Security-Strategie

Risikomanagement aus der Cloud

In Sachen Risikomanagement bieten sich mittlerweile viele unterschiedliche ­Maßnahmen an, die Unternehmen bei ihrer Security-Strategie unterstützen können. Vor allem IT-Sicherheitsdienstleistungen aus der Cloud können dabei eine Option sein.

Cloud, Bildquelle: Thinkstock/iStock

IT-Sicherheitsdienstleistungen aus der Cloud unter die Lupe genommen

Das Maßnahmenspektrum in puncto Risikomanagement reicht heutzutage von fortschrittlichen Virenscannern über Firewall-Installationen und Systemen zur Einbruchsprävention und zur Verhinderung von versehentlich oder kriminell ausgelösten Datenabflüssen bis zur Etablierung von Prozessen zur Einhaltung gesetzlicher oder branchenspezifischer Richtlinien. Letztere betreffen etwa die Verarbeitung personenbezogener Daten oder die Einhaltung von Verfahren wie „Good Manufacturing Process“ (GMP) in der Pharmaindus-trie oder „Payment Card Industry Data Security Standard“ (PCI DSS) in der Kreditkartenbranche.

Gerade weil das Spektrum potentieller Abwehrmaßnahmen so breit gefächert ist, sollte vor der Entscheidung für die eine oder andere Maßnahme zuerst eine Risikoanalyse unternommen werden. Dazu sollte die Unternehmensarchitektur und das Sicherheits-Management-System unter die Lupe genommen werden. Um dabei materielle und personelle Ressourcen zu sparen, bietet es sich an, einen Risikomanagement- und Managed Security Services-Dienstleister (MSS) hinzuzuziehen und diesem die Analyse zu übertragen. Vor der vertraglichen Bindung sollte die Prüfung von Kompetenzen und Referenzen stehen. Zudem sollte erörtert werden, ob der IT-Dienstleister wirklich ein breit aufgestellter Risiko-Management-Spezialist ist.

So sollte der IT-Dienstleister in der Regel wissen, dass Maßnahmen zur Minimierung von Sicherheits- und Compliance-Risiken heute nicht mehr nur flexibel auf neue Bedingungen reagieren müssen – beispielsweise auf Änderungen bei Datenschutzgesetzen oder Änderungen bei Branchenrichtlinien wie PCI DSS –, sondern sie auch von vornherein branchenspezifisch an- und ausgelegt sein sollten. So wird es immer wichtiger, die individuellen Geschäftsprozesse und die Abhängigkeiten der IT eines Unternehmens zu kennen und in der Risikoanalyse zu beachten. Beispiele für die branchenspezifische Ausrichtung von Prozessen und Richtlinien sind die Absicherung von Datenüber­wachungs- und Steuerungssystemen (SCADA) in der Automobilindustrie, die Umsetzung von BaFin-Richt­linien im Bankenumfeld, die PCI DSS-Richtlinien im Bereich der Kreditkartenorganisationen oder GMP-Richtlinien in der Medizin- und Pharma­industrie.

Im Prinzip sind die genannten Maßnahmen erst einmal unabhängig von der Frage, ob sie in einem eigenen Rechenzentrum vorgehalten werden oder aber aus der Cloud bezogen werden. Die Vorteile einer Abrechnung nach Maß, bei der nur die tatsächlich in Anspruch genommenen Leistungen zu Buche schlagen, sind allerdings nur dann möglich, wenn der Service über die Cloud bezogen wird.

Vor fünf Jahren wurde bei einem großen Planungsunternehmen die bisherige Firewall durch eine Next Generation Firewall ausgetauscht. Da die alte Firewall leicht umgangen werden konnte und zudem kein Angriffserkennungssystem (Intrusion Detection System, IDS) implementiert war, lief das Unternehmen Gefahr, angegriffen zu werden, ohne dies zu bemerken. Die neue Firewall wird jetzt via MSS Remote aus der Cloud verwaltet und konfiguriert. Das Argument der ständigen Überprüfung hat den Ausschlag gegeben.

Generell ist die Cloud eine interessante Alternative, gerade in puncto Richtlinienkonformität (hinsichtlich Gesetzen und branchenspezifischen Regelungen). Ein kompetenter Dienstleister kann in diesem Punkt dem Unternehmen viel Arbeit abnehmen und die Kontroll- und Sicherungssysteme „wasserdicht“ halten. Nicht abnehmen kann er dem Unternehmen die letztliche Verantwortung. In Haftungsfragen ist immer erst das Unternehmen selbst in der Pflicht. Jedoch sollte der Dienstleistungsvertrag so gestaltet werden, dass der Dienstleister seinen Teil der Verantwortung übernimmt.

In der Cloud-Computing-Szenerie nimmt im Übrigen die Sicherheitsdienstleistung aus der Wolke eine Mittlerstellung zwischen dem Unternehmen, das Daten in der Cloud verarbeiten lässt, und einem Provider, der einzelne Applikationen oder gar eine gesamte Rechenzentrumsinfrastruktur aus der Cloud anbietet, ein. Die Mittlerstellung des MSS-Anbieters erkennt man beispielsweise beim Schlüsselmanagement. Gute Verschlüsselung ist das A und O – dabei sollten aber die Schlüssel nicht in der Cloud liegen beziehungsweise nicht vom Cloud-Provider verwaltet werden. Wenn der Kunde das Schlüsselmanagement nicht selber managen möchte (was komplex ist und einiges Know-how erfordert), bietet sich für die Schlüsselverwaltung der MSS-Dienstleister als unabhängiger Berater an.

 

Voraussetzungen für ein erfolgreiches ­Sicherheitsmanagement aus der Cloud

  •   Hat der Sicherheitsdienstleister Kundenreferenzen im Umfeld des Unternehmens? Dienstleister müssen sich gut in die organisatorische Infrastruktur von Großunternehmen hineindenken können und das Vorhandensein von bestimmten Kontrollmechanismen im Unternehmen überprüfen.
  •   Lässt sich der Sicherheitsdienstleister regelmäßig auditieren und hat er die gängigen Zerti­fizierungen für das Sicherheitsmanagement wie ISO 27001 sowie branchenspezifische Zertifizierungen?
  •   Besitzt der Sicherheitsdienstleister Rechenzentren in Deutschland beziehungsweise Ländern mit hohem Datenschutzniveau?
  •   Verschlüsselt der Dienstleister den Datenverkehr in die bzw. aus der Cloud ausreichend?

Quelle: NTT Com Security

 

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok