Komponenten Redundantes Rechenzentrum
  • Schutz gegen Stromausfall, Feuer, Wasser, …
  • IT-Sicherheitsarchitektur (Firewall, Virenscanner, URL-/Content-Filter, NAC,….)
  • Identity-/Access-Management (IAM)
  • Verschlüsselung und Schlüsselmanagement
  • Serversicherheit, Applikationssicherheit
  • Netzsicherheit und Web-Sicherheit
  • Datensicherheit inkl. Storage u. Archivierung
  • Virtualisierung
  • Frameworks und Tools für das Cloud-Management und für das Report
  • Monitoring und IT-Service-Management-Tools
  • Log-Management
  • Patchmanagement

Organisatorische Sicherheit

  • IT-Policy, Cloud-Richtlinie u. regelmäßige Audits
  • Risiko-Management und Schutzbedarfsanalyse
  • Daten-Klassifizierung
  • Datensicherungskonzepte
  • Regelmäßige Schulung (Awareness) d. Personals
  • Zutritts- und Zugangs-Schutz
  • Aufgabentrennung
  • IT-Service-Management-Prozesse
  • IT-Sicherheits-Management-System (ITSM)
  • Notfall- und Katastrophenplan
  • Business-Continuity-Management
  • mehrstufiges Kontrollsystem für die Providersicherheit (Wahrung der Kontrollpflicht)
  • Penetrationstest und Sicherheitsrevisionen

Juristische Sicherheit

  • Feststellung der straf- und zivilrechtliche Haftung
  • Regelmäßige Prüfung der gesetzlichen u. branchenspezifischen Vorschriften
  • Sicherung der Vertraulichkeit personenbez. Daten
  • Meldepflichten
  • Vertraulichkeits- und Betriebsvereinbarung
  • Festlegung von Zuständigkeiten und Verantwortlichkeiten
  • Festlegung von Service Level Agreements (SLA)
  • Vertragsgestaltung und –Überprüfung (Transparenz)
  • Compliance (Konformität bzgl. Gesetzen und Normen sowie Firmen-Richtlinien)

Wirtschaftliche Sicherheit

  • Risikomanagement (Risikobewertung und Risikobehandlung, Restrisiko-Versicherung)
  • Wirtschaftlichkeitsbetrachtung
  • Finanzrahmen für IT-Sicherheit u. die IT-Sicherheits-Organisation
  • Finanzplanung des Unternehmens

Einen strukturierten Überblick über IT-Sicherheit in der Cloud liefert das Eckpunktepapier des BSI „Sicherheitsempfehlungen für Cloud Computing Anbieter“ – Mindestanforderungen in der Informationssicherheit (2‘2012). Weiterhin empfehlenswert ist der Leitfaden „Security Guidance for Critical Areas of Focus in Cloud Computing“, der aktuell in Version 3.0 vorliegt, veröffentlicht von der Cloud Security Alliance.

Empfehlung: eigene Cloud-Richtlinien

Unternehmen sollten eine eigene Cloud-Richtlinie zusammenstellen, die alle datenschutzrechtlichen und branchenspezifischen Anforderungen beinhaltet.

Ein wichtiger Faktor für den Informationssicherheitsstatus eines Unternehmens ist das Know-how des IT-Teams. Dieses wird immer mehr zum Manager von IT-Services und zum Bediener von Service-Tools. Um die IT-Sicherheits-Landschaft und deren Funktionen effizient einsetzen zu können, muss das IT-Personal regelmäßig geschult werden. Nur ein der Technologieentwicklung angepasstes IT-Know-how im eigenen Haus garantiert die Transparenz, die die Überwachung von Cloud-Services erfordert.

Neben den technischen Funktionen können angepasste, zeitgemäße Prozesse zur Sicherheit beitragen. Deshalb spielt neben effektiven Prozessen für das Patch-Management und einem zuverlässigen Backup auch die Geschwindigkeit eine Rolle. Ständig aktuelle Virenpattern und Sicherheits-Updates sind ebenso unerlässlich, wie die Nutzung aktueller Software-Versionen und Security-Appliances mit den neuesten Sicherheitsfunktionen.

(ID:42937272)

Weiterführende Inhalte