Fotolia

Cloud Computing: Wie sich Risikobewertungen leichter durchführen lassen

Risikobewertungen für Cloud-Dienste gehören zu den größten Schwachstellen in Sachen Sicherheit. Frameworks und Standards helfen bei der Analyse.

Da die Cloud-Nutzung ja bekanntermaßen stark zunimmt, sollte man annehmen, dass die Security- und Compliance-Teams in den Unternehmen regelmäßig intensive Risikobewertungen der genutzten Cloud-Anbieter und -Dienste durchführen. Erstaunlicherweise ist dies aber nicht der Fall.

Tenable Network Security hat vor kurzem die „2017 Global Cybersecurity Assurance Report Card“ veröffentlicht. Dort kommt das Unternehmen zu dem Ergebnis, dass Risikobewertungen für Cloud Computing mittlerweile zu den größten Schwachstellen in der Unternehmenssicherheit weltweit zählen. Laut dem Report sind nur 60 Prozent der Befragten in der Lage, Risikobewertungen durchzuführen. Im Vergleich zum Jahr davor ist diese Zahl sogar gesunken. Darüber hinaus sind viele IT-Verantwortliche selbst nicht besonders von ihren Fähigkeiten in Sachen Risikobewertung überzeugt. Dieselbe Skepsis betrifft auch Umgebungen, die stark auf Container und DevOps basieren. Dabei spielen beide eine wesentliche Rolle in vielen aktuellen Entwicklungsszenarien für die Cloud-Nutzung in Unternehmen.

Es gibt mehrere Gründe für die Probleme, die die meisten Unternehmen mit Risikobewertungen haben. Zum einen sind die im Cloud Computing verwendeten Technologien noch relativ jung und entwickeln sich immer noch schnell weiter. Das macht es schwierig, sich auf bestimmte Security-Maßnahmen und Risikoparameter festzulegen. Außerdem aktualisieren und ändern die Cloud-Anbieter ihre Umgebungen und Dienste fortwährend. Dadurch wird eine verlässliche Risikobewertung erschwert. Zieht man dann noch die sich immer wieder ändernden Compliance-Vorgaben und Richtlinien in Betracht, die einzuhalten sind, dann wirkt die Aufgabe äußerst entmutigend, eine verlässliche Risikobewertung in der Cloud durchzuführen.

Ein weiterer wichtiger Grund, warum Risikobewertungen in der Cloud nicht erfolgen, sind mangelnde Kenntnisse der vorhandenen Mitarbeiter in Sachen Cloud-Sicherheit und generell zu wenig vorhandenes geeignetes Personal, um die anfallenden Aufgaben zu erledigen.

Frameworks für Risikobewertungen in der Cloud

Dabei wurden bereits von verschiedenen Seiten Anstrengungen unternommen, um Frameworks und Standards für Risikobewertungen in der Cloud zu verbreiten. Unternehmen können sie nutzen, um ihre eigenen Risikoanalysen durchzuführen, wenn sie sich für die Nutzung von Cloud-Diensten entscheiden.

So hat die European Network and Information Security Agency (ENISA) ein solides Framework veröffentlicht, mit dem sich die Risiken bewerten lassen, die mit der Cloud zusammenhängen.

Die ENISA stellt dazu zwei Dokumente bereit. Beim ersten handelt es sich um ein eher allgemeines Framework für die Cloud, das aber bereits alle wesentlichen Komponenten enthält, um die Sicherheit einer Cloud-Infrastruktur zu bewerten. Das zweite Dokument ist ein ergänzender Ratgeber zu diesem Framework, der die wichtigsten Punkte einer Risikobewertung enthält. Die ENISA-Dokumente bieten einen umfassenden Überblick über die größten Risiken in der Cloud und gehen unter anderem auf Themen wie Sicherheitsfragen beim eingesetzten Personal, physische Sicherheit, den eigentlichen Betrieb der Systeme und Anwendungen ein.

Ein anderer Ratgeber, der dabei hilfreich ist, eine Cloud-Umgebung zu bewerten, stammt von der Cloud Security Alliance (CSA). Der so genannte Consensus Assessments Initiative Questionaire deckt vieles ab, was auch die Dokumente der ENISA enthalten, geht aber auch auf die Cloud Controls Matrix der CSA ein. Außerdem wird das Framework häufiger aktualisiert als die ENISA-Unterlagen.

Ein weiteres Dokument, das nützliche Informationen enthält, wenn es um das Thema Risikobewertungen geht, ist der Cloud Risk-Ratgeber von Shared Assessments. Er gibt einige Empfehlungen zur Risikoabschätzung in der Cloud, bietet aber kein so umfangreiches Framework wie die Unterlagen von ENISA und CSA.

Ratgeber an die eigene Architektur anpassen

Unabhängig davon, für welches Framework sich eine Organisation entscheidet, müssen die eingesetzten Teams diese Ratgeber an die aktuelle Situation anpassen und erweitern, um ihre individuellen Ansprüche zu erfüllen. Es ist deswegen empfehlenswert, mehr als eine der Quellen zu nutzen und darauf dann aufzubauen.

Dazu kommt, dass diese Ratgeber weniger eindeutig sind, wenn es um hybride Cloud-Architekturen geht. Stattdessen beschäftigen sie sich vor allem mit Kontrollmöglichkeiten, die der Cloud-Anbieter selbst aufgesetzt hat oder die er seinen Kunden zur Verfügung stellt.

Unternehmen sollten ein besonderes Augenmerk auf folgende Sicherheitsmaßnahmen legen, die auch bereits schon im Vertrag festgelegt werden sollten: Verschlüsselung der Daten, Schlüssel-Management, Rollen-basierte Zugriffskontrollen, Multifaktor-Authentifizierung, Data-Lifecycle-Kontrollen, Einhaltung der gesetzlichen Anforderungen sowie Informationspflichten bei Datendiebstählen.

Darüber hinaus sollte ein Pflichtenheft erstellt werden, das für eine regelmäßige Kommunikation der Sicherheitsspezialisten mit anderen Abteilungen im Unternehmen sorgt. Auch die Geschäftsführung sollte zudem über ein umfassendes Wissen über die Risiken verfügen, die sich durch den Einsatz von Cloud-Diensten ergeben, über die möglichen Auswirkungen auf die Organisation und darüber, welche Optionen ihnen zur Verfügung stehen. Ein gut dokumentierter und leicht wiederholbarer Prozess zur Risikobewertung in der Cloud ist der beste Weg, um dies zu erreichen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Cloud Access Security Broker: Sichere Cloud-Nutzung gewährleisten

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

Cloud-Risiken: Wer trägt die unternehmerische Verantwortung?

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close