Cloud-Sicherheit: So vermeiden Unternehmen teure Governance-Fehler

fRené Luria, CTO, Infomaniak. (Source: zVg)

fRené Luria, CTO, Infomaniak. (Source: zVg)

Obschon Cloud-Dienste Flexibilität und Wettbewerbsfähigkeit ermöglichen, ist die Sicherheit von Daten nach wie vor von entscheidender Bedeutung. Indem Unternehmen folgende acht Empfehlungen beherzigen, können sie die Kontinuität von Diensten und die Integrität von Daten gewährleisten. Ausserdem vermeiden sie damit Schwachstellen und Lecks.

1. Vermeiden Sie Schatten-IT mit klarer Governance: Einer der ersten Schritte ist die Vermeidung von Schatten-IT. Dabei handelt es sich um On-Demand-Infrastrukturdienste und SaaS, die ohne Freigabe durch die IT-Teams bereitgestellt werden. Wichtig ist, alle Akteurinnen und Akteure von Anfang an einzubinden. Eine gute Governance muss es ermöglichen, schnell auf IT-Bedürfnisse zu reagieren und gleichzeitig die Kontrolle über eigene Anwendungen und Daten zu behalten.
2. Wählen Sie zertifizierte, lokale Cloud-Dienste: Stellen Sie sicher, dass Ihre Cloud-Dienste Sicherheitsstandards wie die ISO-27001-Zertifizierung einhalten. Dazu gehören unter anderem regelmässige Sicherheitsaudits und die Integration von Sicherheit auf höchster Stufe der Prozesse. Das Hosting und die Verarbeitung eigener Daten durch einen lokalen Anbieter macht es auch einfacher, Datenschutzvorschriften wie das rev­DSG oder die DSGVO einzuhalten.
3. Überwachen und prüfen Sie Zugriffe kontinuierlich: Das Fehlen von verdächtigen Aktivitäten bedeutet nicht, dass keine Bedrohung vorliegt. Eine sorgfältige Identitäts- und Zugriffsverwaltung (IAM) mit klaren Zugriffsrichtlinien, die regelmässige Erfassung des Anlagenbestands und die regelmässige Rotation von Kennwörtern und Zugriffsschlüsseln sind von entscheidender Bedeutung, insbesondere bei sensiblen Konten. 
4. Stellen Sie Agilität und Schnelligkeit beim Update-Management in den Vordergrund: On-Premise-Lösungen können bei Bedrohungen nur langsam angepasst werden. Durch die Entscheidung für Cloud-Infrastrukturen und Configurations as Code gewinnen Unternehmen an Agilität und können ihre Cloud-Umgebung und -Anwendungen einfacher auf dem neuesten Stand halten. Die Fähigkeit, schnell auf Schwachstellen zu reagieren (indem etwa ein kompromittierter Linux-Kernel aktualisiert wird), ist entscheidend, um das Risiko von Angriffen zu reduzieren.
5. Arbeiten Sie mit zertifizierten lokalen Expertinnen und Experten zusammen: Ob intern oder an einen IT-Partner delegiert – die Komplexität virtueller Infrastrukturen erfordert spezifisches Fachwissen. Die Zusammenarbeit mit einem anerkannten lokalen Partner erleichtert den Austausch und bietet bessere Garantien in Bezug auf rechtliche Risiken. Entscheidend ist, genügend Ressourcen bereitzustellen und sicherzustellen, dass die Projektumsetzung, die IT-Bedürfnisse und das zu gewährleistende Sicherheitsniveau angemessen sind.
6. Behalten Sie die Kontrolle über Ihren Wirkungskreis und optimieren Sie Ihre Kosten: Grenzen Sie den Umfang Ihrer Cloud und kritischen Anwendungen eindeutig ein, um Ihre Kosten zu kontrollieren – insbesondere bei Autoscaling. Ohne diese Kontrolle können Infrastrukturen schnell veraltet und anfällig werden.
7. Legen Sie eine Strategie für die Kontinuität der Dienste (PRA) fest: Zuverlässige Cloud-Umgebungen oder -Dienste basieren auf Redundanz und einer Kontinuitäts- und Backup-Strategie, die Risiken von Dienstunterbrechungen vorwegnimmt – ob durch technische, administrative Probleme (z. B. unbezahlte Rechnungen) oder Sicherheitslücken. 
8. Bleiben Sie bescheiden: Bedrohungen verändern sich. Selbst die modernsten Systeme sind nicht unangreifbar. Die laufende Anpassung und regelmässige Neubewertung der Sicherheitssysteme ist unerlässlich, um neuen Bedrohungen zu begegnen.

Durch die Anwendung dieser bewährten Praktiken erhöhen Sie die Sicherheit Ihrer Cloud und optimieren gleichzeitig Ihre Abläufe.