Security ist Pflichtprogramm

5 Tipps für IT-Sicherheit in der Multi-Cloud

IT-Umgebungen werden im Multi-Cloud-Zeitalter immer größer, vielschichtiger, komplexer – und damit auch die IT-Sicherheit. Fünf Tipps von QSC-Security-Experte Gerald Fehringer zeigen, wie sich Unternehmen zeitgemäß absichern können, ohne sich selbst zu sehr einzuschränken.

Sicherheit im Multi-Cloud-Zeitalter

Wie können komplexe IT-Umgebungen im Multi-Cloud-Zeitalter sicher gestaltet werden?

Multi-Cloud-Anwendungen sind längst in der Business-IT angekommen: Laut Branchenanalysten von IDC werden bis 2021 rund 90 Prozent aller Unternehmen auf Multi-Cloud-Services und -Plattformen setzen. Doch mit wachsender Komplexität ergeben sich auch viele neue Fragen hinsichtlich der IT-Sicherheit. Wie können Unternehmen dieser Herausforderung gerecht werden?

1. Data Privacy first: Datenschutz hat höchste Priorität

Die Hauptthemen in der IT-Sicherheit haben sich in den letzten Jahren nicht grundlegend geändert; auch in einer Multi-Cloud-Umgebung spielen viele davon weiterhin eine übergeordnete Rolle – doch mit der Datenschutzgrundverordnung (DSGVO) verschiebt sich die Gewichtung. Datenschutz gehört für europäische Unternehmen jetzt ganz oben auf die Prioritätenliste. Und mit der Verabschiedung des „Cloud Acts“ wird es für europäische Unternehmen noch einmal komplexer. Denn damit räumen sich US-Behörden selbst das Recht ein, im Zuge von Ermittlungen die Herausgabe personenbezogener Daten von US-Bürgern zu verlangen. Eine europäische Antwort auf die amerikanische Gesetzgebung steht noch aus.

Deshalb ausschließlich deutsche Cloud-Provider zu nutzen, greift jedoch viel zu kurz. Viel wichtiger ist die Frage, welche Workloads wo verarbeitet werden. So können unkritische Anwendungen, bei denen keine personenbezogenen Daten involviert sind, auch weiterhin in Rechenzentren US-amerikanischer Cloud-Anbieter laufen.

2. Verzeichnispflicht: Wissen, wer was wo speichert

Um unterscheiden zu können, welche Daten als kritisch einzustufen sind und welche nicht, müssen Unternehmen erst einmal herausfinden, welche Cloud-Lösungen in den verschiedenen Abteilungen überhaupt im Einsatz sind und welche Daten wo gespeichert und verarbeitet werden. Viele wissen das nicht – das müssen diese Unternehmen mit Inkrafttreten der DSGVO unbedingt ändern.

Der Aufwand dafür mag vielen enorm erscheinen. Aber Entscheidungsträger sollten nicht vergessen, dass ein nachhaltig geführtes Datenverzeichnis mit den neuen Vorgaben alternativlos ist. Die Mühen dafür müssen Unternehmen also ohnehin aufbringen. Und statt nur auf die Kosten, sollten Firmen auf die Vorteile schauen: Denn auf diese Weise erhalten sie nicht nur die Chance, redundante Systeme und Lösungen zusammenzuführen, die Transparenz der eigene Organisation zu verbessern und insgesamt effizienter zu arbeiten. Darüber hinaus ist das Wissen, welche Daten wann wo von wem verarbeitet und gespeichert werden, schlicht die Grundvoraussetzung für ein wasserdichtes Sicherheitskonzept. Sprich: Daten klassifizieren, Governance-Richtlinien definieren – also den Umgang mit verschiedenen Datenklassen festlegen –, und anschließend diese neue Governance im Unternehmen durchsetzen; daran führt kein Weg vorbei.

3. Hilfe holen: kurzfristig Experten engagieren

Die gute Nachricht lautet: Die Furcht vor dem hohen Aufwand ist zum Teil gar nicht berechtigt. Denn eine Datenklassifizierungsmatrix ist mit Expertenhilfe schnell erstellt. Dafür sollten Unternehmen auf einen Trusted Advisor, also einen Dienstleister setzen. Der verschafft sich auf Basis eines Organigramms des Unternehmens ein Bild der Fachabteilungen, berücksichtigt Fileserver, Datenbanken, E-Mail-Server oder Collaboration-Tools. Und analysiert die IT systematisch mithilfe einer entsprechenden Appliance. Unternehmen, die beispielsweise über Next Generation Firewalls verfügen, sind dabei im Vorteil, weil sich hier vergleichsweise leicht ansetzen lässt. Denn über diese Stelle laufen alle Datenpakete, weshalb Experten hier recht schnell die Information abgreifen können, welche Cloud-Dienste im Unternehmen genutzt werden.

4. Daten durchgängig verschlüsseln  

Doch ganz egal, wo Unternehmen ihre Daten speichern und ob diese als kritisch einzustufen sind oder nicht – es wird immer Angreifer geben, die versuchen, Barrieren zu überwinden. Daher sollte Verschlüsselung in jedem Unternehmen zum Standard gehören. Ideal ist eine durchgängige Verschlüsselung auf drei Ebenen: Dem Transportweg, der Ablage und den Daten selbst. Der Trend geht aktuell in Richtung On-the-Fly-Verschlüsselung – das heißt: Nur Nutzer mit dem richtigen Schlüssel sind berechtigt, auf Informationen zuzugreifen. Schließen sie eine geöffnete Datei, schnappt das Schloss direkt wieder zu.

5. Sauberes Identitäts-Management

Wer in einer Mutli-Cloud-Umgebung arbeitet, greift meist jeden Tag auf unzählige Cloud-Dienste verschiedener Anbieter zu. Deshalb ist ein professionelles Identity and Access Management (IAM) ebenfalls ein Muss. Damit verhindern Unternehmen, dass Mitarbeiter beispielsweise für jeden Dienst dasselbe (mitunter unsichere) Passwort verwenden. Am besten bieten IAM-Dienste eine integrierte Schlüssigkeitsprüfung, mit der das Tool überwacht, ob es möglicherweise nicht plausible Zugriffsversuche aus dem Ausland gibt, obwohl der betreffende Mitarbeiter eigentlich am Standort Deutschland sein müsste.

Die fünf Tipps für IT-Security in der Multi-Cloud sind keine Kür, sondern sollten in jedem Unternehmen zum Pflichtprogramm gehören. Nur zeigt der Trend, dass viele Firmen die Zahl ihrer Dienstleister so gering wie möglich halten; etwa aus Kostengründen oder um Geschäftsgeheimnisse zu hüten. Die Scheu vor fremder Hilfe sollten sie überdenken. Denn besonders Unternehmen, die über wenig oder kein eigenes IT-Know-how verfügen, können stark profitieren. Mit externer Unterstützung meistern sie nicht nur die Herausforderungen komplexer Multi-Cloud-Strukturen, sondern verschaffen sich Wettbewerbsvorteile. Mögliche Kosten dafür erwirtschaften Unternehmen schnell mithilfe neu gewonnener Transparenz zurück. Und Schatten-IT oder Security-Zwischenfälle sind in der Regel deutlich teurer als ein Profi, der temporär dabei hilft, die Sicherheit im Unternehmen auf sichere Füße zu stellen.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok