Wenn der Weg in die Cloud holprig wird: So gelangen Sie wieder auf den sicheren Pfad

09 Dezember, 2019

Von Aleksei Resetko und Vladyslav Dunajevski. Nach einem vorsichtigen und zögerlichen Start ist die Cloud in Deutschland nun endlich angekommen. Das bundesweite Marktvolumen von Cloud-Computing-Services hat sich in den letzten Jahren mehr als verdoppelt; es wird laut Germany Trade and Invest (GTAI) in diesem Jahr 8,3 Milliarden Euro betragen und bis 2021 jedes Jahr um weitere 20 Prozent steigen.

Damit rangiert Deutschland auf Platz 4 hinter den USA, China und dem UK. Die Chancen, das Vereinigte Königreich und China zu überholen, stehen jedoch gut, da Cloud-Services als Motor für die Digitalisierung der deutschen Wirtschaft unabdingbar sind.

Welche Sicherheitsrisiken birgt die Cloud?

Die Cloud-Nutzung verspricht eine Senkung der Betriebskosten sowie schnellere, skalierbarere, flexiblere und sicherere IT-Systeme. Doch eine schnelle Cloud Adoption birgt auch diverse Risiken. So zeigt der Cloud Threat Risk Report von Palo Alto Networks, dass ein Mangel an Cyberhygiene auf Kundenseite nach wie vor die wichtigste Ursache für Cloud-Sicherheitsvorfälle und Cloud-spezifische Schwachstellen ist. Insgesamt hat das Threat-Intelligence-Team von Palo Alto mehr als 34 Millionen Schwachstellen in Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) identifiziert.

Auch unsere Erfahrung zeigt, dass in vielen Fällen ohne sorgfältige Vorbereitung und ausreichende Risikosteuerung gehandelt wird. Oft gibt es nicht einmal eine Übersicht über die genutzten Cloud-Lösungen, was zum Einsatz von Lösungen unterschiedlicher Anbieter oder von verschiedenen Nutzungsmodellen und damit zur Entstehung einer „Schatten-IT“ sowie zu erhöhten Kosten und Risiken führt. Die Gründe sind vielfältig:

  • Eine ganzheitliche, maßgeschneiderte Strategie für die Cloud-Nutzung im Unternehmen liegt nicht vor oder sie wird nicht in ausreichender Tiefe durchgesetzt und überwacht.
  • Die sich mit dem Umstieg auf Cloud-Technologie ergebende Gelegenheit, die Governance-, Risiko- und Compliance-Prozesse zu verbessern, wurde nicht genutzt.
  • Häufig fehlt den Unternehmen das Wissen, die Bedrohungslage realistisch zu bewerten und ausreichende IT-Sicherheitsmaßnahmen zu implementieren.
  • Aus mangelndem Bewusstsein für die Wichtigkeit der IT-Sicherheit wird diese immer noch als Innovationsbremse und Kostentreiber angesehen und daher stiefmütterlich behandelt.

Wie nutze ich die Cloud richtig?

Für Unternehmen ist es daher entscheidend, die Herausforderungen der Cloud-Nutzung genau zu kennen und ihnen angemessen zu begegnen. Ein Vorgehen nach diesen drei Schritten hilft Ihnen dabei:

1. Zunächst sollten Sie sich einen Überblick über den Cloud-Einsatz in Ihrem Unternehmen verschaffen. Dazu gehört es, dass Sie die identifizierten Nutzungsszenarien, soweit es Ihnen möglich ist, auf offene Risiken, Schwachstellen und Versäumnisse in der IT-Sicherheit hin untersuchen. Insbesondere sollten Sie die Risiken der Cloud-Nutzung, aber auch die Risiken seitens des Cloud-Anbieters erfassen.

2. Als Basis für das weitere Vorgehen sollten Sie eine Cloud-Strategie und ein Cloud-Governance-Rahmenwerk erarbeiten, die sich daraus ergebenden Maßnahmen formulieren und einen Plan für deren Umsetzung aufstellen. Insbesondere sind folgende Aspekte zu berücksichtigen:

  • Regulatorische Compliance
  • Datenschutz
  • Identity Management und Security
  • Netzwerkkonnektivität und -Architektur
  • Cloud-Service Katalog
  • Finanz- & Kostenmanagement

3. Im letzten Schritt sollte ein Betriebskonzept etabliert werden, welches eine fortlaufende Überwachung und Verbesserung der Sicherheit gewährleistet.

Was sollten Unternehmen zusätzlich beachten?

Bei einem Vorgehen nach diesen Schritten kommen die Vorteile der Cloud-Transformation zum Tragen. Erfolgsentscheidend ist zudem, die bereits etablierten Informationssicherheitsmanagementprozesse bei der Umsetzung mit einzubeziehen und vor allem zugleich die Gelegenheit zu nutzen, das Informationssicherheitsmanagementsystem zu verbessern beziehungsweise eines einzurichten, sofern dies noch nicht geschehen ist.

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Weitere Inhalte und Artikel finden Sie hier.

Contact us

Aleksei Resetko

Aleksei Resetko

CISA, CISSP, Partner Cyber Security & Privacy, PwC Germany

Tel.: +49 69 9585-5059

Vladyslav Dunajevski

Vladyslav Dunajevski

Senior Manager Cyber Security & Privacy, PwC Germany

Tel.: +49 69 9585-6474

Follow us

Contact us

Holger Herbert

Holger Herbert

Cyber Security Leader, PwC Germany

Tel.: +49 541 3304-214

Hide