rvlsoft - Fotolia

Cloud-Dienste: Die IT-Sicherheitsstrategie überarbeiten und anpassen

Wenn Cloud-Dienste genutzt werden, muss dies die Sicherheitsstrategie eines Unternehmens berücksichtigen. Und zwar von Anfang an.

Wenn Unternehmen Teile ihrer IT in die Cloud verlagern oder Cloud-Dienste nutzen, müssen sie die sicherheitsrelevanten Konsequenzen dieser Schritte berücksichtigen.

Dies gilt für SaaS-Ansätze (Software as a Service) wie PaaS-Lösungen (Platform as a Service) gleichermaßen. Eine Cloud-Sicherheitspolitik betrifft nahezu alle Bereiche einer tradtionellen IT-Verteidigungsstrategie.

An dieser Stelle konzentrieren wir uns auf drei Themen: die Auswahl des Anbieters, Datenklassifizierung sowie minimale Sicherheitsstandards.

Auswahl des Cloud-Anbieters

Bereits die Auswahl des Cloud-Anbieters beziehungsweise Providers ist im Hinblick auf eine umfassende Cloud-Sicherheitsstrategie ein heikler Punkt, birgt dies doch sowohl politische als auch finanzielle wie technische Risiken. Die Anbieter von Cloud-Diensten sprechen oft direkt mit den Geschäftsführern, ohne die IT-Abteilung sofort miteinzubeziehen. Wenn die technischen ITler erst hinzugezogen werden, wenn der Vertrag bereits unterzeichnet ist, kann die Umsetzung sehr problematisch werden. Im Hinblick auf Sicherheitsrichtlinien sollten bereits zu einem sehr frühen Zeitpunkt der Anbieterauswahl die IT-Spezialisten, Compliance-Experten, Rechtsabteilung sowie die Geschäftsführung einbezogen werden. Jeder dieser Beteiligten sollte an den Anforderungen für die Auswahl eines Cloud-Anbieters mitwirken und an der Sicherheitsstrategie beteiligt sein.

Datenklassifizierung

Viele Unternehmen haben bereits Richtlinien, wenn es um die Datenklassifizierung hinsichtlich sensibler Daten geht. Manche Klassifizierung mag nicht mehr ganz zeitgemäß sein und muss unter Umständen an das Thema Cloud angepasst werden. Eine der ersten und wichtigsten Fragen, die es bei der Nutzung von Cloud-Diensten zu klären gilt: „Dürfen sensible Informationen in die Cloud oder nicht?“.

Und da beginnen meist schon die Schwierigkeiten, viele Firmen haben keine klare Definition, was eigentlich sensible Daten sind. Daher ist diese frühe Phase einer möglichen Cloud-Auswahl ein ausgezeichneter Zeitpunkt diese Definition an sich einmal für das eigene Unternehmen zu überdenken. Hier kann man festlegen, welche Kontrollen und Genehmigungen notwendig sind, bevor die Daten unterschiedlicher Klassifizierung in die Cloud gelangen.

Sicherheitsstandards überdenken

Darüber hinaus sollten Unternehmen ihre existierenden Sicherheits- und Kontrollstandards daraufhin abklopfen, ob diese mit einer Cloud-Implementierung noch funktionieren. Manche Anforderungen werden sich in der Cloud schlicht nicht umsetzen lassen, oder müssen angepasst werden, um den zugrundeliegenden Sicherheitsanforderungen gerecht zu werden. Beispielsweise, wenn eine aktuelle Richtlinie besagt, dass alle öffentlich zugänglichen Anwendungen über eine Stateful Inspection Firewall abgesichert sein müssen und bestimmte Regeln angewandt werden, um die Server zu schützen. Ein IaaS-Anbieter kann diese Regeln unter Umständen nicht direkt umsetzen, sondern muss andere Lösungen verwenden, um den Schutz der Server zu gewährleisten.

Ist eine gesonderte Cloud-Sicherheitsstrategie erforderlich?

Jedes Unternehmen, dass mit Daten in der Cloud hantiert, sollte sicherstellen, dass die eigenen Sicherheitsrichtlinien dies auch berücksichtigen. Das heißt nun aber keineswegs, dass eine von Grund auf neue „Cloud-Sicherheitsrichtlinie“ angelegt werden muss. Es ist ein guter Ansatz, die bestehenden Sicherheitsstandards und –richtlinien einfach um das Thema Cloud zu ergänzen.

Es gibt natürlich auch Befürworter eines gesonderten Cloud-Dokumentes, damit alle Punkte diesbezüglich an einer Stelle zu finden sind. Dieser Ansatz separiert allerdings Cloud Computing von anderen IT-Bereichen. Und damit die Cloud integraler Bestandteil der gesamten IT wird, sollte sie mit den gleichen Richtlinien bedacht werden, die auch für andere Infrastrukturbereiche, Daten und Anwendungen gelten.

Für welchen Ansatz man sich auch immer entscheidet, der Einstieg in die Cloud ist der richtige Zeitpunkt, um die Sicherheitsstrategie eines Unternehmens entsprechend anzupassen. Der eingangs beschriebene Ansatz einer gemeinsamen Verantwortlichkeit für die Anforderungen an das Cloud Computing sollte eine gemeinsame Formulierung der notwendigen Maßnahmen beinhalten. So können Anbieter und Kunden gemeinsam dafür sorgen, die Einhaltung der Richtlinien kontinuierlich aufrecht zu erhalten und zu überwachen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close