Providerauswahl, SLA, KPI

Checkliste für IT-Sicherheit in der Cloud

23.08.2019
Von Florian Jörgens
In der Praxis übersehen Führungskräfte gerne, dass bei Cloud-Lösungen die Unternehmensdaten auf fremden Servern liegen. Deshalb ist es sinnvoll, sich vor dem Wechsel in eine Cloud intensiv Gedanken über die IT-Sicherheit zu machen.
  • Auf was man bei der Providerauswahl achten sollte
  • Bei der Implementierung von Cloud-Diensten müssen verschieden Interessensgruppen im Unternehmen an einen Tisch geholt werden.
  • Mit diversen Key Performance Indicators (KPIs) lassen sich im Cloud-betrieb die Leistungen des Dienstleisters bewerten
  • Allerdings: Rechtlich betrachtet bleibt auch bei Cloud Services die Verantwortung über die Daten im eigenen Unternehmen.

Durch die stetig wachsende Digitalisierung steigt der Ruf nach Cloud-Services im privaten als auch beruflichen Umfeld. Während in großen Unternehmen die Digitalisierungs-Abteilungen rund um den Chief Digital Officer sich möglichst schnell von eigenen Rechenzentren und On-Premise Lösungen verabschieden möchte, ist die Informationssicherheit dort vorsichtiger.

Lanxess entwickelt Farbstoffe für unterschiedliche Anwendungen; unter anderem zur Einfärbung von Kunststoffen.
Lanxess entwickelt Farbstoffe für unterschiedliche Anwendungen; unter anderem zur Einfärbung von Kunststoffen.
Foto: Lanxess AG

Die Gründe liegen hier im Erhalt der vollständigen Kontrolle der Daten, in der erhöhten Transparenz aber auch im Wissensgewinn. Werden Services oder Prozess von einem externen Dienstleister bezogen, kann im eigenen Unternehmen das Wissen nicht aufgebaut werden.

Dabei gibt es auf Basis von Cloud-Technologien inzwischen die unterschiedlichsten Servicemodelle wie IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) oder SaaS (Software-as-a-Service).

Cloud-Missbrauch durch Crime-as-a-Service (CaaS)

Allerdings werden die permanente Verfügbarkeit und Skalierbarkeit von Cloud-Technologien auch für andere Zwecke missbraucht. So haben sich im Laufe der letzten Jahre immer mehr Geschäftsmodelle unter dem Begriff CaaS (Crime-as-a-Service) gebildet. Darunter wird die Nutzung von diversen Cloud-Diensten für kriminelle Zwecke verstanden. Das Angebot ist hierbei sehr vielfältig und bietet unter anderem mietbare Erpress-Trojaner (Ransomware), skalierbare DDOS-Angriffe (Distributed Denial of Service) über Botnetze aber auch den Verkauf vertraulicher Informationen sowie Plattformen zum Informationsaustausch.

Vorteile der Cloud

Abgesehen von diesem gefährlichen Treiben spricht grundsätzlich viel für die Nutzung von Cloud-Diensten: Hohe Skalierbarkeit und eine schnelle Bereitstellung ermöglichen eine flexible, bedarfsgerechte Nutzung während Anbieter durch Skaleneffekte geringere Preise an Kunden weiter reichen können. Zusätzlich bildet sich der Vorteil der Variabilisierung von Fixkosten durch pay-per-use.

Der automatisierte 12.500-Liter fassende Rührwerkskessel stellt großvolumige Agrochemikalien her.
Der automatisierte 12.500-Liter fassende Rührwerkskessel stellt großvolumige Agrochemikalien her.
Foto: Lanxess AG

Dabei wird ein entscheidender Punkt in der Praxis von Führungskräften oft übersehen: Die eigenen Unternehmensdaten liegen nicht in einer Wolke, sondern befinden sich auf Servern externer Dienstleister.

Um hierbei den Fokus Informationssicherheit nicht aus den Augen zu verlieren ist es sinnvoll, sich im Vorfeld über einige Dinge Gedanken zu machen.

Die Cloud-Varianten

Das beginnt schon bei der Auswahl der eigentlichen Bereitstellungsformen:

Dabei stellt die Private Cloud noch die höchste Sicherheit dar, da der Betrieb sowie die Nutzung exklusiv auf ein einzelnes Unternehmen beschränkt ist. Dies erleichtert die Lokalisierung der Daten und die Zugriffskontrolle. Bei der Community-Cloud hingegen teilen sich mehrere Unternehmen die Plattform, während die Public Cloud der breiten Öffentlichkeit zur Verfügung gestellt wird. Daneben existieren noch Mischformen wie Hybrid-Cloud oder Multi-Cloud.

Auf Zertifizierungen der Provider achten

Inzwischen entdecken auch kleine, bisher unbekannte Anbieter den Markt und bieten entsprechende Lösungen an. Diese sind oftmals günstiger als bereits etablierte Partner, sollten aber im Hinblick auf Kompetenz, Standort, ausreichende Transparenz, mögliches Insolvenzrisiko sowie Seriosität kritisch hinterfragt werden.

Aus Sicht der Informationssicherheit sind auch Zertifizierungen wie ein Informationssicherheits-Management-System (ISMS) nach ISO 27001 oder BSI-Grundschutz sowie die Einhaltung von technisch-organisatorischen Maßnahmen ein erster Indikator für ein bestimmtes Maß an Sicherheit.

Viel Zeit für Service-Level-Agreements (SLA) nehmen

Dies ist vor allem aufgrund der Tatsache relevant, da durch die Zusammenarbeit mit dem Dienstleister eine Abhängigkeit besteht und ein Wechsel zu einem anderen, beispielsweise durch ein neues Preismodell, schnell hohe Ressourcenbindung in Form von Geld und Zeit verursachen kann.

Florian Jörgens ist Chief Information Security Officer (CISO) bei der Lanxess AG: "Das schwächste Glied innerhalb der Sicherheitskette ist auch bei Cloud-Services der Mensch. Um die Ablage von vertraulichen oder datenschutz-relevanten Informationen auf unsicheren Plattformen zu verhindern, sollte eine entsprechende Klassifizierungs-Richtlinie die möglichen Freigaben klar definieren."
Florian Jörgens ist Chief Information Security Officer (CISO) bei der Lanxess AG: "Das schwächste Glied innerhalb der Sicherheitskette ist auch bei Cloud-Services der Mensch. Um die Ablage von vertraulichen oder datenschutz-relevanten Informationen auf unsicheren Plattformen zu verhindern, sollte eine entsprechende Klassifizierungs-Richtlinie die möglichen Freigaben klar definieren."
Foto: Lanxess AG

Viel Zeit sollte außerdem in das Aushandeln eines Service-Level-Agreements gelegt werden, in dem die zu erbringenden Dienstleistungen anhand festgelegter Kennzahlen klar definiert sind.

Alle relevanten Interessengruppen einbinden

Unabhängig von der eigentlichen Form müssen bei der Implementierung von Cloud-Diensten bestimmte Interessensgruppen innerhalb des Unternehmens an einen Tisch geholt werden. Während die IT sich vor allem um die technische Anbindung, die Einhaltung der SLA, Dienstleistersteuerung und Schnittstellen kümmert, trägt die Informationssicherheit dazu bei, den Prozess der Datenübertragung zu kontrollieren.

Enthalten diese Informationen einen konkreten Personenbezug, so muss auch der Datenschutz mit eingebunden werden. Ergänzend müssen, insofern bestimmte interne oder externe Vorgaben, zum Beispiel rechtlicher Herkunft, vorhanden sind, auch Verantwortliche aus dem Bereich Corporate Governance und Compliance informiert werden.

KPI für die Provider-Steuerung

Um den möglichen Risiken entgegenzuwirken, ist es sinnvoll Prozesse, Technologien als auch Mitarbeiter auf die Cloud-Implementierung vorzubereiten. Hierbei ist ein besonderer Fokus auf die Dienstleister-Steuerung zu setzen um klare Definitionen hinsichtlich Access-, Incident-, Change-, und Problem-Management zu gewährleisten.

Im Rahmen der Dienstleister-Steuerung gibt es diverse Key Performance Indicators (KPIs) anhand derer sich die Leistung des Dienstleisters bewerten lässt. Neben den klassischen Applikations- Indikatoren wie Ausfallzeit, Latenzzeit oder Verfügbarkeit sollte aus Sicherheitsgesichtspunkten eigene Kennzahlen festgelegt werden. Dazu zählen, bezogen auf die Cloud-Anwendung, die

  • Anzahl der gemeldeten Security Incidents: Major / Minor

  • Mean Time to Detect (MTTD)

  • Mean Time to Resolve (MTTR)

  • Ergebnisse von Audits / Phishing-Tests

Auch eine Regelung zum sicheren und zeitnahen Löschen, sowie regelmäßiger Datensicherungen muss definiert werden.

Aus technologischer Sicht sollten Verschlüsselung (Verbindungen, als auch bei Ablage von Daten), sowie Multi-Faktor-Authentifizierung als Standard angesehen werden um die Vertraulichkeit sowie Integrität der Informationen zu schützen. Diese Technologien sollten nicht nur intern, sondern auch beim Dienstleister Verwendung finden.

Klassifizierungs-Richtlinien für Freigaben klar definieren

Das schwächste Glied innerhalb der Sicherheitskette ist auch bei Cloud-Services der Mensch. Um die Ablage von vertraulichen oder datenschutz-relevanten Informationen auf unsicheren Plattformen zu verhindern, sollte eine entsprechende Klassifizierungs-Richtlinie die möglichen Freigaben klar definieren. Diese gibt vor in welche Kategorie die entsprechenden Informations-Typen eingestuft werden.

Dabei wird in der Regel auf vier Stufen - öffentlich, intern, vertraulich und streng vertraulich / secret - zurückgegriffen. Dabei muss kritisch hinterfragt werden ob streng vertrauliche Daten, also die Kronjuwelen, überhaupt den Weg in die Cloud finden, oder das Risiko eines möglichen Know-How Verlusts im Vorfeld schon durch Verzicht reduziert.

Die Daten-Verantwortung bleibt im Unternehmen

Allerdings bleibt zu sagen, dass bei allen Vorteilen der Cloud-Dienste zwar die Verantwortlichkeit zur Informationssicherheit ausgelagert werden kann, die Verantwortung über die Daten, rechtlich betrachtet, allerdings im eigenen Unternehmen bleibt.