Cloudbasierte Software und Anwendungen haben heute völlig neue Möglichkeiten für flexible Arbeitsmodelle eröffnet. Um ihre Aufgaben zu erledigen, benötigen Mitarbeitende auf der ganzen Welt nur Internetzugang und einen Laptop. Für die richtige Strategie, um die Sicherheit in der Cloud zu gewährleisten, sollten einige Aspekte beachtet werden.
Aufgrund der zunehmenden digitalisierten Arbeitsabläufe entwickeln Unternehmen Strategien für die Sicherheit in der Cloud. Firmen, die gerade mit dem Umstieg in die Cloud begonnen haben oder den Prozess für die Integration ihres Cloudanbieters anpassen möchten, sollten bei der Entwicklung dieser Strategie folgende Punkte berücksichtigen.
Unternehmensweite Einbindung von Teams zur Minderung von Sicherheitsrisiken
Anders als bei den isolierten Geschäftssystemen der Vergangenheit ist jeder für die Sicherheit in der Cloud verantwortlich. Führungskräfte sollten die Risiken kennen und die Erwartungen an die jeweiligen Teams klar kommunizieren.
Auf Ebene der Geschäftsleitung sind sensible Unternehmens- und Kundendaten sowie ihre Kontrolle von zentraler Bedeutung. Der Missbrauch oder die Offenlegung vertraulicher Daten kann das Vertrauen (und den Ruf ganzer Marken) bei Millionen Verbraucher zerstören. Zudem für das Unternehmen Schäden in Höhe mehrerer Millionen, wenn nicht Milliarden, von Dollar verursachen.
Die technische Infrastruktur, Architektur und operative Daten sowie ihre Pflege, Verfügbarkeit und Sicherheit liegen in der besonderen Verantwortung des Chief Information Officer, Digital Officer oder Technology Officer. Während sich Cloudtechnologien weiterentwickeln und wachsen, werden auch die Bedrohungen immer ausgeklügelter, sodass noch bessere Schutzmaßnahmen ergriffen werden müssen. Spezielle interne Ressourcen für IT-Sicherheit sind unter Umständen nicht praktikabel, ausbaufähig oder keine kostenwirksame Option, um wichtige Cloudsysteme zu schützen.
Cloudsicherheit schützt nicht nur die Marke und das Ansehen des Unternehmens, sondern betrifft auch jede Geschäftseinheit, die auf betriebsbereite Cloudsoftware angewiesen ist. Damit können bestehende Kunden und Interessenten mit geschäftskritischen Anwendungen unterstützt werden. Die finanziellen und rechtlichen Folgen mangelnden Datenschutzes und lückenhafter Sicherheit können beträchtlich sein.
Ganzheitliche Cloudsicherheit und Compliance
Bei der Auswahl neuer Cloudanbietende sollte eine Geheimhaltungsvereinbarung unterzeichnet werden, bevor diese ihre Sicherheits- und technischen Berichte, Zertifizierungen und entsprechende Dokumentation vorlegen. Cloudsoftware- und Cloudserviceanbieter, die vertrauliche Unternehmens- oder Kundendaten speichern und verarbeiten, sollten vielfältige, regelmäßige und global anerkannte Prüfungen durchlaufen.
Die Compliance-Anforderungen können je nach Funktionsbereich, Daten, Branche und/oder Region variieren. Gängige globale Standards für Cloudsicherheit und Servicemanagement beinhalten die Zertifizierung nach BS 10012:2017 für Datenschutzstandards und die ISO-9001-Zertifizierung für die Einhaltung von Qualitätsstandards. Daneben bietet ISO 27001 einen globalen Standard für das IT-Sicherheits-Management. Und ISO 22301 konzentriert sich auf die Sicherheit und Resilienz von Business-Continuity-Management-Systemen der Cloudanbieter.
So war SAP Concur einer der ersten Cloudservice-Anbieter, der Kunden wie eine nationale Sicherheitsbehörde und Finanzinstitute betreute, und das 18. US-Unternehmen, das 2004 nach ISO 27001 (früher BS7799) zertifiziert wurde. Die SAP durchläuft auch weiterhin diese und viele andere externe und interne Sicherheitsprüfungen, um einen hohen Zertifizierungsgrad sicherzustellen.
Weitere zu berücksichtigende Standards sind Payment Card Industry (PCI) zur Gewährleistung der Sicherheit von Zahlungsdaten und SOC-1-Berichte und SOC-2-Berichte Typ II, die die Konformität interner Kontrollmechanismen beziehungsweise das Reporting von Sicherheitsprüfungen betreffen.
Der Datenschutz ist ein Bereich von zunehmender Bedeutung. Je nach Land und Rechtsraum, in dem ein Unternehmen tätig ist, existieren lokale Datenschutzvorschriften, die der Anbieter einhalten muss. Zum Beispiel müssen Unternehmen in Australien die Australian Information Privacy Principles erfüllen. Typische Datenschutzregelungen sind unter anderem Verfahren zur Aufbewahrung (und Löschung) von Daten und die Datenschutz-Grundverordnung (DSGVO), die für EU-Bürger unabhängig vom Standort des Unternehmens gilt.
Daten sollten verschlüsselt werden, wenn sie über ein öffentliches Netz übertragen werden und in einer Datenbank hinterlegt werden. Der Zugriff auf Daten sollte für Cloudanbietende nur auf einen berechtigten Personenkreis beschränkt sein, der einer entsprechend Überprüfung unterliegt. Üblicherweise müssen Mitarbeitende mit Zugang zu Daten und Rechenzentren einer Personenüberprüfung unterzogen werden, bevor sie Zugriff auf Kundendaten erhalten. Für Daten, die übertragen werden, und für ruhende Daten sollten Verschlüsselungsmethoden nach Branchenstandards verwendet werden.
Datenhoheit kann ein wichtiger Aspekt für ein Unternehmen sein. Wenn dies der Fall ist, muss bekannt sein, wo sich die Rechenzentren des Cloudanbieters befinden und wer sie besitzt. Es sollte sichergestellt werden, dass es sich um Rechenzentren der Qualitätsstufe Stufe 3 oder 4 handelt und geeignete Verfahren für Notfallwiederherstellung und Archivierung/Datensicherung bestehen. Die Hauptstandorte sollten von zweiten Standorten für Datensicherung und Notfallwiederherstellung getrennt sein.
Cloudanbietende lagern Dienste, wie etwa für die Infrastruktur, häufig an Drittanbieter aus. Es ist also wichtig zu wissen, wie Cloudanbietende hier vorgehen und mit Daten hinsichtlich Datenschutz und Sicherheit umgehen.
Mobile Sicherheit ist ein weiterer wichtiger Punkt. Neben den lokalen Sicherheitsfunktionen mobiler Geräte, wie biometrische Verfahren, sind auch die Sicherheitsfunktionen mobiler Anwendungen und die Webanwendungen des Anbieters genauestens zu prüfen.
Die Sicherheit in der Cloud entwickelt sich ständig weiter. Erforderlich ist eine kontinuierliche Überprüfung von Sicherheit und Technologie, da sich die Anforderungen, gesetzlichen Regelungen und Erwartungen je nach Funktionen, Branchen und Regionen unterscheiden können. Und vor allem ist es wichtig, die Integrität, Sicherheit und Verfügbarkeit von Unternehmens- und Kundendaten genauso sorgfältig zu steuern wie das gesamte Cloudunternehmen. Nur so können Unternehmen mit der Digitalisierung der Arbeitswelt Schritt halten.