Mit gutem Gewissen in die Cloud

Applikationen auf Hyperscaler-Plattformen entwickeln, eröffnet neue Perspektiven. Aber ist es auch sicher?

Azure, AWS und Google ermöglichen durch ihre Cloud-Services eine schnellere Time-to-Market und höhere Effizienz. Aber wie sieht es rechtlich aus bei der Verarbeitung von vertraulichen Kundendaten in der Cloud und wie kann die Datensicherheit gewährleistet werden? Die beiden ipt Experten Matthias Buchs und Cyrill Rüttimann, zeigen im C-Level-Magazin Unterschiede zwischen traditioneller On-Permises und Cloud Security auf.

6 kritische Eckpunkte für die Entwicklung von Applikationen in der Cloud

  1. Die Geschäftsleitung trägt die Verantwortung für die Kundendaten

    Grundsätzlich stellen die Hyperscaler verwaltete Dienste zur Verfügung, die mit anderen Kunden geteilt werden. Die Verantwortung für die Daten lässt sich nicht delegieren. «Werden die Daten mit den Diensten der Hyperscaler verarbeitet, ist das Unternehmen selbst für den Umfang der Sicherheitsvorkehrungen verantwortlich», heben die beiden ipt Experten hervor.

  2. Doppelte Sicherheit durch zweifache Prüfung

    Wenn wir davon ausgehen, dass die entwickelnde Lösung aus einer Vielzahl von Diensten besteht, muss jeder einzelne Dienst zu Sicherheit beitragen. Das bedeutet, dass für eine sicherheitstechnische Aufgabe, mehrere Dienste vorhanden sein müssen. Wird dieselbe Aufgabe ein zweites Mal durchgeführt, so wird bei einem Fehler in einem Dienst der zweite den potenziellen Datenabfluss erkennen und verhindern.

  3. Sicherheit ist an den Cloud Provider delegierbar

    «Der Cloud Provider ist für das Einhalten von Best Practices bezüglich der Sicherheit seiner Dienste verantwortlich, nicht aber für die Konsequenzen», zeigen die beiden Associate Partners auf.

    Je höherwertiger die Services, umso weniger müssen Sie für die Sicherheit der Daten investieren. Die angebotenen Services sollten deshalb auch auf Aufwand zur Angriffsflächenabwehr untersucht werden. Hyperscaler sind in der Pflege und dem Migrieren von Sicherheitslücken meist besser. Es lohnt sich somit zu prüfen, ob Sicherheitsaufgaben delegiert werden können.

  4. Weniger Risiken durch Automatisierung der Governance

    Werden Kontrollmechanismen in Form von ausführbarem Code automatisiert umgesetzt, ist sichergestellt, dass interne und externe Auflagen ohne blinde Flecken eingehalten werden.

  5. Zentrales Verwalten macht Security beherrschbar

    Indem wichtige Aspekte wie Identitäten, Berechtigungen oder Policies zur Datenautorisierung zentral verwaltet werden, behalten Sie trotz grosser Autonomie bei den Entwicklungsteams die Fäden in der Hand. Wobei die Nutzung typischerweise dezentral durch die Entwicklungsteams erfolgt.

  6. Das grösste Risiko ist der Mensch

    Die Lösung ist so sicher wie die Kultur der Organisation. So ist es entscheidend, dass sich die Mitarbeitenden an die Vorgaben halten und die Prozesse entsprechend umsetzten.

«Für den kontrollierten Weg in die Cloud braucht es einen Plan basierend auf Organisation, Kultur und Technologie.»
Matthias Buchs & Cyrill Rüttimann Associate Partner, ipt

Lesen Sie den gesamten Artikel von unseren beiden Associate Partnern und Cloud-Experte Matthias Buchs und Cyrill Rüttimann aus dem C-Level-Magazin 2|2020.