Wachsende Angriffsfläche: Cloud-Migration braucht robuste Cyber-Sicherheitsstrategie Cloud-Migration mit Compliance und Sicherheit im Blick

23. Mai 2022

Die Verlagerung zur Telearbeit wäre ohne die Cloud kaum machbar gewesen, die es den Mitarbeitern ermöglicht, jederzeit und überall auf Daten und Dienste zuzugreifen. Dennoch stehen viele Unternehmen immer noch vor der Herausforderung, ihre Cloud-Infrastrukturen sicherheitsbewusst einzusetzen und zu verwalten.

Vor der Pandemie hatten 32 Prozent der deutschen Unternehmens- und Sicherheitsverantwortlichen geschäftskritische Funktionen in die Cloud verlagert und 49 Prozent nicht kritische Funktionen. Diese Ergebnisse stammen aus einer von Tenable in Auftrag gegebenen und von Forrester Consulting durchgeführten Studie. Die Pandemie hat diesen Wechsel beschleunigt, da 42 Prozent der Befragten als Reaktion auf die Pandemie geschäftskritische Funktionen in die Cloud verlagert haben und 21 Prozent sagen, dass sie dies in den nächsten zwei Jahren tun werden.

Anzeige
cs espresso series

Mehrere zentrale Herausforderungen unterstreichen die Notwendigkeit einer auf Sicherheit ausgerichteten Strategie in der Cloud: Da Cloud-Lösungen von vornherein sehr dynamisch sind, werden die typischen Sicherheitsgrenzen, die nur dann Bestand haben, wenn die IT-Systeme vollständig vor Ort betrieben werden, durchbrochen.

Ein weiterer Aspekt ist die kritische Natur von Cloud-Ressourcen. Die Cloud wird zu einem integralen Bestandteil der Lieferkettentechnologien, des Internets der Dinge (IoT), der künstlichen Intelligenz (KI) und von Infrastructure-as-Code (IaC), da sich die Welt rasch in Richtung „Everything-as-a-Service“ verlagert. Zugleich gibt es eine sich rasch entwickelnde Bedrohungslandschaft. Die einfache Vernetzung von Geräten, Datenströmen und Daten, die Cloud-Technologien bieten, geht mit einer Vergrößerung der Angriffsfläche einher.

Infolgedessen kann die Sicherheitslage eines Unternehmens nicht mehr reaktiv sein. Der mangelnden Sichtbarkeit von Cloud-Technologien steht die Notwendigkeit gegenüber, den Datenschutz einzuhalten. Dies erfordert ein Umdenken von einem Perimeter-basierten Sicherheitsansatz zu einem datengesteuerten Ansatz, der gleichzeitig ein proaktives, ganzheitliches, durchgängiges und dynamisches Sicherheitsprogramm gewährleistet. Zudem kann es schwierig sein, den Cloud-Anbieter zu wechseln, da dies zu Komplikationen bei Leistung, Kompatibilität und Sicherheit führen.

Generell umfasst eine erfolgreiche Cloud-Migration eine Vielzahl von Dimensionen, einschließlich der Berücksichtigung von Richtlinien, Compliance-Anforderungen und übergreifenden Risiken für Prozesse und Abläufe. Jedes dieser Elemente muss berücksichtigt werden, um Daten, Abläufe und Ressourcen effektiv zu verwalten und dem Unternehmen gleichzeitig einen kostenbewussten Betrieb zu ermöglichen.

Es gilt somit drei Schlüsselbereiche zu berücksichtigen, um die blinden Flecken im Bereich der Cyber-Sicherheit, die durch die Migration in die Cloud entstehen, zu entschärfen.

Durchführung einer Risikobewertung

Bei der Verlagerung in die Cloud gehen Unternehmen ein Modell der geteilten Verantwortung ein. Hierbei ist sowohl der Cloud-Anbieter als auch der Cloud-Nutzer in dem vom Bereitstellungsmodell (d. h. IaaS, PaaS oder SaaS) vorgegebenen Umfang für die Sicherheitsverpflichtungen verantwortlich. Eine Cloud-Risikobewertung hilft bei der Bewertung und Vermeidung von unerkannten oder neuen Risiken, die durch die Migration von Systemen und Daten entstehen. Das Ziel ist, alle potenziellen Risikobereiche zu identifizieren und sie gegen die geschäftlichen Anforderungen abzuwägen, um ein akzeptables Maß an Risikotoleranz für jeden Bereich zu finden.

Die Risikoanalyse umfasst die Bewertung des Risikos von Cloud-Anbietern und potenzieller Anbieterabhängigkeit, Risiken, die durch den Verlust der Governance entstehen, und Compliance-Anforderungen. Diese Bereiche sind in der Cloud-Umgebung von entscheidender Bedeutung, und für jeden gibt es eine eigene Unterliste mit damit verbundenen Risiken wie technische Risiken, Kosten, Ressourcenzuweisung, betriebliche Prozesse und Verfahren, Sicherheit und rechtliche Beschränkungen.

Cloud Security Governance

Cloud Security Governance beinhaltet den Aufbau von Modellen für einen effektiven Sicherheitsbetrieb in der Cloud, die den Führungskräften helfen, die Sicherheitsrisiken besser zu verstehen und sie schrittweise zu reduzieren, um eine strategische Ausrichtung und Wertschöpfung zu erreichen und gleichzeitig eine sicherheitsbewusste Kultur zu fördern. Hierzu zählt die strategische Ausrichtung zwischen Geschäftszielen und vorgeschriebenen Sicherheitsinvestitionen. Eine progressive Risikominderung, ebenso wichtig, lässt sich durch implementierte und überwachte Sicherheitsinitiativen mit Blick auf eine nachhaltige Leistung erzielen. Hinzukommt ein angemessenes Rollenmanagement und die Zuweisung von Ressourcen für Sicherheitsinitiativen.

Der Weg zu einer angemessenen Cloud Security Governance hängt vom relativen Reifegrad eines Unternehmens ab. Zumindest sollte es Sicherheitsinvestitionen als Teil der übergreifenden Geschäftsziele und der strategischen Ausrichtung betrachten sowie messbare Sicherheitsinitiativen zur Risikominderung, Wertschöpfung und Leistung festlegen. Ebenso gilt es eine angemessene Personalausstattung und das Know-how für die Durchführung von Sicherheitsinitiativen und -maßnahmen zu gewährleisten.

Durchführen einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) kann dazu beitragen, Risiken zu mindern, indem risikoreiche Szenarien identifiziert und angegangen werden, bevor eine Datenverarbeitung stattfindet. Die DPIA ist zwar unter bestimmten Bedingungen gesetzlich vorgeschrieben, lohnt sich aber auch unabhängig von den gesetzlichen Bestimmungen. Sie kann dazu beitragen, die Einhaltung der Best Practices in Bezug auf Sicherheit und Datenschutz zu maximieren und damit potenzielle Haftungsrisiken zu minimieren.

Zu den Best Practices im Umgang mit Daten gehören die Entfernung persönlich identifizierbarer Faktoren aus den Daten, soweit dies möglich ist. Ebenso nötig ist eine Strategie zur Ermittlung und Behebung kritischer Schwachstellen, um das Risiko von Datenschutzverletzungen zu verringern. Empfehlenswert ist auch die Zusammenarbeit mit Cloud-Anbietern, um zu klären, welche Unterstützung sie bei Zwischenfällen bieten, damit das Unternehmen auf mögliche Cybersecurity-Ereignisse gut vorbereitet ist.

Zusätzlich zu den oben genannten Punkten sind Protokollierung und Überwachung wichtige Bestandteile einer effektiven Cloud-Sicherheit. Diese Praxis wird im Falle eines Vorfalls sogar noch wichtiger. Cloud-Anbieter sollten nach den Bedingungen beurteilt werden, die sie für den Zugriff auf und die Verwaltung von Protokollprotokollen anbieten. Darüber hinaus benötigen die Sicherheitsteams eine kontinuierliche Überwachungsstrategie, um die Umgebung proaktiv zu bewerten und bei anomalem Verhalten schnell reagieren zu können.

Regelmäßige Schwachstellenbewertungen und automatische Abhilfemaßnahmen

Die oben erörterten Schwerpunktbereiche kratzen kaum an der Oberfläche der unzähligen Sicherheitsimplikationen der Cloud-Migration und -Einführung. Unternehmen haben zwar festgestellt, dass eine „Lift-and-Shift“-Strategie ein effektiver Weg ist, um Anwendungen, Dienste und Daten in die Cloud zu migrieren, doch ist dies kein Ansatz, der für die Cloud-Sicherheit funktioniert. Stattdessen benötigen Unternehmen eine übergreifende und proaktive Strategie zur Sicherung von Cloud-Anwendungen und -Services, die lange vor Beginn der Migration ansetzt.

Effektive Cloud-Sicherheit erfordert einen ganzheitlichen Ansatz, der eine Due-Diligence-Prüfung aller Drittanbieter, die Dis-Identifizierung von Daten und die Erstellung vernünftiger SLAs umfasst. Alle Führungskräfte, nicht nur Sicherheitsexperten, sondern auch IT- und Unternehmensleiter müssen die Cybersicherheit proaktiv als grundlegende Voraussetzung für den Fortbestand ihres Unternehmens betrachten. Der Schlüssel zu einer erfolgreichen Sicherheitsstrategie für die Cloud sind insbesondere regelmäßige Schwachstellenbewertungen und automatische Abhilfemaßnahmen.

Roger Scheer ist Regional Vice President of Central Europe bei Tenable.

Tenable

Lesen Sie auch