Security-Tipps für die Cloud

Knackpunkt Service-Provider

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Wer sich für Cloud Computing entscheidet, sollte den Anbieter nach den Standards ISO 27001 und 27002 fragen. Dieser und sieben weitere Ratschläge von Cyber-Ark.
Die Norm ISO 27001 für Informationssicherheits-Managementsysteme ist eines der Kriterien, auf das Cloud-Anwender bei der Auswahl des Dienstleisters achten sollten, meint Sicherheitsanbieter Cyber-Ark.
Die Norm ISO 27001 für Informationssicherheits-Managementsysteme ist eines der Kriterien, auf das Cloud-Anwender bei der Auswahl des Dienstleisters achten sollten, meint Sicherheitsanbieter Cyber-Ark.
Foto: Banksidebaby_Fotolia

Sicherheitsbedenken gelten als größter Hemmschuh in Sachen Cloud Computing. Nicht zu unrecht, wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) feststellt. Das Amt hat kürzlich ein Eckpunktepapier über Security-Mindestanforderungen erstellt. Der Heilbronner Sicherheits-Anbieter Cyber-Ark schiebt jetzt acht Tipps nach.

Cyber-Ark fokussiert sich dabei auf die Service-Provider. Denn Administratoren des Dienstleisters erhalten Zugang zu Anwendungen, Prozessen, Services, Systemen oder Daten. Entscheider sollten daher genau erfragen, welche Lösungen der Provider einsetzt und wie er Zugriffsmöglichkeiten überwacht.

Im Einzelnen lauten die Empfehlungen wie folgt:

1. Management privilegierter Benutzerkonten: Der Service-Provider muss ein Privileged-Identity-Management-System für die Verwaltung privilegierter Accounts im gesamten IT-Betrieb implementiert haben. Das soll dem Nutzer der Cloud garantieren, dass Policies, Prozesse und Practices seine Anforderungen an die Datensicherheit erfüllen. Dabei sollte der Dienstleister Standards wie ISO 27001 oder 27002 einhalten.

2. Policy-Konformität: Die Policies und Prozesse des Privileged Identity Management auf Providerseite müssen denen des Unternehmens entsprechen. Im Idealfall sind alle ISO-basiert.

3. Evaluierung: Im Auswahlprozess sollten Entscheider die Security-Struktur des Service-Providers genau überprüfen und evaluieren. Dabei ist insbesondere darauf zu achten, dass Tools für das Privileged Identity Management eingesetzt werden, die die Security-Policies und -Prozesse automatisch unterstützen.