Clouds – oder besser gesagt cloudbasierte Services von Infrastrukturen, Plattformen und Software – sind ohne Zweifel im Unternehmensumfeld angekommen. Mehr noch: In den nächsten Jahren werden zahlreiche Services ausschliesslich cloudbasiert angeboten. So wird ein Grossteil der heutigen On-Premise IT-Services in die Cloud migriert. Unternehmen und ihre IT-Verantwortlichen sollten sich unbedingt auf diesen Schritt vorbereiten. Doch wie sieht der sichere Weg in die Cloud aus? Und welche Hürden gilt es zu meistern? Dieser Beitrag bringt Licht ins Dunkle – und zeigt die Reise anhand der fünf notwendigen Schritte auf.
Die Cloud bietet für Unternehmen unbestritten viele Vorteile für ihr Business. So zum Beispiel Kostenreduktion, gesteigerte Agilität und Flexibilität sowie bessere Verfügbarkeit. Sie bringt aber auch Herausforderungen in puncto Sicherheit, Datenschutz, Governance und Compliance mit. Die ständig wachsenden Cyberbedrohungen und Compliance-Vorgaben sind Gründe, weshalb Unternehmen immer wieder zögern, Cloud-Technologien zu nutzen. Wenn man über die Sicherheitsrisiken nachdenkt, die mit der Einführung der Cloud-Technologie verbunden sind, ist diese Haltung auch durchaus verständlich. Sich bei der Sicherheit der Daten in der Cloud nur auf den Anbieter zu verlassen, wäre ein fataler Fehler. Unternehmen sind deshalb gut beraten, sich selbst diesem Thema anzunehmen. Die «CSA – Cloud Security Alliance» definiert aktuell elf Risiken beim Einsatz von Cloud-Services:
- Unzureichendes Identitäts-, Berechtigungs-, Zugangs- und Schlüsselmanagement
- Unsichere Schnittstellen und APIs
- Fehlkonfiguration und unzureichende Änderungskontrolle
- Fehlen einer Cloud-Sicherheitsarchitektur und -strategie
- Unsichere Software-Entwicklung
- Unsichere Ressourcen Dritter
- Systemschwachstellen
- Unbeabsichtigte Offenlegung/Weitergabe von Cloud-Daten
- Fehlkonfiguration und Ausnutzung von Serverless- und Container-Workloads
- Organisierte Kriminalität/Hacker/APT
- Exfiltration von Cloud-Speicherdaten
| Die InfoGuard AG ist spezialisiert auf umfassende Cybersecurity. Ihre 360°-Expertise reicht von Cyber Defence Services und Incident Response Services über Managed Security & Network Solutions für IT-, OT- und Cloud-Infrastrukturen bis hin zu Services in den Bereichen Architektur, Engineering, Penetration Testing & Red Teaming sowie Security-Consulting. Die Cloud-, Managedund SOC-Services erbringt der Schweizer Cybersecurity-Experte aus dem ISO 27001-zertifizierten und ISAE 3000 Typ 2 überprüften Cyber Defence Center in der Schweiz. InfoGuard, mit Hauptsitz in Baar/Zug sowie Niederlassungen in Bern, München und Wien, schützt rund um die Uhr ihre Kunden in der Schweiz, Deutschland und Österreich. Dafür sorgen über 230 Sicherheitsfachleute. Das Unternehmen ist ISO 27001- und ISO 14001-zertifiziert, BSIqualifizierter APT-Response-Dienstleister und Mitglied bei FIRST (Global Forum of Incident Response and Security Teams). |
Sicherer Wechsel in fünf Phasen
Bevor Unternehmen also irgendeinen Service in die Cloud umsiedeln, sollten sich die IT-Verantwortlichen über all diese Faktoren intensiv Gedanken machen. Denn die Entscheidung für die Cloud oder entsprechende Dienste sind für Unternehmen ein bedeutender, nicht zu unterschätzender (und überaus lohnender) Schritt. Deshalb ist es entscheidend, bei einem geplanten Wechsel in die Cloud überaus strukturiert vorzugehen. Bestens bewährt für die «Cloud Journey» hat sich in der Praxis der Ansatz in fünf Schritten:
- Foundation
- Transition
- Execution & Implementation
- Operate & Optimization
- Offboarding
1. Foundation – verbindliche Grundlagen schaffen
Am Anfang jeder Journey stehen die Cloud-Evaluation und die Identifizierung der Ziele. Dabei gilt es zwingend auch Risiken bezüglich Sicherheit, Datenschutz und Compliance zu bewerten. Eine umfassende Analyse hilft, Probleme frühzeitig zu identifizieren und zu beheben sowie potenzielle Sicherheitsrisiken und Schwachstellen zu erkennen. Das Identity & Access Management ist zudem entscheidend, um den Cloud-Zugriff zu kontrollieren und sicherzustellen, dass nur autorisierte Benutzer darauf zugreifen können.
2. Transition – der Wechsel in die Cloud will gut überlegt sein
In Phase zwei steht die Planung der Transition an. Ein wichtiger Aspekt ist hierbei die Entwicklung von Architekturkonzepten und Sicherheitsdesigns. Bei diesen sind die Implementierung von starken Authentifizierungs- und Autorisierungsmechanismen sowie die Datenverschlüsselung zentral, um die Vertraulichkeit und Integrität der in der Cloud gespeicherten Daten sicherzustellen. Nicht zu unterschätzen sind zum einen die Implementierung und Umsetzung der gesteckten Ziele. Und zum anderen die Schulung der Mitarbeitenden. Unternehmen, die den Grund ihres Wechsels in die Cloud und ihre Zielsetzungen nicht präzise definieren, riskieren eine chaotische Umsetzung. Zusätzlich führt das Fehlen von Ressourcen und Expertise häufig zu Sicherheits- und Compliance-Problemen, weil relevante Aspekte vernachlässigt werden.
Und wer steht eigentlich in der Verantwortung? Nun, die Geschäftsleitung und das Top-Management bestimmen die strategische Ausrichtung und die Ziele der Transformation. CIOs oder vergleichbare IT-Verantwortliche tragen die Gesamtverantwortung der Transition, während CISOs die Sicherheits- und Datenschutzanforderungen sicherstellen.
3. Execution & Implementation – «Security First» heisst der Grundsatz bei der Umsetzung
Die anschliessende technische Umsetzung übernimmt in der Regel die IT-Abteilung. Die Umsetzung erfordert sehr häufig externe Ressourcen von spezialisierten Anbietern, welche bei der Cloud-Infrastruktur unterstützen. Oft werden dabei die Punkte Sicherheit, Datenschutz, Governance und Compliance für den Fortschritt des Projektes nicht genügend berücksichtigt. Deshalb die Empfehlung: Ein spezialisierter Partner sollte diese unabhängig vom Implementationspartner prüfen, insbesondere da viele Cloud-Anbieter den Fokus auf «Usability First» statt «Security First» legen. Folglich müssen wichtige Sicherheitsfunktionen explizit eingeschaltet werden.
4. Operate & Optimization – denken Sie an den Betrieb und die Überwachung
Wichtig sind in der Operate & Optimization-Phase die Überwachung und Optimierung der Cloud-Ressourcen, die Ineffizienzen und unnötige Kosten nach sich ziehen können. Für eine erfolgreiche Nutzung von Cloud-Ressourcen sind ein effizienter Betrieb, kontinuierliche Optimierung, Sicherheitsüberwachung und -anpassung nötig. Ein Managed Security Service Provider (MSSP) kann beim sicheren Betrieb der Cloud-Infrastruktur helfen, Sicherheitsvorkehrungen prüfen und aktualisieren sowie organisatorische und personelle Unterstützung bieten.
5. Offboarding – den Cloud-Ausstieg planen
Auch wenn es komisch klingen mag: Bereits in der Foundation-Phase sollte an das Offboarding gedacht werden, um die Unabhängigkeit und Agilität sicherzustellen. Eine durchdachte Offboarding-Strategie ist essenziell und ein nicht zu unterschätzender Teil der Cloud-Strategie. Sie gewährleistet, dass Daten und Informationen auch beim Verlassen der Cloud geschützt bleiben. Compliance- und Datenschutzanforderungen – beispielsweise das sichere Löschen von Informationen und das Aufheben von Zugriffsrechten sowie die Minimierung von Risiken bei Beendigung der Cloud-Nutzung – sind dabei zentrale Aspekte. Damit werden auch die Grundlagen geschaffen, flexibel zwischen verschiedenen Cloud-Anbietern wechseln zu können. Eine gute Offboarding-Strategie sorgt dafür, dass sensible Daten und Informationen nicht in falsche Hände geraten und die Cloud-Infrastruktur ordnungsgemäss abgebaut wird.
Reise sorgfältig planen – und mit Sicherheit
Insgesamt erfordert die Cloud Journey eine sorgfältige Planung und Umsetzung. Cyberangriffe auf Unternehmen, die in die Cloud wechseln, nehmen stark zu. Tendenz steigend. 2023 wurden besonders viele erfolgreiche Angriffe auf Cloud-Lösungen verzeichnet, die oft auf inaktiven Sicherheitsfunktionen basiert und erheblichen Schaden verursacht haben. Ein MSSP, wie InfoGuard, ist daher der optimale Partner und kann Unternehmen in jeder der fünf Phasen der Cloud Journey mit Fachwissen, Ressourcen und Sicherheitslösungen unterstützen. So können Unternehmen die Vorteile der Cloud bestmöglich ausschöpfen, ohne die damit verbundenen Risiken zu vernachlässigen. Eine professionelle Unterstützung ist definitiv ein Schlüsselelement bei der erfolgreichen Reise in die Cloud. ■
