Es beginnt oft mit einem Test-Account. Der kostet erstmal nichts und ermöglicht, einen Cloud Service unverbindlich auszuprobieren. Wie funktioniert das? Wie kann ich damit umgehen? Könnte das für uns passen? Und weil es verschiedene vergleichbare Angebote gibt, werden die auch gleich mal ausgecheckt. Diese Versuche führen oft zu nichts weiter als toten Test-Accounts, in denen trotzdem Unternehmensdaten erfasst sind – und die online bleiben und damit Sicherheitsrisiken bilden.
Fünf C für Cloud Security.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt den „Cloud Computing Compliance Criteria Catalogue“ (kurz: C5) bereit. Seit Anfang 2020 ist eine aktualisierte Version verfügbar, die der gewachsenen Anwendungsvielfalt und Komplexität besser gerecht wird. Damit haben Anbieter wie Nutzer konkrete Kriterien in der Hand, die auch einer unabhängigen Prüfung und Bewertung unterzogen werden können.
Im anderen Fall wird ein Dienst ausgewählt und in der Folge dauerhaft eingesetzt. Über der Einfachheit wird versäumt, dabei auch Sicherheitsaspekten nachzugehen – läuft ja. So kommt eins zum anderen und schnell entsteht ein Wildwuchs an cloudbasierten Anwendungen, die nicht sauber in IT-Infrastrukturen integriert sind. „What you see is what you get“ stimmt hier nur an der Oberfläche, denn mitgeliefert wird ein schlecht geschützter Zugang zu den eigenen Datenbanken.
Der einfache Zugang zu Cloud-Diensten ist von Anbieter- wie Nutzerseite gleichermaßen gewollt. Da erscheint kein Warnschild, bevor man loslegt: ACHTUNG, SICHERHEIT BEACHTEN! Also legt man los.
Je nach Organisationsgrad des Unternehmens werden hier unter- schiedliche Standards gelebt. Start-ups mit „Macher“-Mentalität sehen das meist locker. Junge Gründer, die es privat nicht anders gewohnt sind, nehmen Datenschutz und -sicherheit oftmals nicht so genau. Mit einem schnellen Wachstum steigen dann auch die Risiken einer unübersichtlichen Wolkenformation. Man könnte sich vor- stellen, dass das irgendwann auch für die Unternehmensbewertung relevant wird …
Aber auch in etablierten Firmenstrukturen wird nicht unbedingt regelgerecht agiert. Etwa, indem Fachbereiche Cloud Services nutzen, ohne die IT-Abteilung zu involvieren. Die kann dann auch keine Sicherheitsmaßnahmen treffen. Zudem ist den Anwendern oft nicht klar, was mit den Daten in der Cloud weiter passiert.
Die alte Schule der IT war da noch von anderem Schlag: Ohne Administrator ging gar nichts. Da konnte man höchstens mit dem Finger auf den Schreibtisch trommeln und hoffen, dass irgendwann die Software aktualisiert wird. Diese Zeiten sind Gott sei Dank vorbei. Cloud- Lösungen bieten automatisierte Updates. Sie unterliegen überhaupt ständigen Änderungen – nicht nur der Nutzungsbedingen, denen man vielleicht ungelesen zustimmt. Was als Selbstläufer erscheint, erfordert deshalb fortgesetzt Aufmerksamkeit.
Man darf nie vergessen: Die Public-Cloud-Anbieter betreiben ihre Rechenzentren nach eigenen Regeln. Weltweit verteilt, ohne dass man wüsste, auf welchen Servern hochgeladene Daten liegen oder von welchem Land ins nächste diese, etwa bei einer technischen Störung, verschoben werden. Dabei kann auch schon mal eine Firewall außen vor bleiben oder eine Anwendung zeitweise nicht erreichbar sein. Diese Umstände kann man nicht beeinflussen. Was aber geht: eine eigene Sicherheitsarchitektur für die Cloud-Nutzung aufbauen und konsequent auf allen Ebenen durchsetzen.
Grundlage dafür bildet die Bewertung des eigenen Schutzbedarfs. Erst dann kann man sinnvoll planen. Das wird aber oft nicht gemacht. So kommt es, dass dann E-Mail-Services ohne ausreichende Mail Protection, virtuelle Server ohne Firewall und Datenbankinstanzen ohne Datensicherung betrieben wer- den. Die einfachsten Vorkehrungen sind keineswegs selbstverständlich: Zwei-Faktor-Authentifizierung, Passwortrichtlinien, personalisierte Administratorzugänge und granulare Administratorrollen – so viel sollte eigentlich selbstverständlich sein. Was auch oft übersehen wird: Viele Cloud Provider bieten automatische Test-Tools, um die Sicherheit der Konfiguration zu bewerten. Das ist schon hilfreich.
Alles in allem will der Umgang mit Cloud Services noch geübt sein. Das Angebot ist breit zugänglich und schneller gewachsen als das Verständnis für eine sichere Handhabung und Integration in Unternehmensstrukturen. Wer will, findet da- bei nicht nur beratende Unterstützung. „Wir helfen unseren Kunden, für ihre Sicherheitsanforderungen die passenden Cloud Services zu identifizieren und auch sicher zu konfigurieren“, erklärt Christian Dittrich, Leiter des Bechtle Competence Centers Security in Köln. „Geeignete Security-Software überwacht dann einen möglichen Datenabfluss und entdeckt gefährliche Download-Links. Auf Wunsch erstellen wir auch monatliche Security-Audits.“ Bechtle übernimmt auch die Betriebsverantwortung und sorgt dafür, dass die Sicherheit immer auf dem neusten Stand ist. Wer allein im Self-Service unterwegs ist, muss Änderungen, Aktualisierungen und Sicherheitsaspekte auch selbst im Auge behalten. Man hat eben immer die Wahl: machen oder machen lassen.
Ansprechpartner.
Bechtle update Redaktion
update@bechtle.com
Zum Thema.
- Bechtle Clouds: Die Zukunft heißt Cloud.
- Artikel: FNT transformiert das Business in die Cloud.
- Blog: 5C für die Cloud-Security.
Newsletter.
Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
