Sicher mit geteilter Verantwortung

Wie sicher ist eine Cloud? Besonders wenn es darum geht, Daten in eine Cloud auszulagern, haben manche Unternehmen Bedenken. Bertram Dorn, Principal Solutions Architect Security and Compliance bei Amazon Web Services (AWS), im Interview. [...]

Bertram Dorn ist Principal Solutions Architect Security and Compliance bei Amazon Web Services. (c) AWS
Bertram Dorn ist Principal Solutions Architect Security and Compliance bei Amazon Web Services. (c) AWS

Welche Security-Bedrohungen sind Ihrer Meinung nach derzeit die gefährlichsten, bzw. welchen müsste man besondere Aufmerksamkeit schenken?

Bei der Sicherheitsfrage gilt es, zwischen allgemeinen Sicherheitsthemen und Bedrohungen im Cloud-Infrastruktur-Bereich zu unterscheiden. Derzeit sehen sich Unternehmen vermehrt mit Trojanern und Angriffen durch Erpressungs- oder Schadsoftware konfrontiert, die versuchen, Unternehmensnetzwerke lahmzulegen. Was die Cloud-Infrastruktur betrifft, sollte das Thema Identitäts- und Zugriffsmanagement in den Fokus rücken. Aus Erfahrung haben wir gelernt, dass die meisten Fehler auf weitreichenden und damit fehlerhaften Konfigurationen im Bereich Zugriffsmanagement basieren, denn viele Unternehmen entscheiden sich für den einfachen Weg und verteilen die Zugriffsrechte sehr großzügig. Das ist aus Sicht der Geschwindigkeitsagilität zwar von Vorteil, aber sicherheitstechnisch schwierig, vor allem bei langfristiger Rechtevergabe. Ein weiteres Thema, das mehr Aufmerksamkeit verdienen sollte, sind öffentlich zur Verfügung gestellte Ressourcen.

Wie soll eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen?

Das wichtigste ist die Ausrichtung an den individuellen Möglichkeiten, Kapazitäten und Risiken des Unternehmens. Was für Betrieb A die optimale Strategie ist, muss für Betrieb B nicht zwangsweise auch passen. Mit der bereits angesprochenen Identitäts- und Zugriffsverwaltung können sich Unternehmen vor aktuellen Bedrohungen gut schützen. Damit kann ganz genau reguliert werden, wer von wo Zugriff hat. Verfügbare Sensoren wie Log-Daten, API-Logs oder Meta-Informationen über Vorgänge im Netzwerk sollten in die Prozesse und das Vorgehen integriert werden und aktiv verarbeitet werden, gegebenenfalls durch Dienstleistungen wie Machine Learning oder Grafdatenbanken, um so neue Erkenntnisse zur Sicherheit zu gewinnen. AWS-Dienste wie etwa Amazon GuardDuty scannen kontinuierlich auf diverse bekannte Risiken und unbefugtes Verhalten und erkennen Anomalien. Auch Bereiche wie MapReduce (Amazon Elastic Map Reduce (EMR)) sind aus Sicherheitssicht sehr interessant um aus grossen Mengen an Log-Daten sinnvolle Informationen zu gewinnen.

Wie muss IT-Security im Zeitalter von Public, Hybrid und Private Cloud aussehen?

Kommunikationsstrecken sollten abgesichert werden, nicht nur durch Verschlüsselung, sondern auch in Bezug auf die Verfügbarkeit. Auch wenn sich momentan noch nicht viele Unternehmen daran herantrauen, können Public-, Hybrid- und Private-Cloud ohne große Sicherheitsbedenken im Verbund verwendet werden, sofern man die Zugriffsrechte gut verwaltet.

Viele Unternehmen haben immer noch Security-Bedenken, wenn es darum geht, Daten, Applikationen und die eigene IT-Infrastruktur in die Cloud auszulagern. Wie berechtig sind diese Bedenken?

Unternehmen, die ihre Infrastruktur in die Cloud verlagern, möchten ihre Anwendungen nicht blind verschieben und in die Hände eines Dritten legen. Ist dieser Sprung ins kalte Wasser aber gemacht, merken die Unternehmen bei einer Prüfung der vorgenommenen Maßnahmen schnell, dass die Sicherheit des Cloud-Anbieters viel tiefergehender und umfassender ist, als im eigenen Rechenzentrum. Bei Bedenken bezüglich der Sicherheit des Cloud-Anbieters empfehle ich grundsätzlich immer, sich Attestate, Prüfberichte und Zertifizierungen anzusehen – das sind meist sehr gute Anker, um die Qualität von Anbietern zu prüfen. AWS hat beispielsweise eine Reihe an solchen international anerkannten Zertifzierungen und Attestate, wie beispielsweise die ISO27001 für IT-Sicherheit, die ISO 27017 für Cloud-Sicherheit und die ISO 27018 für Datenschutz in der Cloud, sowie SOC1, SOC2, und SOC3. Zudem hat AWS erfolgreich die Prüfung nach dem C5-Standard abgeschlossen. So wurde etwa die Region Frankfurt nach diesem Standard auditiert. Bei C5 handelt es sich um den Cloud Computing Compliance Controls Catalogue, ein Regelwerk für höchste Anforderungen in Sachen Sicherheit und Datenschutz in Cloud-Umgebungen. Der Katalog wurde vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben.

Wie kann sicheres Cloud Computing gelingen?

Um Risiken zu minimieren, sollten sich Unternehmen auf jene Dienste beschränken, die relevant und notwendig sind und zum Risikoprofil des Unternehmens passen. Aber: Jeder unserer mehr als 175 Cloud-Dienste enthält Sicherheitsvorkehrungen, Unternehmen müssen sich also keine Sicherheitsdienste hinzu buchen.

Im Zeitalter der Multi-Cloud: Wie gelingt sicheres Cloud-Management und Cloud-Monitoring?

Sicheres Cloud-Management gelingt durch ein adäquates Identitäts- und Zugriffsmanagement, aber auch Single-Sign-On und Single-Access Dienste sind Bestandteile einer erfolgreichen Sicherheitsstrategie. Auch in Multi-Cloud-Szenarien benötigen Anwender und Administratoren einen möglichst flüssigen und reibungslosen Umgang mit der Technologie – der Schlüsselfaktor dazu sind Verzeichnis Dienste.

Wie lässt sich Cloud-Nutzung mit Datenkontrolle, der Einhaltung weltweiter Gesetzgebung, Data Residence und der Geschäftsführer-Haftung vereinbaren?

Immer, wenn mehrere Parteien beteiligt sind, wird die Verantwortung über die Sicherheit geteilt. Der Cloud-Anbieter muss die geltenden Vorgaben einhalten und sich regelmäßig durch vereidigte Wirtschaftsprüfer kontrollieren lassen. Unternehmen prüfen im Rahmen ihrer Aufsichts- und Sorgfaltspflicht ebenfalls ihren Cloud-Anbieter – idealerweise in regelmäßigen Abständen. Im Bereich Data Residency würde ich die Verträge und die Auftragsdatenvereinbarungen aufmerksam lesen und im Bedarfsfall auf den Cloud-Anbieter zugehen, falls es bestimmte Inhalte zu klären gibt. Bei AWS übergeben wir unseren Kunden standardmäßig die Inhaberschaft und Kontrolle über ihre Inhalte. Kunden können so bestimmen, wo ihre Kundeninhalte gespeichert werden, die Inhalte ihrer Kunden während der Übertragung oder Speicherung schützen und den Zugriff auf die AWS-Dienste und -Ressourcen verwalten.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*