Die Cloud schafft Möglichkeiten und neue Verantwortung
Für viele Unternehmen bedeutet der Schritt hin zu Cloud-Lösungen das Öffnen der eigenen IT in Richtung öffentlicher Infrastrukturen und die Zusammenarbeit mit verschiedensten Dienstleistern für die Erbringung der Leistungen. Dieses eröffnet einerseits viele neue Möglichkeiten zur Weiterentwicklung der eigenen IT-Landschaft. Andererseits ergeben sich auch teils bekannte, teils neue Bedrohungen, welche die IT-Infrastruktur und die eigenen Unternehmenswerte gefährden.
Vor diesem Hintergrund hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kürzlich einen Leitfaden zu Cloud Security veröffentlicht, an dem unsere IT-Sicherheitsexperten mitgewirkt haben.
Dieser Leitfaden erläutert technische, organisatorische und rechtliche Maßnahmen für den sicheren Umgang in Cloud und fokussiert sich dabei sowohl auf die sicherheitsrelevanten Mechanismen der Cloud-Dienste, wie auch externer Sicherheitstechnologien, z.B. Identity Provider, Cloud Access Security Broker (CASB) oder Cloud Encryption Gateways.1
Die Komplexität der eigenen IT-Landschaft wächst
Während im ersten Schritt häufig die technischen Maßnahmen zur Integration von Cloud Lösungen im Vordergrund stehen, stellen Unternehmen, die sich bereits mit dem Themenkomplex IT-Outsourcing im Rahmen der Cloud beschäftigen fest, dass sich ein signifikanter Bedarf entwickelt, eine stetig steigende Anzahl an Dienstleistern zu orchestrieren.
Hinzu kommt der Unterschied zwischen einer flexiblen Vertragsgestaltung mit einem Dienstleister, der auf eine eigene Ausschreibung hin passgenau Leistungen übernimmt und einer Public Cloud Lösung, bei der eine Beschaffung von Leistungen aus einem vom Anbieter bereitgestellten Standardkatalog erfolgt. Hier liegt es in der Verantwortung des Kunden die bereitgestellten Leistungen der Public Cloud hinsichtlich ihrer Mitigation oder Vermeidung der oben genannten Risiken zu bewerten und daraus Maßnahmen abzuleiten.
Je nach gewähltem Sourcing-Modell und in Abhängigkeit des jeweiligen Cloud-Anbieters ergeben sich unterschiedliche Verpflichtungen für den Cloudnutzer. Oftmals sprechen die Cloudanbieter von einer geteilten Verantwortung. Es ist sehr wichtig sich bereits vorab dieser Herausforderung klar zu sein, um basierend darauf geeignete Maßnahmen aufzusetzen. Andernfalls entstehen Sicherheits- und Verantwortungslücken, die hohe Zusatzkosten verursachen und potenziell von den Angreifern ausgenutzt werden können.
Das Zielbild einer dynamischen IT-Landschaft setzt also auf die Flexibilität jederzeit neue Lösungen und Dienstleister zu integrieren, jedoch den Qualitätsstandard der Leistungserbringung über die gesamte IT und alle Dienstleister auf einem hohen einheitlichen Niveau zu etablieren.
Gerne unterstützen wir Sie bei diesem Vorhaben sowohl bei der Konzeption und Realisierung der Transformation in die Cloud als auch in der Optimierung bestehender Umsetzung.
1 Vgl. https://www.teletrust.de/publikationen/broschueren/cloud-security/