Bewährte Praktiken der Cloud-Sicherheit

Um ihr Tagesgeschäft flexibel zu gestalten und auf Veränderungen schnellstmöglich zu reagieren, gilt für fast jedes Unternehmen heutzutage: „Cloud First“. Die große Herausforderung dabei: jede neue öffentliche Cloud-Instanz birgt die Gefahr, einen Sicherheitssturm auszulösen. Denn noch immer erfüllen viele Standard-Einstellungen für eine neue Cloud-Instanz nicht die grundlegenden Sicherheitsanforderungen eines Unternehmens.

Die Cloud bietet – nach Angaben von Accenture – zwar neue Optionen zur Modernisierung von Diensten. Auch Abläufe lassen sich dadurch effizient umgestalten. Doch laut Accenture erzielen weniger als 40 % der Unternehmen den vollen Nutzen, den sie von ihren Cloud-Investitionen erwartet hatten.

Nach wie vor scheuen Unternehmen die Hindernisse, die eine Cloud-Einführung mit sich bringt, etwa Risiken in der Sicherheit und der Compliance. Eine weitere Schwierigkeit stellt die Komplexität dar, die sichere Konfiguration der Cloud anzugehen. Zusammen mit einem Mangel an Fachkenntnissen können all diese Herausforderungen den Weg hin zu einer Cloud-Lösung für Unternehmen erschweren.

Doch was sollten verantwortliche Personen in Unternehmen tun?

1. Entwerfen und implementieren Sie grundlegende Sicherheitskontrollen. So kann eine sichere Landing Zone auf der Plattform eines Cloud-Lösungsanbieters entstehen.
2. Entwerfen Sie sichere PaaS-Modelle für wiederverwendbare Cloud-Lösungsanbieter. Diese sollten integrierte Sicherheitskontrollen enthalten.
3. Kombinieren Sie die Plattform und die Dienste. So werden die vorhandenen Sicherheitstools des Kunden mit betrieblichen Prozessen zusammengeführt.

Wie gelingt dies?

1. Durch die Festlegung, welche Rollen in der Umgebung agieren dürfen und wozu sie befugt sind;
2. durch Investitionen in sichere Verbindungen zu lokalen Rechenzentren unter Verwendung eines „Hub and Spoke”-Netzwerksicherheitsmodells;
3. durch Sicherung der Konfigurationsrichtlinien für die Landing Zone. Dies erfolgt durch die Durchführung der Sicherheitskontrollen auf der Plattform des Cloud-Service-Anbieters.

Generell ist es möglich, dass Cloud-Sicherheit zu besseren Geschäftsergebnissen führt. Folgende Prozesse können davon positiv beeinflusst werden:

1. Schnell: Verwendung nativer Beschleuniger von Cloud-Service-Anbietern. Mit diesen können Sicherheitsfunktionen und -kontrollen innerhalb von Minuten oder Stunden statt Monaten bereitgestellt werden.
2. Reibungslos: Integrieren Sie Sicherheit in bestehende Lösungen, Geschäftsprozesse und Betriebsteams.
3. Skalierbar: Wenden Sie Automatisierung und selbstheilende Prozesse an, um manuelle Schritte zu reduzieren. Brechen Sie aus dem Modell der Mitarbeitererweiterung aus, um Unternehmen eine Skalierung zu ermöglichen.
4. Proaktiv: Etablieren Sie präventive Kontrollen, um versehentliche oder böswillige Sicherheitsvorfälle zu verhindern.
5. Wirksame Kostensenkung: Inhouse-Sicherheit von Anfang an: Es werden zusätzliche Kosten vermieden, die sich aus der Notwendigkeit ergeben, Arbeiten wiederholt ausführen zu müssen.

„Natürlich will jeder Kunde sicher sein. Unternehmen sollten deshalb immer durch Übertreibung auffallen, nicht durch Unterlassung“, so Ryan Wickham, Managing Director of Infrastucture Services bei Accenture. Wickham ergänzt: „Es ist jedoch wichtig, dies auf eine Art und Weise zu tun, die die Anwendungsleistung und letztlich das Benutzererlebnis nicht beeinträchtigen.“

Das Marktforschungsunternehmen Gartner geht davon aus, dass bis 2025 99 % der Sicherheitsmängel in der Cloud von Kunden – und nicht von den Anbietern – verschuldet sein werden. Es werde sich dabei vor allem um Fehler handeln, die auf Fehlkonfiguration zurückzuführen sind. Angesichts der steigenden Durchschnittskosten für Sicherheitsverletzungen in der Cloud erscheint es offensichtlich, dass die Cybersicherheit in der Cloud schnell und gründlich angegangen werden muss.

Für viele Unternehmen steht dabei noch im Weg, dass ihnen das Modell der geteilten Verantwortung in der Cloud bisher unbekannt ist. Zudem können die zahlreichen Tools, Funktionen und Richtlinien der einzelnen Cloud-Anbieter für Firmen weitere Hürden darstellen.

Ein kürzlich veröffentlichter Bericht über den Stand der Cloud-nativen Sicherheit verschafft erste Einblicke: So haben 73 % der Unternehmen immer noch Schwierigkeiten damit, ihre eigenen und die Sicherheitsverantwortlichkeiten ihres Cloud-Anbieters zu definieren. Derselbe Bericht stellt auch fest, dass 75 % der befragten Unternehmen die Bedrohungen der Cloud-Lösungen als wichtiger wahrnehmen als die Sicherheitstools und -lösungen.

Nach Ansicht von Accenture müssen Sicherheitsexperten von Beginn an Wert auf die richtigen Fragen legen: Kaufen oder selbst entwickeln? Wie viel Softwareanwendungen sollen in der Cloud entwickelt werden? Wie wählt man die richtigen Modelle und Partner aus? Wie lässt sich eine sichere Interoperabilität zwischen Cloud- und herkömmlichen Systemen gewährleisten? Wann sollte man Sicherheitskontrollen verschärfen, anstatt sie zu abstrahieren – und wie kann man die Konsistenz der Abläufe verbessern?

All diese Fragen sollten vor dem Wechseln in eine Cloud Berücksichtigung finden. Auch, wenn Risikominderung und Datenschutz Priorität haben, steht Sicherheit konsequent an oberster Stelle. Häufig wird sie erst zum Schluss hinzugefügt – und wirkt sich dann auf die Geschäftsergebnisse aus.

Die Migration in die Cloud ist ein komplexes Unterfangen. Sie erfordert eine formale Strategie und eine starke Governance. Aber die Vorteile sind vielfältig und lohnen sich: Ihr Unternehmen kann Sicherheitsfunktionen und -kontrollen innerhalb von Minuten statt Stunden aktivieren und ohne Reibungsverluste handeln. Sie können schädliche Sicherheitsvorfälle proaktiver verhindern. Und Sie können durch Automatisierung und selbstheilende Prozesse schnell skalieren, um manuelle Schritte zu reduzieren.

Nach Ansicht des Accenture-Teams können die folgenden vier Schritte als Leitfaden für alle Unternehmen dienen, die der Cloud Priorität einräumen und Sicherheit von Anfang an schnell und in großem Umfang einführen.

1. Erkennen Sie die richtige Cloud-Sicherheitslage für Ihr Unternehmen. Entdecken Sie schnell Lücken und erstellen Sie eine risikogerechte Architektur sowie eine Roadmap für die grundlegende Cloud-Sicherheit, die die aktuellen Technologieinvestitionen optimiert.
2. Automatisieren Sie native Sicherheit. Automatisieren Sie die Bereitstellung von Sicherheitsvorkehrungen mit vorgefertigten Beschleunigern für Cloud-native Services, einschließlich AWS, Microsoft Azure und Google Cloud.
3. Gehen Sie proaktiv mit der Compliance um. Optimieren Sie die Erkennung und rationalisieren Sie Cloud-Sicherheitsabläufe. Reduzieren Sie das Risiko mit Cloud Service Providern (CSPs), um die gesetzlichen Anforderungen zu erfüllen.
4. Setzen Sie Sicherheitsüberwachung und -reaktion ein. Überwachen Sie die öffentliche Cloud kosteneffizient und in großem Umfang. Zum Beispiel, indem Sie Sicherheitstools und Anwendungsfälle nutzen, um auf sich entwickelnde Bedrohungen und komplexe gesetzliche Anforderungen zu reagieren.