Cloud Information Security
Die Digitalisierung schreitet unaufhaltsam voran, sowohl in der freien Wirtschaft als auch in Behörden. Um das volle Potenzial der Digitalisierung zu erschließen, führt kein Weg an der Cloud und damit auch an der Security vorbei, schließlich muss auch bei der Cloudnutzung ein angemessenes Sicherheitsniveau realisiert werden.
Die Nutzung von Cloud Computing hat aufgrund der wesentlichen Änderungen in der Art und Weise, wie Rechenressourcen technische konzipiert, betrieben und verwaltet werden, auch verändert, wie Organisationen Risiken für die Informationssicherheit beurteilen und verringern sollten. Parallel schreiben Gesetze oder Aufsichtsbehörden eine Reihe von Sicherheitsanforderungen vor.
Die verschiedenen Disziplinen: Cloud-Governance (vorausschauendes, strukturiertes Planen und Steuern), Cloud-Risikomanagement (das Beherrschen auch neuartiger IT-Risiken) und IT-Compliance (das Beachten und Umsetzen relevanter Vorgaben) können getrennt betrachtet werden. Und hinzu kommt noch das Thema Cloud-Cybersecurity. Gleichwohl besteht zwischen den verschiedenen Disziplinen eine charakteristische Verbindung. Im orchestrierten Zusammenspiel kann die Cloud-Einführung ihren IT-Wertbeitrag ausspielen.
„Für die Zukunft ist es unerlässlich, den aktuellen Compliance-Ansatz zu einem strategischen Instrument der Unternehmensführung auszubauen. Isolierte Maßnahmen helfen hier wenig. Governance, Risk und Compliance müssen als Gesamtlösung weiterentwickelt werden.“
― Marina Walser, Novell Central Europe
Für die sichere und compliante Einführung von Cloud Services werden folgende Themen behandelt:
- Geeignete Frameworks, Normen und Standards
- Sicherheitsarchitektur und -richtlinien für Cloud-Infrastrukturen und deren Kriterien, um sicherzustellen, dass Daten und Ressourcen angemessen geschützt sind.
- Das Shared Responsbility Modell in Bezug auf die Sicherheit
- neue Sicherheitsmodelle in der Cloud, wie Zero Trust und deren mögliche Umsetzung
- Identitäts- und Zugriffsmanagement, um sicherzustellen, dass nur autorisierte Benutzer auf Cloud-Ressourcen zugreifen können.
- Daten- und Anwendungssicherheit: Verschlüsselungskonzepte und Absicherung der verschiedenen Servicemodelle
- Ein pragmatischer Überblick über mögliche Lösungsansätze bei verschiedenen Herstellern (Azure, Google Cloud, Amazon Web Services) wird exemplarisch erarbeitet.
Zwei Normen in der ISO 27000-Reihe haben sich speziell auf dieses Thema fokussiert:
– ISO/IEC 27017 adressiert sowohl die Nutzung von Cloud Lösungen als auch das Anbieten von Cloud Services
– ISO/IEC 27018 bezieht sich auf den Schutz personenbezogener Daten in öffentlichen Cloud-Lösungen