top of page
Suche

Ist mein Unternehmen sicher in der Cloud?

  • FOCAI
  • 17. Mai 2024
  • 9 Min. Lesezeit

Was kann ich tun, um meine Cloud sicher zu machen? Diese einfache Frage wird häufig gestellt, ist aber nicht eindeutig zu beantworten, da das Konzept der "Cloud" so vielfältig sein kann wie das Unternehmen.

Es ist erstaunlich, wenn ich an meine Zeit beim Microsoft Network zurückdenke, als Internet-Browsing und E-Mail noch in den Kinderschuhen steckten und die Möglichkeiten des elektronischen Geschäftsverkehrs, der Online-Spiele und der Online-Kommunikation erst in Ansätzen erforscht wurden. Zwei Jahrzehnte später ist es für viele Menschen unmöglich, sich eine Welt ohne das heutige Maß an Konnektivität vorzustellen.


Viel mehr als nur der Computer eines anderen Menschen


Eine augenzwinkernde Definition besagt: "Die Cloud ist nur der Computer eines anderen". Die Cloud von heute ist jedoch viel mehr. Sie bietet eine Agilität, Flexibilität und Unmittelbarkeit, die es Organisationen aller Art ermöglicht, mehr von dem zu tun, was sie wollen, wie sie wollen und wann sie wollen. Für kleinere Unternehmen bietet die Cloud alles, was sie brauchen, um ihr Wachstum zu unterstützen und voranzutreiben, die Effizienz zu steigern, die Zugänglichkeit zu verbessern und die hohe Zugangsschwelle zu Tools zu beseitigen, die bisher größeren Unternehmen vorbehalten waren.


Office 365 von Microsoft und die G Suite von Google sind zwei der Plattformen, die für viele Unternehmen den Kern der "Cloud" darstellen. E-Mail-, Kollaborations- und Produktivitätstools in Unternehmensqualität, ohne dass Server und Lizenzen gekauft, installiert oder unterstützt werden müssen. Andere von Ihnen genutzte Online-Anwendungen wie Saleforce, Slack, QuickBooks usw. sind als Software-as-a-Service (SaaS) bekannt, und dies ist nur eines der drei Hauptmodelle von Cloud-Diensten, die anderen sind Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Von den drei Modellen ist SaaS dasjenige, das am ehesten von Unternehmen aller Größenordnungen genutzt wird.

PaaS ist ein Dienst, der sich speziell an Unternehmen richtet, die Software entwickeln wollen. Er bietet eine Plattform, die Entwicklern alles zur Verfügung stellt, was sie für die Erstellung von Anwendungen benötigen, einschließlich Infrastruktur, Betriebssysteme und Entwicklungswerkzeuge. IaaS hingegen richtet sich an Unternehmen, die von einer Infrastruktur (Router und Racks bis hin zu Servern und Speicher) profitieren möchten, die in Rechenzentren verwaltet und gehostet wird und die Flexibilität bietet, damit zu tun, was sie wollen - Unternehmensanwendungen ausführen, Entwicklungsumgebungen, kommerzielle Webservices usw. sowie die Möglichkeit, bei Bedarf neue Server hinzuzufügen.



Holen wir uns eine Pizza


Die Pizza-as-a-Service-Analogie ist ein guter Weg, um die verschiedenen Arten von Cloud-Diensten im Vergleich zum traditionellen On-Premise-Modell zu erklären.



On-Premise (Selbstgemachte Pizza)


Um eine Pizza zu Hause zu backen, braucht man alles. Eine Küche mit einem Ofen, Strom/Gas für den Betrieb, Utensilien, Zutaten, einschließlich des Teigs und der Beläge, und schließlich müssen Sie sie zubereiten. Sie müssen alles beschaffen, verwalten und betreiben, um Ihr Ziel - eine Pizza - zu erreichen.



Infrastruktur-as-a-Service (Miete einer Küche)


Mit IaaS mieten Sie quasi eine Küche. Die gesamte Infrastruktur wird Ihnen zur Verfügung gestellt. Sie müssen nur noch Ihre Pizzazutaten mitbringen und die Pizza zubereiten. Möchten Sie mehrere Pizzen gleichzeitig zubereiten? Dann nehmen Sie einfach mehr Arbeitsflächen für die Zubereitung der Pizzen und schalten Sie bei Bedarf zusätzliche Öfen ein.



Platform-as-a-Service (Bringen Sie Ihren eigenen Belag mit)


Mit PaaS erhalten Sie alles, was Sie für die Zubereitung einer Pizza brauchen. Die gesamte Infrastruktur steht Ihnen zur Verfügung, alle Utensilien und vielleicht sogar der Pizzaboden Ihrer Wahl. Sie müssen nur noch Ihren Pizzabelag mitbringen und die Pizza zubereiten. Möchten Sie eine traditionelle neapolitanische Pizza machen, oder eine tiefe Pfanne, dünn und knusprig, Calzone, Pizza-a-metro, Baguette-Pizzen, manaeesh? Möchten Sie Focaccia zubereiten? Bringen Sie einfach Ihre Fantasie und Ihren Belag mit - der Rest der Umgebung ist bereits vorhanden.



Software-as-a-Service (Gehen Sie in ein Restaurant)


Wenn Sie in ein Restaurant gehen, brauchen Sie nicht zu kochen und können genau auswählen, welche Art von Pizza oder Pasta oder was auch immer auf der Speisekarte steht. SaaS kann Ihnen die Werkzeuge zur Verfügung stellen, um eine Website zu erstellen, über die Sie die Pizzen aus diesem Restaurant weiterverkaufen können, die Finanzen Ihres neuen Unternehmens zu verwalten, das Personal für Ihr Lieferunternehmen einzustellen und zu verwalten, Angebote und Anreize zu fördern und gleichzeitig mit Ihren Kunden über Apps auf deren Smartphones in Kontakt zu bleiben.




Von Disketten auf Knopfdruck


Die Installation von Unternehmenssoftware-Suites von CDs (oder Disketten - kennen Sie die noch?) auf lokalen Servern ist eine Tätigkeit, die der Vergangenheit angehört. Die Zeit, der Aufwand und die Kosten für die Beschaffung geeigneter Server-Hardware, ausreichende Benutzerlizenzen in Papierform, die Schulung von IT-Mitarbeitern für die Installation und den Support der Software sowie für die Schulung und den Support der Benutzer wurden durch ein paar Klicks auf einer Website ersetzt. Die früher erforderlichen enormen Investitionsausgaben (CapEx) und die mit der Skalierung verbundenen Kopfschmerzen wurden durch Betriebsausgaben (OpEx) ersetzt, die monatlich, pro Benutzer und pro Funktionsumfang gezahlt werden. Neue Mitarbeiter müssen eingestellt werden, zusätzliche Funktionen werden benötigt, und all das wird mit einem einzigen Mausklick bereitgestellt. Kein Wunder also, dass SaaS-Lösungen das moderne Geschäft dominieren.


Die Cloud als Innovationsmotor

Die Cloud hat sich zu einer echten treibenden Kraft entwickelt, da Unternehmen ihre Daten und Anwendungen aus den Serverräumen vor Ort verlagern, um Kosten zu senken und die Flexibilität und Innovation zu steigern. Von Start-ups bis hin zu großen globalen Unternehmen gibt es für alle Geschäftsbereiche ein As-a-Service-Angebot, das alle Anforderungen erfüllt. Diese Innovation zieht wiederum weitere Innovationen nach sich, da sowohl neue als auch etablierte Akteure dieselben Cloud-Technologien nutzen, um die nächste Generation von Produkten und Dienstleistungen zu entwickeln.


Die Cloud-Computing-Giganten Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) bieten eine Vielzahl von Tools, die nativ mit ihren Infrastruktur- und Plattform-as-a-Service-Angeboten arbeiten. Dazu gehören Entwickler-Tools, mit denen sich Entwicklerteams schneller einrichten und produktiv machen können, sowie Tools, die die kontinuierliche Integration bis hin zur kontinuierlichen Bereitstellung erleichtern. Irgendwo in der Mitte von all dem steht die Sicherheit.



DevSecOps


Der Begriff DevSecOps wurde geprägt, um die Rolle der Sicherheit im Entwicklungslebenszyklus zu betonen. Früher, als die Entwicklungszyklen noch Monate oder sogar Jahre dauerten, war die Sicherheit eine Überlegung, die erst in den letzten Phasen der Entwicklung angestellt wurde. Die langen Entwicklungszyklen wurden jedoch zugunsten eines Modells der kontinuierlichen Integration und der kontinuierlichen Entwicklung/Einführung (CI/CD) aufgegeben, da die Unternehmen den großen Tag der Veröffentlichung hinter sich lassen. Im Wettlauf um Wettbewerbsvorteile oder um den Anschluss an die Konkurrenz sorgt DevOps für schnelle und häufige Entwicklungszyklen (manchmal Wochen oder Tage), doch die veralteten Sicherheitspraktiken waren nicht mehr zeitgemäß.


Bei DevSecOps wird die Sicherheit als integraler Bestandteil einer gemeinsamen Verantwortung behandelt, wobei die Sicherheit der Anwendungen und der Infrastruktur von Anfang an berücksichtigt wird. Die Auswahl der richtigen Tools zur kontinuierlichen Integration und Automatisierung der Sicherheit sowie die Förderung von Verhaltensweisen, die dazu führen, dass Entwickler ein größeres Bewusstsein für die Sicherheit ihres Codes entwickeln. Während der Entwicklung werden automatisierte Tests durchgeführt, um Sicherheitslücken im benutzerdefinierten Code zu finden und zu identifizieren. Während der Produktion werden "Blackbox-Tests" durchgeführt, die ohne Kenntnis des internen Quellcodes oder der Anwendungsarchitektur durchgeführt werden und im Wesentlichen die gleichen Techniken verwenden, die ein Angreifer einsetzen würde, um potenzielle Schwachstellen in der Anwendung zu finden. Den DeSecOps-Teams steht eine Fülle von Sicherheitstools zur Verfügung. Bedeutet dies also, dass meine SaaS-Lösung sicher ist?



Wählen Sie Ihren Lösungspartner mit Bedacht

Viele Unternehmen mussten ihre Pläne zur digitalen Transformation aufgrund des Coronavirus beschleunigen, während andere sich um SaaS-Lösungen bemühten, um die Organisation, Kommunikation und Zusammenarbeit mit ihren zuvor im Büro arbeitenden Mitarbeitern zu erleichtern. Für Unternehmen, die mit personenbezogenen Daten arbeiten, sind die Anforderungen der Datenschutz-Grundverordnung (GDPR) jedoch noch immer in Kraft, und die Gefahr von Angriffen wird eher noch zugenommen haben, da Hacker versuchen, Schwachstellen in eilig konfigurierten Lösungen zu finden.


 

Wichtige Überlegungen für Ihre Cloud


By keeping the the following considerations in mind when you're comparing and selecting a SaaS provider, you can ensure your data or that of your customers is in good hands and just as safe as it would be in your own care, if not safer.


Wenn Sie beim Vergleich und bei der Auswahl eines SaaS-Anbieters die folgenden Überlegungen berücksichtigen, können Sie sicherstellen, dass Ihre Daten oder die Ihrer Kunden in guten Händen sind und genauso sicher sind wie in Ihrer eigenen Obhut, wenn nicht sogar noch sicherer.



i) Erfolgsbilanz. Wie sieht die Erfolgsbilanz des Unternehmens in Bezug auf Sicherheit und Datenschutz aus? Gab es in letzter Zeit oder sogar mehrfach Datenschutzverletzungen (innerhalb der letzten 10 Jahre), und wenn ja, wie lange ist die letzte Verletzung her und wie wurde sie behandelt? Achten Sie auf Fälle, in denen das Unternehmen nur langsam reagiert hat oder wenig Rücksicht auf seine Kunden genommen hat. Cybersecurity-Fachzeitschriften wie The Register, Krebs on Security und Graham Clueley berichten oft schnell über Unternehmen, bei denen Sicherheitsvorfälle aufgetreten sind oder deren Produkte Schwachstellen aufweisen.



ii) Sichtbare Sicherheitsexpertise. Verfügt der Anbieter über ein sichtbares und erfahrenes Vollzeit-Sicherheitsteam? Engagiert er sich aktiv in der Sicherheitsbranche, indem er z. B. Vorträge auf Konferenzen hält? Hat er ein Mitspracherecht bei bewährten Sicherheitsverfahren und -standards? Kleinere Anbieter, die über kein internes Fachwissen verfügen, sollten eng mit einem renommierten Sicherheitsunternehmen zusammenarbeiten, das für seine ganzheitliche Sicherheitsexpertise, seine Erfolgsbilanz und sein Know-how bekannt ist. Unabhängig davon, ob es sich um einen großen oder einen kleinen Anbieter handelt, wenn dies nicht der Fall ist, besteht eine gute Chance, dass dieser Anbieter ein höheres Risiko für Ihr Unternehmen darstellt.



iii) Klare Angaben zur Sicherheit. Macht der Anbieter deutlich, wie er die Sicherheitsstandards einhält? Kann er Ihre Fragen verstehen und klar beantworten, wenn Sie ihn zur Sicherheit befragen, und ist er bereit, entsprechende Nachweise darüber zu erbringen, was er tut, um zu gewährleisten, dass Ihre Daten sicher sind und so gehandhabt werden, dass sie mit Vorschriften wie der DSGVO übereinstimmen? Lassen Sie sich nicht täuschen, wenn Anbieter versuchen, Ihnen z. B. ein Zertifikat vorzulegen, das besagt, dass das von ihnen genutzte Hosting-Unternehmen nach ISO27001 zertifiziert ist, da dies keine direkte Garantie dafür ist, dass der Anbieter selbst oder seine anderen Lieferanten und Partner die richtigen Schritte unternommen haben, um Ihre Daten zu schützen.


Zumindest sollten die Anbieter nachweisen können, dass sie eine umfassende Sicherheitsrichtlinie durchgesetzt haben und einen Plan für laufende Sicherheitstests aufgestellt haben. Zu diesen Tests gehören manuelle externe und interne Penetrationstests durch akkreditierte Pen-Tester sowie eine nachweisbare DevSecOps-Umgebung, in der die Sicherheit ein integraler Bestandteil des Entwicklungszyklus ist und die Prüfungen während der gesamten Entwicklung und nicht nur als jährliche Übung durchgeführt werden. Sie sollten auch nachweisen, dass sie die Sicherheit mit ihren Drittanbietern und Partnern sorgfältig gehandhabt haben.



iv) GDPR-konform? Die Europäische Union hat mit ihrer Allgemeinen Datenschutzverordnung (GDPR/DSGVO) gezeigt, dass sie ihre Drohungen wahr macht und Unternehmen, die die Mindestanforderungen nicht erfüllen, hart bestraft, wie die jüngsten Beispiele von British Airways, Marriott und Google zeigen.


Wenn Sie Ihre Kundendaten (oder Mitarbeiterdaten) in eine SaaS-Lösung eingeben, müssen Sie als für die Datenverarbeitung Verantwortlicher sicherstellen, dass Sie die GDPR-Anforderungen erfüllen und die Lösung korrekt konfiguriert haben, um die Sicherheit zu maximieren.



v) Eingeborenes SaaS. Handelt es sich bei dem Anbieter um ein natives SaaS-Unternehmen, oder sind seine SaaS-Lösungen eine Reaktion auf andere auf dem Markt? Etablierte Unternehmen, die sich auf SaaS spezialisiert haben, dürften die SaaS-Sicherheitsanforderungen und die entsprechenden Kontrollen besser im Griff haben als Unternehmen, deren neuere SaaS-Angebote als Ergänzung zu ihrem Hauptgeschäft mit On-Premise-Lösungen hinzugefügt wurden. Diese Überlegung ist jedoch kein so starker Indikator dafür, dass die Lösung des Anbieters Ihr Vertrauen verdient, wie die vorangegangenen vier Punkte.



Sowohl große als auch kleinere (wenn auch etablierte) regionale Anbieter können sich der Nichteinhaltung von Best-Practice-Sicherheitsmaßnahmen schuldig machen. Beispiele hierfür sind ein Anbieter von HR-Software, dessen Support-Teams den Administrator-Benutzernamen und das Passwort für ihre Kunden gemeinsam nutzen - was bedeutet, dass auf personenbezogene Daten zugegriffen, sie geändert oder gelöscht werden können, ohne dass protokolliert wird, welcher Support-Mitarbeiter worauf zugegriffen hat; oder ein Vermögensverwaltungsunternehmen, dessen Kundenportal Schwachstellen aufwies, die es einem Kunden-Login ermöglichten, erhöhte Zugriffsrechte zu erhalten und anschließend auf andere Kundenkonten zuzugreifen.


 


Ist Ihre Cloud also sicher?


Das hängt ganz davon ab, was Sie als Ihre Cloud verwenden und wie Sie sie nutzen. Eine allgemeine Regel im Bereich der Cybersicherheit lautet: Achten Sie auf die von Ihnen verwendeten Technologien und seien Sie sich des Risikos von Bedrohungen und Schwachstellen für Ihr Unternehmen bewusst.



Risiko vs. Nutzen


Durch den Einsatz von SaaS können kleine und mittlere Unternehmen davon profitieren, dass sie flexibler und kostengünstiger sind und von den angebotenen Innovationen profitieren. Alles, was ein Unternehmen zum Betrieb benötigt, ist als Service verfügbar, und viele stellen fest, dass sie eigentlich keine lokalen Server benötigen.


Es ist jedoch wichtig, dass Sie diese Dienste richtig auswählen. Wie hoch ist das Risiko für Ihr Unternehmen, wenn es zu einer Datenpanne kommt? Oder wie wirkt sich ein Konkurs des von Ihnen gewählten Hosting-Anbieters oder Dienstleisters auf Ihr Unternehmen aus? Es gibt mehrere Fälle, in denen Unternehmen in den Ruin getrieben wurden, weil sie Pleite gegangen sind. Wenn Anbieter zu klein sind, kann es sein, dass sie aufgeben und Sie mit all Ihren Daten zurückbleiben, die irgendwo auf einem Server liegen, der abgeschaltet ist, weil das Unternehmen Pleite gegangen ist.



Gut konfigurieren und testen


Denken Sie daran, Ihre Dienste gut zu konfigurieren. Verwenden Sie nach Möglichkeit eine Mehrfaktor-Authentifizierung und schulen Sie Ihre Mitarbeiter. Es wäre katastrophal, wenn in Ihrer Infrastruktur großartige Netzwerksicherheitstechnologien zum Einsatz kämen und ein Angreifer aufgrund schwacher Passwörter und mangelnder Sicherheitshygiene in Ihre Verteidigungsmaßnahmen eindringen könnte.


Führen Sie regelmäßig Sicherheitstests in Ihrer Umgebung durch. Stellen Sie sicher, dass Sie regelmäßig Penetrationstests durchführen, um zu sehen, was ein Angreifer von außen ohne Informationen erreichen kann, und was er von innen mit einer normalen Benutzeranmeldung oder einer typischen Kundenanmeldung bei Ihrer Webanwendung erreichen kann.



Und schließlich


Woran können Sie erkennen, ob die SaaS-Lösung, die Sie in Erwägung ziehen, wirklich vertrauenswürdig im Umgang mit Ihren Daten ist? Zu einem großen Teil müssen wir darauf vertrauen, dass Unternehmen ethisch und professionell handeln und dass sie zur Rechenschaft gezogen werden, wenn sie die Grenzen überschreiten, wie es British Airways erlebt hat, als 2018 die persönlichen und finanziellen Daten von 380 000 Kunden gehackt wurden - das Unternehmen wurde daraufhin vom Information Comissioner's Office (ICO), der britischen Datenschutzbehörde, zu einer Geldstrafe von 183 Millionen Pfund verurteilt. Diese Summe entsprach 1,5 % des weltweiten Umsatzes von BA im Jahr 2017.


Denken Sie daran, dass es keine Cloud gibt, die zu 100 % sicher ist. Ihr Unternehmen muss lediglich nachweisen können, dass Sie sich der Sicherheitsrisiken bewusst sind und entsprechend gehandelt haben, indem Sie geeignete Maßnahmen zur Minderung dieser Risiken ergriffen und die einschlägigen Gesetze und Branchenvorschriften eingehalten haben.

 
 

STRATEGIE BERATUNG & TRANSFORMATION

FOCAI hilft Unternehmen, ihre Technologie-, Cyber-Sicherheits-, und Unternehmenswachstums- Strategien auf  die nächste Stufe zu heben, indem es Lösungen der nächsten Generation mit Einblicken und Maßnahmen kombiniert.

FOCAI  © 2024

  • LinkedIn
  • Instagram
bottom of page