Wenn der Weg in die Cloud holprig wird: So gelangen Sie wieder auf den sicheren Pfad

Welche Sicherheitsrisiken birgt die Cloud?

Die Cloud-Nutzung verspricht eine Senkung der Betriebskosten sowie schnellere, skalierbarere, flexiblere und sicherere IT-Systeme. Doch eine schnelle Cloud Adoption birgt auch diverse Risiken. So zeigt der Cloud Threat Risk Report von Palo Alto Networks, dass ein Mangel an Cyberhygiene auf Kundenseite nach wie vor die wichtigste Ursache für Cloud-Sicherheitsvorfälle und Cloud-spezifische Schwachstellen ist. Insgesamt hat das Threat-Intelligence-Team von Palo Alto mehr als 34 Millionen Schwachstellen in Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) identifiziert.

Auch unsere Erfahrung zeigt, dass in vielen Fällen ohne sorgfältige Vorbereitung und ausreichende Risikosteuerung gehandelt wird. Oft gibt es nicht einmal eine Übersicht über die genutzten Cloud-Lösungen, was zum Einsatz von Lösungen unterschiedlicher Anbieter oder von verschiedenen Nutzungsmodellen und damit zur Entstehung einer „Schatten-IT“ sowie zu erhöhten Kosten und Risiken führt. Die Gründe sind vielfältig:

• Eine ganzheitliche, maßgeschneiderte Strategie für die Cloud-Nutzung im Unternehmen liegt nicht vor oder sie wird nicht in ausreichender Tiefe durchgesetzt und überwacht.
• Die sich mit dem Umstieg auf Cloud-Technologie ergebende Gelegenheit, die Governance-, Risiko- und Compliance-Prozesse zu verbessern, wurde nicht genutzt.
• Häufig fehlt den Unternehmen das Wissen, die Bedrohungslage realistisch zu bewerten und ausreichende IT-Sicherheitsmaßnahmen zu implementieren.
• Aus mangelndem Bewusstsein für die Wichtigkeit der IT-Sicherheit wird diese immer noch als Innovationsbremse und Kostentreiber angesehen und daher stiefmütterlich behandelt.

Wie nutze ich die Cloud richtig?

Für Unternehmen ist es daher entscheidend, die Herausforderungen der Cloud-Nutzung genau zu kennen und ihnen angemessen zu begegnen. Ein Vorgehen nach diesen drei Schritten hilft Ihnen dabei:

1. Zunächst sollten Sie sich einen Überblick über den Cloud-Einsatz in Ihrem Unternehmen verschaffen. Dazu gehört es, dass Sie die identifizierten Nutzungsszenarien, soweit es Ihnen möglich ist, auf offene Risiken, Schwachstellen und Versäumnisse in der IT-Sicherheit hin untersuchen. Insbesondere sollten Sie die Risiken der Cloud-Nutzung, aber auch die Risiken seitens des Cloud-Anbieters erfassen.

2. Als Basis für das weitere Vorgehen sollten Sie eine Cloud-Strategie und ein Cloud-Governance-Rahmenwerk erarbeiten, die sich daraus ergebenden Maßnahmen formulieren und einen Plan für deren Umsetzung aufstellen. Insbesondere sind folgende Aspekte zu berücksichtigen:

• Regulatorische Compliance
• Datenschutz
• Identity Management und Security
• Netzwerkkonnektivität und -Architektur
• Cloud-Service Katalog
• Finanz- & Kostenmanagement

3. Im letzten Schritt sollte ein Betriebskonzept etabliert werden, welches eine fortlaufende Überwachung und Verbesserung der Sicherheit gewährleistet.

Was sollten Unternehmen zusätzlich beachten?

Bei einem Vorgehen nach diesen Schritten kommen die Vorteile der Cloud-Transformation zum Tragen. Erfolgsentscheidend ist zudem, die bereits etablierten Informationssicherheitsmanagementprozesse bei der Umsetzung mit einzubeziehen und vor allem zugleich die Gelegenheit zu nutzen, das Informationssicherheitsmanagementsystem zu verbessern beziehungsweise eines einzurichten, sofern dies noch nicht geschehen ist.