Grafik einer Wolke, in der ein Vorhängeschloss ist, im Hintergrund binärer Code

Sicher und mit gutem Gefühl in die Cloud

Wie schafft man es, eine Cloud-Umgebung sowohl jederzeit verfügbar wie auch sicher gegen Datenverlust zu machen?

Die Cloud ist in aller Munde. Meist positiv - aber auch Negativschlagzeilen machen die Runde. So brachte der Brand eines Rechenzentrums in Straßburg im März 2021 die Realität auf den Tisch, dass es sich auch bei der Cloud um Infrastruktur handelt und nicht um einen weltweit verteilten Service, dem so schnell nichts etwas anhaben kann. Die großen Cloud-Anbieter bemühen sich, Cloud-Services über mehrere Rechenzentren zu verteilen, sind aber hier in der Zwickmühle zwischen der Entfernung und des damit physikalisch bedingten Delays und der Redundanz der angebotenen Services.

Im täglichen Kontakt mit den CIO’s unserer Kunden werden uns gerne garantierte Verfügbarkeiten der Cloud-Anbieter präsentiert - aber es sollte nicht vergessen werden: Zwischen der Verfügbarkeit von Services und dem Totalverlust der Daten eines Unternehmens - wodurch auch immer - besteht ein riesiger Unterschied, den man nicht einfach in einer Prozentzahl 99,xxx darstellen kann.

Damit die Sicherheit der Daten nicht zum Lotteriespiel mit einer mehr oder weniger hohen Wahrscheinlichkeit wird, sind die Infrastruktur eines Cloud-Anbieters, aber auch die Anbindung des Unternehmens sowie alle Prozesse zu überprüfen.

Jedes Unternehmen, finden wir, sollte sich Unterstützung suchen für die Schritte vom Vertragsabschluss bis zum Vertragsende mit einem Cloud-Dienstleister. Die Gewissheit, dass ein unabhängiger Dritter über die beauftragten Dienstleistungen und Anbindungen an die Cloud ein Assessment mit Sicherheitskriterien nach dem erforderlichen Schutzbedarf durchführt, gibt CIO und CSO die notwendige Sicherheit.

Bei einem Cloud Assessment werden z.B. folgende Bereiche betrachtet:

  • Cloud Service und Scoping: Sind alle Services korrekt aufgesetzt und in die Prozesse integriert? Liegen die benötigten Zertifizierungen für die Branche vor, z.B. TISAX in der Automobilbranche? Sind alle Netzwerkdiagramme und funktionellen Beschreibungen erstellt?…
  • Cloud Governance, Risk & Personal: Ist eine Governance-Strategie aufgesetzt? Sind Tools für Monitoring und Reporting implementiert und in die Sicherheitsstrategie integriert? Werden regelmäßige Risk und Security Assessments durchgeführt? Sind Finanzkontrollen für Cloud Services korrekt aufgesetzt?...   
  • Access Management: Sind die Sicherheitsrichtlinien und das Rollen- und Rechte-Konzept der Cloud-Umgebung angepasst? Ist die Verschlüsselung innerhalb der Cloud und im Transport sichergestellt und durch ein Verschlüsselungskonzept dargestellt? Sind Backdoors für administrative Zwecke vorhanden?
  • Data Security: Welche Daten sind mit welcher Schutzwürdigkeit in der Cloud? Wie schützt der Cloud-Anbieter die Daten und gewährleitet Sicherheit und Integrität? Wie ist das Encryption-Konzept integriert und auch über Transport bis zum Endgerät implementiert?...
  • Network: Existiert das Verständnis der Wege und Interfaces wie jedes Datenpaket vom Firmennetzwerk zum Cloud-Dienstleister und zurück transportiert wird? Ist DDOS Protection implementiert, insbesondere durch Private Ports? Ist der Bedarf für Express Routes geklärt und implementiert?...
  • User Device Management: Sind Workflow-Diagramme zwischen Device und Netzwerken vorhanden? Ist eine MDM Policy an die Cloud-Umgebung angepasst worden? Ist ein „Cloud Access Security Broker“ implementiert? Wenn ja, wer managed die Policies?...    

Dies ist nur ein kleiner Ausschnitt aus den Fragen, die sich vor oder beim Weg in die Cloud stellen. Wir bearbeiten diese Fragen gerne mit unseren Cloud-Experten im Hause unserer Kunden und erarbeiten Lösungen, Schritt für Schritt - und sorgen somit für eine sichere Cloud Umgebung.

Profilbild Patrick Fischer

Patrick Fischer, Senior Consultant Netzwerk Security

Tel +49 (0) 172 629 60 27
pfischer@spirit21.com

Patrick ist in unserem Hause Ansprechpartner für Assessments im Bereich Grundschutz nach BSI und ISO 27001 sowie verantwortlich für Projekte im Bereich Netzwerk Security.