Cloud Risiken

Wolkenrisiken

Die Cloud-Services bringen nicht nur Vorteile, sondern auch Risiken für das Unternehmen mit sich. Cloud-Risiken: Von wem wird die Unternehmerverantwortung getragen? Neue Cloud-Services bergen oft neue Risiken. Die Verantwortlichkeiten der Betriebe dafür müssen im Voraus festgelegt werden. Immer häufiger wenden sich Firmen Cloud-basierten Diensten und Applikationen zu.

Das heißt für die Sicherheitsteams, dass sie die Risiken bewerten und die geeigneten Steuerungsmechanismen erarbeiten müssen. Die Sicherung von Cloud-Systemen stellt sogar einige Anforderungen.

Es sind nicht alle Security-Ansätze mit den weniger übersichtlichen Offerten von Cloud-Anbietern kompatibel. Eine der grössten Aufgaben für viele CISOs ist ein schwerer Magen: Wie wird die Unternehmensverantwortung für Cloud-Risiken reguliert? Dies beinhaltet den Überblick über die technischen Produktteams und die Mitteilung von Cloud-Risiken einschließlich Lösungsansätzen für die Unternehmensleitung. Unglücklicherweise ist es ein weit verbreiteter Irrtum, dass die IT-Abteilung für das Risiko verantwortlich ist - unabhängig davon, ob die Infra-struktur vor Ort oder in der Cloud ist.

Für CISOs, die lediglich auf die Bedürfnisse anderer Fachbereiche eingehen wollen, kann das Problem der Risikoverantwortlichkeit rasch verschwinden. Für die für die Sicherheit Verantwortlichen ist es an der Zeit, die Risiken und die entsprechenden Verantwortlichkeiten zu erörtern. Erst dann können Führungskräfte die mit Cloud-Systemen verbundenen potenziellen Bedrohungen wirklich begreifen und aufgreifen.

Sicherheitsmanager haben in vielen Unternehmen Schwierigkeiten, einen umfassenden Prozess der Gefährdungsanalyse und -überprüfung für Cloud-Projekte zu schaffen. Auch bei der Bewertung von Risiken in Kontrakten ist die Betreuung durch den Einkauf und die Justiz alles andere als selbstverständlich. Sicherheitsmanager sollten den Beitrag und die Einbeziehung dieser verschiedenen Interessengruppen gebührend berücksichtigen, um ein konsistentes Bild der Risiken bei der Auftragsvergabe zu erhalten. der Sicherheitsmanager sollte die Beiträge und die Einbeziehung dieser verschiedenen Beteiligten gebührend berücksichtigt werden.

Die Verlagerung von Applikationen oder Infrastrukturen in die Cloud heißt nicht, dass Firmen nicht mehr für die Anlagen aufkommen. Cloud-Provider handeln nicht immer offen, wenn es darum geht, Sicherungsmechanismen oder interne Sicherheitsprozesse offenzulegen. Jegliche Risikodiskussion muss daher von der Annahme ausgeht, dass Gesellschaften nicht über alle notwendigen Daten verfügen.

Besonders bedeutsam sind Compliance-Anforderungen: Bevor Sie sich für ein Cloud-Angebot entscheiden, müssen Sie zunächst prüfen, ob diese Services zu 100-prozentig konform sind. Bei jedem neuen Cloud-Provider sollte ein gründlicher Test durchgeführt werden, bevor Services oder Applikationen gekauft werden. Möglicherweise werden nicht alle bisher verwendeten Sicherungsmechanismen und -ansätze hundertprozentig mit Cloud-Systemen funktionieren.

Dadurch könnten die Compliance-Anforderungen gefährdet oder die Risiken von Cloud-Umgebungen erhöht werden. Schließlich sind in den Betrieben für die Risiken, die neue IT-Projekte für das Gesamtunternehmen mit sich bringen, die Geschäftsführung oder Vorstandsmitglieder zuständig. Er ist für alle Vorfälle oder Anschläge zuständig, die sich aus diesen Beschlüssen ergeben. Die Sicherheitsbeauftragten des Unternehmens sollten jedoch dafür sorgen, dass die Vorgesetzten wissen, was sie tun und welche Risiken die neuen Sicherheitssysteme potenziell für das jeweilige Untenehmen mit sich bringen werden.

Bei der Anschaffung von neuen Systemen wird oft davon ausgegangen, dass IT-Manager für die Risiken der Cloud IT zuständig sind. Zur Aufklärung dieses Missverständnisses ist eine Cloud-Sicherheitsrichtlinie ein sehr guter Auftakt. Es ist äußerst unwahrscheinlich, dass eine Cloud-Richtlinie ohne einen Executive Supporter unternehmensweit umsetzbar ist.

In dieser Politik sollte auch festgelegt werden, wer für jedes Projekt zuständig ist und wer es unterzeichnet. Welche Möglichkeiten gibt es in der Cloud und was ist nicht? Außerdem sollten potenzielle Steuerungsmechanismen entwickelt werden, die vor dem Cloud-Bereitstellung erforderlich sein könnten. Klärung von Policies und Compliance-Anforderungen, die vor der Bereitstellung berücksichtigt werden müssen. Sicherheitsmanager sollten dafür sorgen, dass Cloud Computing-Angebote alle Gesetze einhalten.

Sicherheitsnormen, Auflagen und IT-Best Practices müssen ebenso eingehalten werden wie Risikomanagementrichtlinien. Gleiches trifft auf die Datenschutzrichtlinien und die entsprechenden Spezifikationen zu. Dabei ist es von Bedeutung, dass die Verantwortungsträger im Konzern über alle Risiken im Voraus aufgeklärt werden und diese genehmigen. Solange dieser Vorgang im Betrieb nicht festgelegt ist, können IT-Manager die Risiken des Einsatzes von Cloud-Technologie nicht mittragen.

Cloud Security und DSGVO: Cloud-Provider haben eine stärkere Verpflichtung. Beachten Sie die Sicherheitsaspekte bei der Migration in die Cloud. Mitwirkung des KKÜ bei der Verwendung von Cloud-Diensten. Das Klassifizieren von Informationen in der Cloud steigert die Datensicherheit.

Mehr zum Thema