Rückblick auf unser IT-Security Breakfast: Auf in die Cloud - aber ist Ihre Security Strategie auch reisetauglich?

von Svenja Koch

Die Diskussionsrunde unseres letzten IT-Security Breakfast drehte sich rund um das Thema Clouddienste und die zentrale Frage, wie eine Cloud Strategie die unternehmensinterne Behandlung der IT verändert und welche Konsequenzen dies beispielsweise für deren Prozessstruktur hat.

► Die Cloud verspricht initial Schnelligkeit, Flexibilität und geringeren Aufwand bei der Verwaltung der Dienste. Jedoch zeigt sich schnell: Die eigene Hardware muss oft aufwendig beschafft werden – deren Evaluierung und Erwerb müssen neben Implementierung von Service Level und Infrastruktur auch hinsichtlich Personal- und Budgetplanung vorgehalten werden.

Die teilnehmenden IT-Sicherheitsverantwortlichen der Unternehmen waren sich einig, dass es für die meisten Unternehmen aktuell eine Herausforderung bedeutet, ihre Security Strategie dahingehend anzupassen, dass Cloud Services sicher genutzt werden können.

Cloud Dienste sorgen ebenso dafür, dass sich die Perimeter verschieben. Klassische Perimeter Firewall Modelle müssen der Cloud Strategie angepasst werden. Die Grenzen der eigenen Infrastruktur verschieben sich zu den Cloud Anbietern: Läuft ein Domain Controller bspw. über Microsoft, erweitert sich das Netzwerk zu Microsoft.

► Der Security Fokus muss unter diesem Gesichtspunkt zukünftig mehr und mehr auf die Clients verschoben werden, Incident Detection wird nach Expertenmeinungen hier eine zunehmend wichtige Rolle spielen.

Der teilnehmende Cloud Security-Experte Sebastian Schlüterbusch erörterte, dass die Marktentwicklung in den letzten 12 Monaten immer stärker Richtung Hybrid Cloud tendierte, da viele Anwendungen nicht in der Cloud betrieben werden können oder Verantwortliche die Cloud nutzen, um eine Notfallumgebung aufzubauen.

Unsere Experten-Checkliste

Was sollten Unternehmen bei der Etablierung Ihrer Cloud Security Strategie beachten?

  • Sensible Daten verschlüsselt in der Cloud ablegen
  • Die Schlüsselverwaltung sollte in der Verantwortung des Kunden liegen
  • Entwicklung eines Katalogs für die Bewertung des Cloud Anbieters
  • Lieferantenaudits durchführen
  • Auf Zertifikate achten (27001, BSI-Grundschutz, BSI C5 etc.)
  • Regelmäßig Schwachstellenscans und Pentest durchführen lassen
  • 2-Faktor Authentifizierung etablieren
  • Backups und Restoretests nicht vernachlässigen (ggf. mit Aufpreis – z.B. bei einer höheren Retention-Zeit)
  • Prüfung der eigenen Richtlinien (z.B. Passwörter)
  • Überprüfung der Backupstrategie von Cloud Anbietern, viele haben nur eine Vorhaltezeit von 28 Tagen!

Sie haben Fragen zu Ihrer Cloud Strategie oder wünschen eine Beratung?

Zurück