Der Weg in die Cloud ist geschafft – wie geht es weiter?

Alle Informationen und ausführliche Erklärungen finden Sie auch in unserem Whitepaper.

Drei Viertel aller Unternehmen sind den Weg in die Cloud bereits gegangen und haben demnach laut dem Cloud Monitor 2020, Cloud Computing im Einsatz. Ist auch Ihre Cloud Strategie aufgestellt und sind Sie den Schritt in die Cloud erfolgreich gegangen, haben Sie bereits einen großen Meilenstein überwunden. Herausforderungen wie die Herstellung der Cloud Readiness, die Wahl des richtigen Providers, die Durchführung einer Bedrohungsanalyse sowie die Transformation Ihrer Daten und Applikationen haben Sie erfolgreich gemeistert – und jetzt? Einmal in der Cloud angekommen, ist der Weg noch nicht zu Ende. Es gibt Themen, die Sie kontinuierlich verfolgen müssen und diese wollen wir Ihnen im Blogbeitrag näherbringen.

Ein Dauerthema, das stets wachsam verfolgt werden muss, ist die Einhaltung der Datenschutz-Grundverordnung (DSGVO) in der Cloud. Die Veröffentlichung der neuen DSGVO im Mai 2018 warf zunächst viele Fragen auf und sorgte vor allem im Bereich Cloud Computing und Cloud Hosting für Verunsicherung. Es zeigte sich jedoch, dass die DSGVO dafür sorgte, dass Unternehmen mit der Datenspeicherung und der Datensicherheit verantwortungsbewusster umgehen und technologische Lücken in der IT-Infrastruktur schlossen. Um die Einhaltung der DSGVO in der Cloud gewährleisten zu können, sind vor allem folgende drei Kriterien zu beachten:

1. Der Serverstandort des Cloud-Dienstleisters: Die Speicherung und Verarbeitung von personenbezogenen Daten sind ausschließlich innerhalb der EU problemlos zulässig. Kann das nicht gewährleistet werden, müsste der Drittstaat das Datenschutz-Niveau auf den europäischen Standard anheben, um personenbezogene Daten zu speichern und zu verarbeiten.
    
2. Eine angemessene Verschlüsselung von sensiblen Daten: Prüfen Sie regelmäßig Ihre Daten in der Cloud und evaluieren Sie, welche Daten als vertraulich und welche als streng vertraulich eingestuft werden. Dementsprechend sollte die Verschlüsselung der Daten sinnvoll eingesetzt und kontinuierlich geprüft werden.
    
3. Datenhoheit bzw. Zugriffsrechte: Damit Sie jederzeit die Kontrolle über Ihre Daten behalten, sollten Sie die Datenhoheit in Ihrem Unternehmen bewahren und auf weitere Überwachungsmöglichkeiten von Aktivitäten, Admin-Rechten und Einstellungsmöglichkeiten für interne Sicherheitsrichtlinien achten. Der ausgewählte Cloud-Dienstleister sollte das Benutzer- und Berechtigungsmanagement auf differenzierten Sicherheitsstufen ermöglichen. Die wichtigsten Anforderungen an Ihr Identitäts- und Berechtigungsmanagement behalten Sie mit unserer Checkliste im Blick.

Bei der Herstellung der Cyber Readiness geht es darum, ein Konzept zu entwickeln, wie auf Cyber-Angriffe reagiert und wie mit Ihnen umgegangen werden soll. Haben Sie bei der Entwicklung Ihrer Cloud-Strategie, eine Bedrohungsanalyse durchgeführt und für Ihre Gefährdungen passende mitigierende Maßnahmen getroffen, können Sie in der Regel auf einige Cyber-Angriffe reagieren. Gehen wir davon aus, Sie sind Inhaber eines Online-Shops, sodass die Bedrohung DDoS-Attacke für Sie zur Gefährdung werden könnte. Haben Sie schon im Rahmen der Herstellung der Cloud Readiness mitigierende Maßnahmen wie ein SIEM und SOC umgesetzt, dann haben Sie bereits einen gewissen Grad der Cyber Readiness erreicht. Es lässt sich also folgende Aussage ableiten: Je genauer im Voraus die Cloud Readiness hergestellt wurde, desto weniger Aufwand entsteht beim Betrieb der Cloud!

Eine weitere Maßnahme, die sich positiv auf die Herstellung der Cyber Readiness in der Cloud auswirkt, ist die Implementierung eines Informationssicherheitssystems (kurz: ISMS) für die Auslagerung von Prozessen. Die Aufgabe des ISMS besteht darin, die durch die IT verursachten Risiken identifizierbar und beherrschbar zu machen. Die Normierung des ISMS erfolgt in der Standardreihe ISO/IEC 2700x. Zentrale Bestandteile der Standardreihe sind die ISO27001 und ISO27003.

Aufgrund der exponentiell steigenden Datenmenge in der Cloud unterliegt die Arbeit der Forensik-Experten wesentlichen Veränderungen. Alte Forensik-Instrumente sind häufig ungeeignet, aber vor allem Cloud-Provider wie Google, Apple, Microsoft oder Amazon verfügen über Cloud-spezifische Tools, die sie für ihre eigenen internen Untersuchungen und Anforderungen entwickelt haben. Ergänzend dazu gewähren immer mehr Cloud-Anbieter einen Einblick in ihre IT-Sicherheit. Die genannten Anbieter stellen mittlerweile Informationsplattformen bereit, auf denen detailliert über den aktuellen Sicherheitsstatus verschiedener Teile der Cloud berichtet wird. Dies bietet dem Cloud-Anwender ein hohes Maß an Transparenz.

Häufig ist jedoch der Mensch selbst die größte Bedrohung, weshalb eine umfassende Schulung Ihrer Mitarbeitenden erfolgen sollte. Am bekanntesten sind wohl Schadprogramme, die in Form eines E-Mail-Anhangs versendet und über Anklicken des Anhangs installiert werden. Hierbei entsteht ein immenser Schaden für das Unternehmen, weshalb Schulungen zu etablieren sind, die die Mitarbeiter auf solche Attacken vorbereiten.