Cloud Gefahren

Wolkengefahren

Die Cloud-Services bringen nicht nur Vorteile, sondern auch Risiken für das Unternehmen. Cloud-Risiken: Von wem wird die Unternehmerverantwortung getragen? Neue Cloud-Services bergen oft neue Gefahren. Die Verantwortlichkeiten der Betriebe dafür müssen im Voraus festgelegt werden. Immer häufiger wenden sich Firmen Cloud-basierten Diensten und Applikationen zu.

Das heißt für die Sicherheitsteams, dass sie die Gefahren bewerten und die geeigneten Steuerungsmechanismen erarbeiten müssen. Die Sicherung von Cloud-Systemen stellt sogar einige Anforderungen.

Es sind nicht alle Security-Ansätze mit den weniger übersichtlichen Offerten von Cloud-Anbietern kompatibel. Eine der grössten Aufgaben für viele CISOs ist ein schwerer Magen: Wie wird die Unternehmensverantwortung für Wolkenrisiken reguliert? Dies beinhaltet den Überblick über die technischen Produktteams und die Mitteilung von Wolkenrisiken einschließlich Lösungsansätzen für die Unternehmensleitung. Unglücklicherweise ist es ein weit verbreiteter Irrtum, dass die IT-Abteilung für das Risiko verantwortlich ist - unabhängig davon, ob die Infra-struktur vor Ort oder in der Cloud ist.

Für CISOs, die lediglich auf die Bedürfnisse anderer Fachbereiche eingehen wollen, kann das Problem der Risikoverantwortlichkeit rasch verschwinden. Für die für die Sicherheit Verantwortlichen ist es an der Zeit, die Gefahren und die entsprechenden Verantwortlichkeiten zu erörtern. Erst dann können Führungskräfte die mit Cloud-Systemen verbundenen potenziellen Bedrohungen wirklich begreifen und aufgreifen.

Sicherheitsmanager haben in vielen Unternehmen Schwierigkeiten, einen umfassenden Prozess der Gefährdungsanalyse und -überprüfung für Cloud-Projekte zu schaffen. Auch bei der Bewertung von Vergaberisiken ist die Betreuung durch den Einkauf und die Justiz alles andere als selbstverständlich. Sicherheitsmanager sollten den Beitrag und die Einbeziehung dieser verschiedenen Interessengruppen gebührend berücksichtigen, um ein konsistentes Bild der mit den Aufträgen verbundenen Gefahren zu erhalten. der Sicherheitsmanager sollte die Beiträge und die Mitwirkung dieser verschiedenen Beteiligten einbeziehen.

Die Verlagerung von Applikationen oder Infrastrukturen in die Cloud heißt nicht, dass Firmen nicht mehr für die Anlagen aufkommen. Cloud-Provider handeln nicht immer offen, wenn es darum geht, Sicherungsmechanismen oder interne Sicherheitsprozesse offenzulegen. Jegliche Risikodiskussion muss daher von der Annahme ausgeht, dass Gesellschaften nicht über alle notwendigen Daten verfügen.

Besonders bedeutsam sind Compliance-Anforderungen: Bevor Sie sich für ein Cloud-Angebot entscheiden, müssen Sie zunächst prüfen, ob diese Services zu 100-prozentig konform sind. Bei jedem neuen Cloud-Provider sollte ein gründlicher Test durchgeführt werden, bevor Services oder Applikationen gekauft werden. Möglicherweise werden nicht alle bisher verwendeten Sicherungsmechanismen und -ansätze hundertprozentig mit Cloud-Systemen funktionieren.

Dadurch könnten die Compliance-Anforderungen gefährdet oder die Gefahren von Cloud-Umgebungen erhöht werden. Schließlich sind in den Betrieben für die Gefahren, die neue IT-Projekte für das Gesamtunternehmen mit sich bringen, die Geschäftsführung oder Vorstandsmitglieder zuständig. Er ist für alle Vorfälle oder Anschläge zuständig, die sich aus diesen Beschlüssen ergeben. Die Sicherheitsbeauftragten des Unternehmens sollten jedoch dafür sorgen, dass die Vorgesetzten wissen, was sie tun und welche Gefahren die neuen Sicherheitssysteme für das jeweilige Untenehmen mit sich bringen kann.

Bei der Anschaffung von neuen Systemen wird oft davon ausgegangen, dass IT-Manager für die mit der Cloud IT verbundenen Gefahren aufkommen. Zur Aufklärung dieses Missverständnisses ist eine Cloud-Sicherheitsrichtlinie ein sehr guter Auftakt. Es ist äußerst unwahrscheinlich, dass eine Cloud-Richtlinie ohne einen Executive Supporter unternehmensweit umsetzbar ist.

In dieser Politik sollte auch festgelegt werden, wer für jedes Projekt zuständig ist und wer es unterzeichnet. Welche Möglichkeiten gibt es in der Cloud und was ist nicht? Außerdem sollten potenzielle Steuerungsmechanismen entwickelt werden, die vor dem Einsatz in der Cloud erforderlich sein könnten. Sicherheitsmanager sollten dafür sorgen, dass Cloud Computing-Angebote alle Gesetze einhalten. Gleiches trifft auf die Datenschutzrichtlinien und die entsprechenden Spezifikationen zu.

Dabei ist es von Bedeutung, dass die Verantwortungsträger im Konzern über alle Gefahren im Voraus aufgeklärt werden und diese genehmigen. Solange dieser Vorgang im Betrieb nicht festgelegt ist, können IT-Manager die mit der Nutzung der Cloud-Technologie verbundenen Gefahren nicht mittragen. Cloud Security und DSGVO: Cloud-Provider haben eine stärkere Verpflichtung. Beachten Sie die Sicherheitsaspekte bei der Migration in die Cloud.

Mitwirkung des KKÜ bei der Verwendung von Cloud-Diensten. Das Klassifizieren von Informationen in der Cloud steigert die Datensicherheit.

Mehr zum Thema