Cloud Security

Cloud Security

Ich berate Sie strategisch zur Cloud-Security und ermittle mit Ihnen gemeinsam Ihre individuellen Sicherheitsanforderungen an Cloud-Dienste. Ich erarbeite Vorgaben, Pläne und Maßnahmen zur Umsetzung dieser Anforderungen.

Viele Unternehmen stehen vor der Entscheidung, Cloud-Dienste zu nutzen oder tun dies bereits.

Dann stellt sich die Frage nach der Sicherheit: Cloud Security. Was Sie dabei nicht tun sollten, ist zu sagen: Wir wollen in die Cloud, oder wir nutzen einen Cloud-Dienst, und nun müssen wir das absichern. Das wird nicht funktionieren. Die Sicherheitsanforderungen kommen nicht von der Cloud-Nutzung (Bottom-Up), sondern die Sicherheitsanforderungen stammen von den Geschäftsprozessen, welche die Cloud nutzen, und sie vererben oder kumulieren sich auf den Cloud-Dienst (Top-Down). Wenn Sie von Buttom-Up kommen, werden Sie Anforderungen übersehen und nicht umsetzen, die Sie eigentlich umsetzen müssten.

Beispiel: 
Ihr Bewerberprozess nutzt ein SaaS Tool zur Bewerberverwaltung. Ihr Prozess muss Vorgaben zum Datenschutz (DSGVO) einhalten, und Sie haben eigene Anforderung an die Vollständigkeit und an die Verfügbarkeit der Daten, und Zugriff sollen nur die Personalabteilung und die Geschäftsführung erhalten. Diese Anforderungen vererben sich auf die SaaS-Software, und die SaaS Software muss die Anforderungen umsetzen. Sind Sie NIS 2 betroffene, müssen Sie das zudem dokumentieren (Risiko-Analyse, Business Continuity, Incident Response, Desaster Recovery, …). 

Cloud-Dienste erscheinen einfach in der Handhabung und erscheinen unkompliziert, sind, wie suggeriert wird, immer da und unbegrenzt verfügbar. Die Vorteile sind vielfältig: Es locken Potentiale zur Kostenersparnis, Verringerung des Personals im IT-Betrieb, Verkleinerung der eigenen IT-Infrastruktur, höhere Flexibilität und je nach Unternehmen noch weitere Vorteile.

Einige potentielle Vorteile relativieren sich später bei genauerer Betrachtung oder im Betrieb. Die Aufwände werden oft nicht wesentlich geringer, sondern sie verlagern sich auf andere Bereiche. Das Unternehmen benötigt neues, anderes Know-how und verliert über die Zeit das Wissen zum Eigenbetrieb der IT-Infrastruktur. Der Rückweg zum Eigenbetrieb kann sich je nach Umfang der Cloud-Nutzung als sehr aufwändig und langwierig gestalten.

Der Markt bietet eine Reihe verschiedener Cloud Service Modelle, Verteilungsformen und Dienstleister. Eigene geschäftliche Anforderungen aus internen Prozessen, aus Kundenanforderungen und aus technischen, vertraglichen oder gesetzlichen Vorgaben können eine Mischung mehrerer dieser Angebote erfordern.

Wenn die gesamte IT innerhalb des Unternehmens betrieben wird, sind die Verantwortlichkeiten klar verortet: sie liegen innerhalb des Unternehmens und sind dort verteilt. Im Cloud-Betrieb ist die Lage eine andere. Verantwortlichkeiten sind abhängig vom Cloud-Modell (IaaS, PaaS, SaaS, FaaS), von der Verteilungsart (Public, Private, Community, Hybrid) und davon, ob weitere Dienstleister mit im Boot sind. Verantwortlichkeiten sind verteilt auf das Unternehmen selbst, auf  Cloud-Anbieter und ggf. auf weitere Dienstleister.

Auch Themen der Informationssicherheit sind von diesen Umständen abhängig und auch davon, in welchen Ländern und Regionen die Cloud-Dienste betrieben werden (z.B. bzgl. Datenschutz).

Service Modelle

  • IaaS (Infrastructure as a Service: Server, Datenspeicher und Netzwerkinfrastruktur)
  • PaaS (Platform as a Service: z.B. Entwicklungsplattformen, Betriebssysteme)
  • SaaS (Software as a Service: z.B. Offices-Tools, ERP-Tools, CRM-Tools)
  • FaaS (Function as a Service: z.B. Testen von selbstentwickeltem Programmcode)
  • MSP (Managed Service Provider, die als Dienstleistung den vollständigen Cloud-Betrieb in einem Unternehmen anbieten)

Verteilungsformen

  • Public Cloud (alle Cloud-Nutzer teilen sich ein Cloud-Angebot und sind logisch voneinander getrennt)
  • Private Cloud (der Cloud-Dienst wird von genau einem Cloud-Nutzer verwendet)
  • Community Cloud (eine Gruppe von Cloud-Nutzern teilen sich den Cloud-Dienst)
  • Hybrid Cloud (Mischung von Public- und Private Cloud)

Dienstleister

  • Cloud-Anbieter (Cloud Service Provider CSP)
  • Cloud Partner (bieten z.B. Cloud Integration ins Unternehmen, Schulung der Mitarbeiter, individuelle Software-Entwicklung zur Integration, Überwachung)
  • Cloud Auditoren (zur Überprüfung der Funktionalität, Sicherheit, Governance, Compliance)
  • Cloud Carriers (Dienste zur Cloud-Anbindung)