Gajus - Fotolia

Fragenkataloge für die Bewertung von Cloud-Umgebungen nutzen

Viele Unternehmen sind damit weitgehend überfordert, die Sicherheit ihrer Cloud-Dienstleister bewerten zu können. Gemeinsam erstellte Fragenkataloge helfen bei dieser Aufgabe.

Viele Unternehmen sind noch dabei, ihre ersten Erfahrungen mit der Cloud zu machen und versuchen dabei herauszufinden, wie sie die Sicherheit ihrer Daten auf Dauer gewährleisten können.

Aus diesem Grund haben sich bereits in einigen Branchen Unternehmen zusammengefunden, um die Sicherheit der von ihnen genutzten Cloud-Plattformen bewerten zu können und um sie zu erhöhen. Mittlerweile gibt es auch schon viele kleinere und größere Anbieter, die sich auf dieses Thema spezialisiert haben.

In diesem Artikel geht es um gemeinsam erstellte Assessments für Cloud-Umgebungen. Er zeigt zudem, wie Unternehmen die damit möglichen Analysen durchführen und einsetzen können.

Shared Cloud Security Assessments

In vielen Unternehmen sind die Kapazitäten ihrer Sicherheitsteams nahezu oder komplett ausgereizt. Neben den schon bislang vorhandenen Themenfeldern, um die sie sich kümmern müssen, ist nun auch der rasante Anstieg bei der Nutzung der Cloud dazu gekommen. Ein großer Teil der grundlegenden Techniken bei der Absicherung von Cloud-Umgebungen basiert auf dem Shared-Security-Modell, bei dem externe Dienstleister und Hersteller für den Schutz der Daten verantwortlich sind.

Es existieren bereits jetzt viele Fragenkataloge, die im Laufe der vergangenen Jahre entwickelt wurden, und mit denen Unternehmen ihre IT-Systeme und -Umgebungen überprüfen und absichern können. Diese Fragen lassen sich in vielen Fällen individuell anpassen und auch für interne Assessments nutzen.

Im Bereich der Cloud sind einige neue Anstrengungen, zum Beispiel das Shared-Assessments-Programm und die Cloud Security Alliance, dazugekommen. Sie beabsichtigen, die bereits vorhandenen Fragenkataloge an die Gegebenheiten der Cloud anzupassen und kontinuierlich weiter zu verbessern, so dass Unternehmen mehr Möglichkeiten haben, die mit der Nutzung der Cloud verbundenen Risiken zu minimieren.

Eine auf dieses Thema spezialisiert Gruppe ist die Working Group „Shared Cloud Security Assessment“ des Higher Education Information Security Council (HEISC). Sie wird vom CISO (Chief Information Security Officer) der Baylor University, Jon Allen, geleitet. Ihr Ziel ist es, vorhandene Fragenkataloge und Shared Assessments zusammen mit Mitgliedern der internationalen Security-Community zu verbessern (Anmerkung der Redaktion: Der Autor arbeitet für Internet2 im Bereich Cloud Security und ist Teilnehmer der genannten Working Group).

Die Arbeitsgruppe setzt auf dem Cloud-Services-Programm von Internet2 auf und hat sich vorgenommen, auch im gehobenen Erziehungsbereich für eine höhere Akzeptanz und Sicherheit der Cloud zu sorgen. Dazu hat sie das Higher Education Cloud Vendor Assessment Tool entwickelt. Dabei handelt es sich unter anderem um einen Fragenkatalog in Form einer Excel-Tabelle, der auf Basis einer Zusammenarbeit mehrerer Universitäten und Erkenntnissen der Community entstanden ist und der kostenlos heruntergeladen werden kann. Die Arbeitsgruppe kümmert sich außerdem darum, dass diese Ressourcen auf Konferenzen präsentiert werden, so dass sie einer breiteren Öffentlichkeit bekannt werden.

Wie Unternehmen Fragenkataloge zur Cloud Security nutzen können

Es hat viele Vorteile, wenn Unternehmen zusammenarbeiten, um ihre Risiken zu minimieren. Die Gemeinsamkeiten erleichtern es den Teilnehmern, die Sicherheit ihrer Dienstleister zu überprüfen.

Auf der RSA-Konferenz 2017 gab es eine Präsentation mit dem treffenden Namen „Cloud Security Assessments: You're Doing It Wrong!“, in der Vertreter mehrerer Cloud-Dienstleister und -Anbieter ihren Kunden vorwarfen, dass sie die falschen Fragenkataloge für ihre Assessments verwenden. Unterschiedliche Fragestellungen, die teilweise auch unterschiedliche Bereiche abdecken, würden die Provider dazu zwingen, zu viele Ressourcen in die Beantwortung dieser Fragen zu stecken.

Unternehmen sollten deswegen stattdessen besser standardisierte Fragenkataloge verwenden, um die Belastung ihrer Cloud-Dienstleister zu reduzieren. Der Provider kann dann auch die bereits beantworteten Fragen nutzen und veröffentlichen, statt sich laufend der Beantwortung neuer oder ähnlicher Fragen widmen zu müssen.

Wenn der Fragenkatalog durch ein Gremium gemeinsam erstellt und veröffentlicht wurde, kann ein Serviceprovider seinen Kunden damit außerdem demonstrieren, wie ernst er es mit den Punkten Sicherheit und Transparenz seiner Maßnahmen meint. Dadurch kann er weiteres Vertrauen aufbauen. Außerdem wird es auf diese Weise für das Vertriebspersonal leichter, potentiellen Kunden die erforderlichen Informationen zu liefern. Auf der anderen Seite wird es auch für die Kunden einfacher, die für ihre Entscheidung benötigten Informationen zu erhalten.

Darüber hinaus profitieren auch Unternehmen aus anderen Branchen von bereits erstellten Fragenkatalogen, da sie sich vergleichsweise leicht an die eigenen Prozesse und Bedürfnisse anpassen lassen. Indem sie die Fragen in ihr Beschaffungswesen, in Formblätter, in ihr Risiko-Management und in ihr Ressourcen-Management integrieren, stellen Unternehmen sicher, dass alle Dienstleister einheitlich und standardisiert überprüft werden können.

Dazu kommt, dass der Einsatz gemeinsam erstellter Fragenkataloge den Vorteil hat, dass einzelne Unternehmen die Fragen nicht selbst aktuell halten und auch nicht kontinuierlich anpassen müssen. Nicht nur die Bedrohungen und Sicherheitsmaßnahmen ändern sich ja laufend, auch die Fragen und Checklisten bedürfen regelmäßiger Überarbeitungen. Betriebe innerhalb einer Branche können mit gemeinsamen Fragenkatalogen zudem beweisen, dass zuverlässige Sicherheitskontrollen im Einsatz sind. Davon profitiert auch das leitende Management, da es ihm leichter fällt, die getroffenen Sicherheitsmaßnahmen mit denen aus anderen Branchen zu vergleichen.

In diesem Bereich gibt es bereits zahlreiche Dienstleister, die Hersteller-, Drittanbieter- oder Cloud-Security-Assessments anbieten. Abhängig davon, wie viel ein Unternehmen bereit ist, auszugeben, bieten diese Firmen verschiedene Möglichkeiten. So können sie nur Daten sammeln, Risiken einschätzen oder die Cloud-Umgebungen im Auftrag des Kunden überwachen. Nichtsdestotrotz müssen Unternehmen sich selbst immer noch um die Kontrolle und Verwaltung dieser Prozesse kümmern. So können sie sicherstellen, dass nicht nur alle benötigten Maßnahmen ergriffen werden, sondern dass auch die Vertragsbedingungen eingehalten werden und die Risiken entsprechend ihrer Dringlichkeit eingestuft werden können.

Fazit

Nur wenige Security-Teams sind wirklich in der Lage und mit ausreichend Ressourcen ausgestattet, um alle für ein Unternehmen bestehenden Gefahren und Risiken zu erkennen und zu bekämpfen. Das bedeutet, dass sich die Mitarbeiter in der Regel nur um die wichtigsten Probleme kümmern können. Außerdem versuchen die meisten Unternehmen, kontinuierlich die Kosten zu senken, auch im Bereich Security.

Der Einsatz gemeinsam erstellter Ressourcen ermöglicht es den IT-Abteilungen, sich auf die wesentlichen Risiken und Aspekte zu konzentrieren, die für das jeweilige Unternehmen von Relevanz sind. Dazu gehören unter anderem individuelle Checklisten, um Systeme zu härten oder um die Sicherheit eines Dienstleisters bewerten zu können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cloud-Sicherheit: Unternehmensdaten schützen

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Cloud Security: Diese Punkte sollten Unternehmen beachten

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close