1. Cloud Security Policies

Cloud Service Provider (CSP) machen die Nutzung von Services sehr einfach. Kreditkarte hinterlegen und schon kann man zusätzliche Compute und Storage Power nutzen. Leider können auch so sehr einfach und schnell Daten ungewollt an Dritte abfliessen.

Vor einer Nutzung von Cloud Services sollte darum deren Verwendung vorab klar geregelt werden. Folgende Fragen müssen dabei unter anderem berücksichtigt werden:

Welche Regulatorien und Richtlinien müssen berücksichtigt werden?
Welche Daten dürfen durch Cloud Services verarbeitet werden?
Welche Cloud Service Provider dürfen genutzt werden?
Von wo dürfen Cloud Services genutzt werden (z.B. nur aus dem Unternehmensnetz heraus)?
Was passiert, wenn ein Cloud Service plötzlich nicht mehr verfügbar ist?

2. Inventarisierung der Cloud Services

Cloud Services sind mit herkömmlichen IT-Assets zu vergleichen und sollten wie diese inventarisiert werden. Der Aufbau eines Cloud Service Katalogs ist damit essentiell, will man explodierende IT-Kosten vermeiden. Jeder Service sollte dabei mindestens mit den folgenden Angaben beschrieben werden:

Name und Beschreibung des Cloud Services
Der Cloud Service Provider, der den Service erbringt
Die Klassifizierung der Daten, die durch den Cloud Service verarbeitet werden dürfen
Die Geografie (Region), wo der Cloud Service Daten verarbeitet
Ansprechpartner innerhalb des Unternehmens und beim CSP für Rückfragen

3. Risikobewertung

Mit der Nutzung von Cloud Services und den damit verbundenen Auslagerungen von Aufgaben an einen Cloud Service Provider erhöhen Sie die Abhängigkeit von diesem. Die daraus entstehenden Risiken können vielfältig sein; so kann zum Beispiel der Ausfall der Cloud Buchhaltungssoftware wegen verspäteter Zahlungen zu finanziellen Verlusten führen. Schlecht geschützte Cloud Services können ausserdem zu einem Abfluss von Kundendaten führen, was nicht nur im Finanz- und Versicherungsbereich ein Super GAU ist.

Mit Hilfe eines Risiko Assessments der Cloud Services können Sie die Risiken der Cloud Nutzung besser beurteilen und gezielt mitigierende Maßnahmen implementieren. Dies erlaubt eine auf Ihren individuellen Risikoappetit angepasste Cloud Nutzung. Das Risiko Assessment umfasst dabei folgende Punkte:

Umfang - Welche Cloud Services und Anspruchsgruppen sind betroffen? Wie sind die Verantwortlichkeiten verteilt?
Auswirkung - Welchen Einfluss hat eine Kompromittierung oder Ausfall des Cloud Services auf Ihr Geschäft (Stichwort Business Continuity)?
Bedrohung - Welche Bedrohungen ergeben sich durch die Nutzung der Cloud Services (z.B. schlecht geschützte APIs)?
Angreifbarkeit - Wie werden die Cloud Services durch den Provider und bei ihrer Verwendung geschützt?
Beurteilung - Wie hoch ist die Wahrscheinlichkeit einer Bedrohung und den damit verbundenen Konsequenzen für Ihr Geschäft?
Behandlung - Wie soll mit dem ermittelten Risiken umgegangen werden (mitigieren, verhindern, auslagern oder akzeptieren) und wer ist betroffen?

4. Cloud Provider Verträge

Typischerweise gibt es in der Gestaltung der Verträge mit Cloud Service Provider wenig Spielraum, stellt die Standardisierung der Leistungen ein Hauptmerkmal von diesen dar. Weiter sind Ihre Möglichkeiten als Kunde zur Kontrolle (Audit) und Überprüfung (Assessments) eines Cloud Providers begrenzt. Um so wichtiger ist es darum, diese vor einer Vertragsunterzeichnung zu prüfen. Im Vertrag sollten unter anderem die folgenden Punkte geregelt sein:

Welche Verpflichtungen hat der Cloud Service Provider (CSP)? Welche der Cloud Nutzer?
Welche Schutzmassnahmen setzt der CSP ein?
Welchen Gesetzen und Regularien untersteht der CSP?
Wie wird über Anpassungen der Cloud Services informiert?
Wie können Daten bei Vertragsbeendigung exportiert und weiterverarbeitet werden? Wie werden die Daten vom CSP sicher gelöscht?
Welche Audits werden durchgeführt und in welcher Frequenz?

5. Gewährleistung der Sicherheitsmassnahmen

Mit der Nutzung von Cloud Services wird ein Teil der Kontrolle (und Verantwortlichkeit) an den Cloud Service Provider übertragen. Unabhängige, externe Audits und Assessments belegen die Einhaltung der Sicherheitsmaßnahmen des Providers; sie stellen jedoch Momentaufnahmen dar. Typischerweise entwickeln Cloud Provider ihre Services weiter. Definiert muss also auch werden, wie im Unternehmen mit neuen Cloud Services und Änderungen an bereits genutzten Services umgegangen wird.

Weiter sollten auch die internen Kontrollen von Cloud Services regelmäßig geprüft werden:

Werden die geltenden Security Vorgaben eingehalten (Security Policies)?
Wie wird die Kommunikation zur und innerhalb der Cloud abgesichert (Network Security)?
Wie wird der Zugriff auf die Management Console und Cloud Services gesteuert (Access Management)?
Wie werden Daten in der Cloud geschützt (Data Protection)?
Wie werden die Cloud Anwendungen geschützt (Secure Configuration)?
Wie werden Schwachstellen im laufenden Betrieb erkannt (Security Monitoring)?

6. Rollen und Verantwortlichkeiten

Eine der herausragenden Stärken der Cloud Nutzung ist ihre Self-Service Fähigkeit. Anwender (Fachspezialisten, Entwickler, Sicherheitsexperten, etc.) können sofort, ohne weitere Bemühungen , Services aus der Cloud beziehen. Diese Fähigkeit befeuert die Innovationskraft und verkürzt die Time-to-Market Ihrer Projekte erheblich.

Jedoch sollte nicht jede Person autorisiert sein, alles zu dürfen. Nur jene Berechtigungen sollten vergeben sein, die für die jeweilige Tätigkeit notwendig sind. Weiter sollten lenkende Massnahmen implementiert werden, die eine intensive Cloud Nutzung erkennen und eingrenzen können.

Mit Hilfe einer Entitlement Matrix definieren Sie pro Tätigkeit die notwendigen Berechtigungen. Diese werden in einem weiteren Schritt mit den Access Management Werkzeugen des Cloud Providers umgesetzt.

Hast du auch einen spannenden Use Case? Let's talk!

Dominik Liebmann