Fotolia

Cloud-Risiken: Wer trägt die unternehmerische Verantwortung?

Mit neuen Cloud-Diensten gehen oft neue Risiken einher. Unternehmen müssen vorab die Verantwortung für diese definieren.

Unternehmen setzen immer stärker auf Cloud-basierte Dienste und Anwendungen. Für Sicherheitsteams bedeutet dies, dass sie die Risiken einschätzen und die entsprechenden Kontrollmechanismen entwickeln sollen. Das klingt einfacher, als es ist. Tatsächlich bringt das Absichern von Cloud-Systemen einige Herausforderungen mit sich. Nicht alle Sicherheitsansätze passen zu den wenig transparenten Angeboten der Cloud Provider. Und eine der größten Herausforderungen liegt vielen CISOs schwer im Magen: Wie wird die unternehmerische Verantwortung der Cloud-Risiken geregelt?

CISOs müssen vielfältige Verantwortungen regeln. Dazu gehören die Übersicht über technische Projektteams und die Kommunikation von Cloud-Risiken samt möglicher Lösungen an die Unternehmensverantwortlichen. Leider ist es ein gängiges Missverständnis, dass die IT-Abteilung die Verantwortung für Risiken hat – egal ob die Infrastruktur On-Premise oder in der Cloud liegt. Bei CISOs, die einfach nur flexibel auf die Anforderungen anderer Abteilungen reagieren wollen, kann das Thema der Verantwortlichkeit für die Risiken schnell untergehen.

Es ist an der Zeit, dass die Sicherheitsverantwortlichen die Risiken und die entsprechende Verantwortung diskutieren. Nur dann können die Unternehmensverantwortlichen wirklich die potentiellen Gefahren verstehen, die mit Cloud-Systemen einhergehen und diese akzeptieren.

Risiken umfassend auswerten

In vielen Organisationen kämpfen Sicherheitsverantwortliche damit, eine umfassende Risikoanalyse und Review-Prozesse für Cloud-Projekte zu erstellen. Die Gründe dafür sind vielfältig: nicht genügend Ressourcen im Sicherheitsteam, geringes Interesse des Managements, mangelnde Flexibilität, Gegenwind vom DevOps-Team und vieles mehr.

Die Unterstützung der Einkaufsabteilung und der Rechtsabteilung ist ebenfalls alles andere als gesetzt, wenn es um die Evaluierung von Risiken in Verträgen geht. Sicherheitsverantwortliche sollten den Input und die Beteiligung dieser unterschiedlichen Interessensgruppen angemessen berücksichtigen, um ein einheitliches Bild bezüglich der Risiken in Verträgen zu erhalten. Es ist wichtig, dass Unternehmensverantwortliche folgende Punkte berücksichtigen:

Wenn Anwendungen oder Infrastruktur in die Cloud verschoben wird, bedeutet dies nicht, dass die Unternehmen die Systeme nicht mehr für diese verantwortlich sind.

  • Cloud-Anbieter agieren nicht immer transparent, wenn es um die Offenlegung von Sicherheitsmechanismen oder internen Sicherheitsabläufen geht. Jede Diskussion über Risiken muss daher von der Prämisse ausgehen, dass die Unternehmen nicht alle Informationen zur Verfügung haben.
  • Compliance-Anforderungen sind besonders wichtig, vor der Auswahl eines Cloud-Angebots muss zunächst geprüft werden, ob diese Dienste zu 100 Prozent den Vorgaben entsprechen. Gerade, wenn die verarbeiteten Daten unter staatliche Vorgaben fallen, müssen Anbieter gewählt werden, die alle Anforderungen erfüllen.
  • Juristen und Einkäufer sollten die jeweiligen Verträge ausführlich prüfen, dies benötigt zusätzliche Ressourcen und Zeit. Jeder neue Cloud-Anbieter sollte vorab auf Herz und Nieren geprüft werden, bevor Dienste oder Anwendungen eingekauft werden.
  •  Es ist wahrscheinlich, dass nicht alle bisherigen Sicherheitsmechanismen und -Ansätze zu einhundert Prozent mit den Cloud-Systemen zusammenarbeiten. Dies könnte die Compliance-Vorgaben gefährden oder die Risiken der Cloud-Umgebungen erhöhen.
  • Neue Produkte und Dienste können es notwendig machen, dass externe Dienstleister den Sicherheitsstandard des Unternehmens abbilden. Auch hier fallen zusätzlich Zeit und Kosten an, wenn alle Optionen ausführlich betrachtet werden sollen.

Richtlinien für Cloud Sicherheit

In Unternehmen sind schlussendlich Geschäftsführer oder Vorstand verantwortlich für die Risiken, die neue IT-Projekte ins Unternehmen bringen. Sie sind verantwortlich für alle Zwischenfälle oder Angriffe, die aus diesen Entscheidungen entstehen. Allerdings sollten Sicherheitsverantwortliche in den Unternehmen sicherstellen, dass Vorgesetze wissen, was sie tun und welche Risiken die neuen Systeme potentiell ins Unternehmen einbringen können.

Beim Kauf neuer Systeme wird häufig angenommen, dass die IT-Verantwortlichen für die Risiken im Zusammenhang mit Cloud IT verantwortlich sind. Um mit dieses Missverständnis zu klären, ist eine Cloud-Sicherheitsrichtlinie ein ganz guter Anfang. Dabei sollten folgende Punkte berücksichtigt werden:

  • Einen klar definierten Unterstützer in der Geschäftsleitung finden: Ohne einen Unterstützter in der Geschäftsleitung ist es extrem unwahrscheinlich, dass eine Cloud-Richtlinie in der Organisation durchsetzbar ist. Diese Richtlinie sollte zudem definieren, wer für die jeweiligen Projekte verantwortlich ist und sie abzeichnet.
  • Datentypen und Klassifizierung festlegen: Was ist in der Cloud erlaubt und was verboten? Und potentielle Kontrollmechanismen, die vor einem Cloud-Einsatz eventuell notwendig sind, entwickeln.
  • Richtlinien und Compliance-Vorgaben klären, die vor einem Einsatz adressiert werden müssen.

Sicherheitsverantwortliche sollten sicherstellen, dass Cloud-Computing-Angebote mit allen Gesetzen im Einklang sind. Sicherheitsstandards, Anforderungen und IT-Best-Practices müssen ebenso befolgt werden wie Richtlinien zum Risiko-Management. Das gleiche gilt für Richtlinien zum Datenschutz und entsprechende Vorgaben. Es ist wichtig, dass die Verantwortlichen im Unternehmen über alle Risiken vorab informiert sind und diese absegnen. Bis dieser Prozess im Unternehmen etabliert ist, können die IT-Verantwortlichen nicht die Risiken für den Einsatz von Cloud-Technik übernehmen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud-Sicherheit und DSGVO: Cloud-Anbieter sind stärker in der Pflicht.

Bei der Cloud-Migration die Sicherheit berücksichtigen.

Die Rolle des CISOs bei der Nutzung von Cloud-Diensten.

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close