:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953800/1953889/original.jpg "Die Leserwahl zum Storage-Insider-Award hat begonnen! (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883428/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Storage-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d2/74/d274a9ab464d5d3cd183d8a1686d5e33/0111692945.jpeg "SEP sesam führt in der aktuellen Version „Apollon“ einige Neuerungen ein. (Bild: SEP)")
:quality(80)/p7i.vogel.de/wcms/c8/22/c822cc75b38f572962c71faca1b4a9d4/0111367558.jpeg "Selbst nach der Zahlung von Lösegeldern kann lau Rubrik-Zero-Labs-Studie gerade mal ein Viertel der deutschen Unternehmen sämtliche Daten wiederherstellen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/85/33850950726c5a3ae6ee4e07254e9011/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c9/cd/c9cdca556a1550cba35c7ffd5324ecc1/0111297532.jpeg "Die Innodisk-iSLC-SSDs der 3IE7-Reihe sind nun über APdate erhältlich. (Bild: APdate)")
:quality(80)/p7i.vogel.de/wcms/10/72/1072bdc55bf2264129d7593e0589194f/0111023794.jpeg "QNAPs TS-855eU-Reihe ist auch für beengte Platzverhältnisse geeignet. (Bild: Screenshot / QNAP)")
:quality(80)/p7i.vogel.de/wcms/ca/c0/cac0dbefc496ea7f4f75fa2ca849d491/0111368167.jpeg "Seagate und Qnap wollen mit einem gemeinsamen Portfolio KMU und Content-Entwickler bei der Datenverwaltung vom Netzwerkrand in die Cloud unterstützen. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/4a/7e4a1b41e0cb9c6d3e42c8903bf775d7/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/99/9b99ae2ed45ed9b3a7464cf9d5d115f4/0111529497.jpeg "Um Daten intelligent nutzen zu können, müssen Datensilos aufgebrochen und die gespeicherten Informationen intelligent verknüpft werden. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/4c/5e4c2202cf3d82830f88246044d65132/0111528829.jpeg "Im Rahmen ihrer neuen Partnerschaft bieten Pure Storage und MongoDB Anwenderunternehmen die Möglichkeit, MongoDB Enterprise Advanced in Portworx zu integrieren. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/76/0876342b0ad5cdce8c8889ab254ee715/0110011261.jpeg "Die Cloud ist aufgrund ihrer Flexibilität, Kosteneffizienz und Benutzerfreundlichkeit zu einer zentralen Komponente der Informationstechnologie geworden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/7c/e47c76db659b7175dd32e5caea23512d/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/31/b6/31b6393d2047f5a28a2d8fc70e5e9f9e/0111272854.jpeg "Ctera-Kunden bekommen zukünftig eine einheitliche Sicht auf Dateien und Objekte. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b12817d2b20453d090fd51629cb950a1/0110832699.jpeg "Boston und DataCore intensivieren ihre Zusammenarbeit. (Bild: John Hain)")
:quality(80)/p7i.vogel.de/wcms/38/af/38af9159680f9667f04ad53166847a7a/0110172680.jpeg "Daten sind eine wichtige, aussagekräftige Informationsquelle und Mittelpunkt aller Arbeitsabläufe, da sie überall enthalten sind und in allen Abteilungen eine Rolle spielen – vom Marketing über den Kundenservice bis hin zur Rechtsabteilung. (Bild: tookitook - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/ab/e0ab0c52cfdc96062651e5799f3e48ba/0111368459.jpeg "Das OVHcloud Cold Archive ist für die sichere und langfristige Datenspeicherung vorgesehen. (Bild: Screenshot / OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/9f/e7/9fe773a0b8dbfda7a213ffbeea58dd08/0109971847.jpeg "Unternehmen setzen zunehmend auf digitale Lösungen, und die Anforderungen an Dokumentenmanagementsysteme steigen – nicht zuletzt auf Grund von Compliance-Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/20/4a/204ae85afd18dc7d2d02d1a12b4a782e/0109699747.jpeg "Um sensible digitale Daten in Kliniken effektiv gegen Ransomware-Attacken zu schützen, müssen auch die Backup-Daten abgesichert werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/82/b98243b5caf42207c0723b15c890859f/0110614062.jpeg "Die Hälfte aller installierten Anwendungen in Unternehmen wird von den Mitarbeitern nicht genutzt, so Nexthink. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/1a/79/1a7918b45b7ab5cf69a017fd7d130fcb/0111107091.jpeg "Zur Verwaltung von Datenträgern stehen in der Windows-Befehlszeile einige nützliche Tools bereit. (Bild: kubais - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/a6/8ca6c72c186a9f906c9a133f013c6178/0110368242.jpeg "Die DSGVO stärkt Geschäftsmodelle, bei denen die Sicherheit der Kundendaten selbstverständlich ist; globale Internetgiganten können trotz nationaler Gesetzgebungen nicht denselben Standard liefern. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/51/c951c133b4bbb7a136f410ce9eb0df03/0111572746.jpeg "„Keine Ressourcen im Kampf gegen Ransomware?“, ein Interview von Oliver Schonschek, Insider Research, mit Martina Emminger von iTernity und Stefano Heisig von Veeam. (Bild: Vogel IT-Medien / iTernity / Veeam / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/e3/4d/e34def6e5ede3d84ede6489bfe029d93/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/c7/a5/c7a5260f41f21e514a663c43c0482d42/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/a3/d0/a3d0994f1e86490e3bd16b54cd4669c8/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Auch Cloud-Storage braucht Standards und Regulierung Compliance-Herausforderungen in der Cloud
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/8f/608fcb6868b2f/logonew.png "Logonew.png (Scality Art of Scale)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Programme zur Einhaltung von Vorschriften sind so konzipiert, dass sie sich mit den wahrgenommenen Bedrohungen oder Risiken für eine Branche oder Gemeinschaft befassen. Normalerweise legt eine Industriebehörde, zum Beispiel Regierung oder Industriekonsortium, Regulierungsstandards fest, um die Zielgruppe in dieser Branche zu schützen. Sie tut dies, indem sie regulatorische Anforderungen vorschreibt, die von jedem erfüllt werden müssen, der in dieser Branche Dienstleistungen für die erbringt.
Die Regulierungsbehörde kann dann regelmäßige Audits einführen, um zu beurteilen, ob der Anbieter der Dienstleistung diese Anforderungen erfüllt – diese werden als „Compliance-Audits“ bezeichnet.
Die Cloud-Technologie wird mittlerweile zu einem Kernbestandteil vieler Branchen, und damit verbunden sind potentielle Risiken; das Ziel von Compliance-Programmen aber ist es, diesen Risiken zu begegnen. Da Geschichten über Verstöße und Datenverluste ständig in die Schlagzeilen kommen, ist es nicht überraschend, dass Compliance-Programme auf ihren Wert hin untersucht werden. Ist die Zertifizierung der Konformität also gleichbedeutend mit Sicherheit für die Unternehmen, die mit der Einführung von Cloud-Technologie nicht zufrieden sind?
Der Wert der Compliance
Für Unternehmen, die gerade erst mit Cloud-Technologien beginnen, sowie für Unternehmen, die bereits stark in die Cloud investiert haben, besteht der Wert der Compliance darin, dass ihre Daten – oder die Daten ihrer Kunden – in einer Compliance-zertifizierten Umgebung geschützt werden. Eine Bereitstellung von Anwendungen in der Cloud, die den gesetzlichen und Compliance-Anforderungen entspricht, wird auch die bewährten Sicherheitsverfahren umsetzen. Das schafft Kundenvertrauen.
Da Compliance wichtiger wird und über bestimmte Branchen hinausgeht, hat dies die öffentliche Wahrnehmung ihres Wertes beeinflusst. Für Unternehmen, die Cloud-basierte Dienste einbinden, werden Anbieter, welche die PCI (den Standard der Zahlungskartenindustrie), HIPAA (den Datenschutzstandard der US-Regierung im Gesundheitswesen) oder SOC2 (einen allgemeinen Technologie-Audit-Standard der AICPA) erfüllen, als seriöser empfunden.
Dies rührt von der Idee her, dass ein verifizierter (geprüfter) Schutz vertrauenswürdiger ist. Darüber hinaus sind bei Bedrohungen oder Risiken für das Unternehmen oft Drittanbieter oder Lieferanten das Einfallstor für Angreifer. Die Wahl eines zertifizierten, konformen Anbieters gibt daher eine gewisse Sicherheit.
Wird aus Compliance IT-Sicherheit?
Die Vorstellung, dass Einhaltung der Compliance gleich IT-Sicherheit entspricht, ist eine falsche Vorstellung. Es gibt keine Sicherheitsgarantie, und Compliance sollte nicht als Synonym für Sicherheit angesehen werden.
Programme zur Einhaltung der Vorschriften helfen zwar bei der Festlegung einer Grundlinie für Kontrollen, diese basieren jedoch auf gemeinsamen Bedrohungsvektoren. Ein Compliance-Standard kann beispielsweise sichere Passwörter zum Schutz des Systemzugangs fordern. Dies hält jedoch die Angreifer nicht auf, die Wege finden, um Passwörter vollständig zu vermeiden: Phishing-Angriffe und andere Einbrüche in Netzwerke dienen in der Regel dazu, aktive Anmeldedaten aus einer Benutzersitzung zu stehlen, und ermöglichen es den Kriminellen, die Passwortkontrollen gänzlich zu umgehen.
Sicherheitsverletzungen in der Cloud und andere wichtige Sicherheitsereignisse, die behoben wurden, haben dazu beigetragen, bessere Cloud-Sicherheitspraktiken zu entwickeln. Hinzu kommen genauere Kontrollen und Automatisierungen sowie damit verbundene Compliance-Programme. Es ist jedoch wichtig zu verstehen, dass es sich um einen reaktiven Ansatz handelt und keine Lösung für unbekannte (Zero-Day), zukünftige Bedrohungen.
Die Implementierung eines beliebigen Compliance-Programms in der Cloud umfasst eine Reihe von Schritten, die wie folgt erläutert werden.
Schritt 1: Sichtbarkeit von Assets
Man kann nur schützen, was man sieht. In der Cloud sind virtualisierte Ressourcen das Kapital. Es ist daher unerlässlich, dass alle Systeme gut für die Skalierung ausgelegt sind. Für viele Unternehmen ist die Überwachung von Ressourcen auch eine Möglichkeit, kosteneffizienter zu werden, da der Betrieb je nach Bedarf skalierbar gestaltet werden kann. Die Automatisierung von Cloud-Operationen ermöglicht die Inventarisierung und Konfiguration von Assets.
Schritt 2: Auswahl des richtigen Compliance-Rahmens
Programme zur Einhaltung der Vorschriften sollten auf der Grundlage von Branchenspezifikationen und Marktbedürfnissen ausgewählt werden. Bei Unternehmen, für die es keine Regulierungsstandards gibt, können die Bedürfnisse des Kundenstamms die Entscheidung bestimmen, da der Kunde möglicherweise Anbieter auswählt, die für seine Branche relevante Standards erfüllen. Die Wahl gemeinsamer Geschäftsstandards wie der SOC2 der AICPA kann ebenso ein guter Ausgangspunkt sein.
Schritt 3: Erstbewertung, Ausschlüsse und Anpassung
Bei jedem Compliance-Programm lohnt es sich zu prüfen, wie sich andere Lösungen zur Einhaltung der Rahmenvorschriften entwickelt haben. Beispielsweise weisen die PCI-Rahmenwerke darauf hin, dass bestimmte Komponenten des Karteninhaberdatensystems (und nicht das gesamte Netzwerk oder verbundene System) den Großteil der Schutzmaßnahmen erhalten müssen. Dies führt dazu, dass Teile des Systems segmentiert und mit einer Firewall versehen werden sollten, um die Konformitätskontrollen nur auf die Systeme und Daten im gegebenen Umfang zu isolieren. Diese Anpassung eines Systems zur Erfüllung von Compliance-Anforderungen kann zu Kosteneinsparungen und Effizienzsteigerungen führen.
Schritt 4: Überwachung, kontinuierliche Bewertungsprüfungen, Workflow-Integration
Die Mehrzahl der Programme zur Einhaltung der Vorschriften folgt dem Modell, dass die Kontrollen jederzeit funktionsfähig sein sollten, und sie müssen daher überwacht werden, um dies sicherzustellen. Um die Erfüllung dieser Anforderungen zu erleichtern, setzen viele Unternehmen Werkzeuge ein, die ihre Arbeitsabläufe automatisieren. Dies kann einfache Abläufe betreffen, wie die Automatisierung von Sicherheitsaufgaben und das Hinzufügen oder Entfernen von Benutzern eines Systems, oder es kann komplexe Arbeitsabläufe beinhalten, wie die Kombination von Auftragsbearbeitung mit Bestätigungen für mehrere Systeme, um Genauigkeit, Datenschutz und Vertraulichkeit zu gewährleisten.
Schritt 5: Automatisierte Behebung
Systeme, die in der Cloud operieren, gelten als komplex gegenüber traditionellen Systemen. Steuerungen wie großvolumige Protokolle und die Überwachung von Schwachstellen werden darum häufig automatisiert statt manuell durchgeführt, um die Effizienz zu steigern und die Fehleranfälligkeit zu senken. Es ist jedoch wichtig, bei der Automatisierung von Überwachungsaktionen Vorsicht walten zu lassen, insbesondere in Fällen, in denen eine hohe Wahrscheinlichkeit von Falschmeldungen besteht. Hier muss beispielsweise eine IDS- oder WAF-Technologie sorgfältig abgestimmt werden, um versehentliche Ausfälle zu vermeiden.
Schritt 6: Berichterstattung und Auditierung
Wenn die Cloud-Implementierung ein konformes System (und damit ein Compliance-Programm) unterstützt, muss sie eine Möglichkeit zur Berichterstattung über ihre Kontrollen bieten. In einigen Fällen wird dies an den Cloud-Service-Provider (CSP) ausgelagert (zum Beispiel physische Sicherheit). In solchen Fällen müssen Unternehmen sicherstellen, dass ihr CSP regelmäßige, zufriedenstellende Berichte abgibt, die belegen, dass die Compliance gegeben ist.
Die Kunden der Unternehmen benötigen diese Informationen möglicherweise ebenfalls. In den meisten Fällen werden die Kunden bei der Nutzung eines bestimmten Cloud-Anbieters in der vertraglichen Vereinbarung anerkennen und bestätigen, dass es in der Verantwortung der Unternehmen liegt, die Richtigkeit dieser Kontrollen durch Dritte zu überprüfen und aufrechtzuerhalten.
In vielen Fällen sind die CSP-Audit-Berichte sogar die einzige Möglichkeit, die Sicherheitskontrollen eines Anbieters zu überprüfen. Dies liegt daran, dass die Anbieter nicht über die operative Kapazität verfügen, um jedem ihrer Kunden eine eigene Prüfung zu ermöglichen. Es ist wichtig, dies zu berücksichtigen, wenn Firmen das Risiko eines Cloud-Anbieters bewerten und alle Bedenken bezüglich seiner Konformitätsberichte verfolgen.
Ein abschließender Hinweis zur sinnvollen Verwendung der Audit-Berichte des Cloud-Service-Anbieters ist, zu bedenken, dass es sich oft um sensible und nutzungsbeschränkte Berichte handelt. Die Möglichkeit für Unternehmen, diese Informationen mit ihren Kunden zu teilen, ist gesetzlich begrenzt. Unternehmen sollten sich bei ihrer Rechts- oder Compliance-Abteilung versichern, dass sie die Informationen zur Compliance-Zertifizierung ihres CSP-Anbieters herausgeben dürfen – oder eben nicht.
Änderungen in der Cloud sind Änderungen in der Compliance
Mit dem Wachstum der Cloud-Branche wird die Wirksamkeit von Compliance-Programmen beeinträchtigt. Der Zweck der Cloud, wie er von den ersten Anwendern definiert wurde, war die Bereitstellung von Ressourcen für Unternehmen über das Internet. Diese Definition ist von Giganten wie Amazon (AWS), Google und Microsoft Azure verwischt worden.
Jeder dieser großen Cloud-Service-Anbieter (CSPs) bietet heute Hunderte von Diensten an, um Geschäfts- und Sicherheitsbedenken zu beheben, und diese haben alle einen großen Einfluss auf fast jede Branche. Hinzu kommen Expertensysteme und automatisierte Software: Sie werden zu Schlüsselkomponenten für Sicherheit, Compliance und Governance in der Cloud.
Zusätzlich zu den Herausforderungen, die mit dem Wachstum der Branche einhergehen, erkennen die Regulierungsbehörden von Compliance-Programmen jetzt die Notwendigkeit, sich an die neue Realität der Cloud-Komplexität anzupassen. Gemeinsame Standards wie AICPA SOC2, PCI und ISO27001 haben verbesserte Sicherheitsrahmen implementiert – oder werden bald –, um den Anforderungen der Cloud gerecht zu werden. Eingeschlossen sind neue Technologien und Sicherheitsrisiken, welche diese neue Cloud-Realität mit sich gebracht hat.
Darüber hinaus zeigen neue datenschutzorientierte Compliance-Vorschriften wie DSGVO und CCPA (der California Consumer Protection Act, ein US-Standard für den Schutz der Privatsphäre, der im Januar 2020 in Kraft getreten ist) bereits Wirkung und definieren neue Geschäftsprozesse, die neue Cloud-Implementierungsstrategien erforderlich machen. Unternehmen suchen zunehmend nach Cloud-Providern und Service-Anbietern, die Lösungen zur Erfüllung dieser Compliance-Anforderungen anbieten.
Compliance-Kontrolle
Letztlich geht es bei der Compliance-Assurance darum, Daten und Systeme richtig zu identifizieren und zu schützen. Jedes einzelne Unternehmen benötigt einen Prozess zur Identifizierung von Risiken und die Kontrollen zu deren Eindämmung. Unternehmen sollten darauf vorbereitet sein, jede Lücke zu identifizieren, sie auf ihre Anforderungen oder Risiken abzubilden und zu dokumentieren. Diese Gewohnheit wird ihnen bei der Entwicklung einer Sicherheits- und Compliance-Strategie in der Cloud gut dienen.
Dies gilt besonders, wenn das Compliance-Programm moderne Sicherheitsbestimmungen und Technologien zur Erleichterung der Compliance berücksichtigt. Notwendigkeiten wie die, alle Protokolle zu überprüfen, könnte ein SIEM oder IDS übernehmen. Es gibt in Echtzeit Warnungen über potenzielle Risiken und hilft Unternehmen so, die Anforderung zu erfüllen.
Doch mit der Zeit ändern sich die Systeme, und die Kontrolle muss auf die Änderungen von Komponenten und Ereignistypen abgestimmt werden. Das Kontrollinventar und die Dokumentation sollten ebenfalls gepflegt werden.
In der heutigen Umgebung schneller und ausgeklügelter Cyber-Angriffe sind automatisierte Tools erforderlich, um die Erkennung von Bedrohungen und die Reaktions- und Abhilfemaßnahmen zu beschleunigen. Es ist zudem wichtig, diese automatisierten Tools, die Teil der Kontrollen zur Bedrohungsabwehr werden, zu überwachen, um sicherzustellen, dass sie richtig eingestellt sind und korrekt arbeiten. Zusätzlich sollten die Automatisierungswerkzeuge selbst durch Abhärtung und Tests gesichert werden.
Automatisierte Abhilfemaßnahmen sollten auf der Grundlage der Risikobewertung und der Priorität der Bedrohung priorisiert werden. So ist es bei Ereignissen mit potentiell hohen Auswirkungen und hoher Wahrscheinlichkeit besser, den Vorfall mit manuellen Werkzeugen zu behandeln, als dieses Risiko durch Automatisierung nur zu mindern. Bei Programmen zur Einhaltung von Vorschriften, die sich ausschließlich an bestimmten Risikoszenarien orientieren (zum Beispiel PCI und HIPAA), sollten dagegen automatisierte Technologien in Betracht gezogen werden, um diese zu bewältigen.
Einhaltung der Vorschriften ist kein Allheilmittel
Die Einhaltung von Vorschriften ist zwar keine Garantie für die Sicherheit in der Cloud, kann jedoch sowohl dem Kunden als auch dem Anbieter bei einem gemeinsamen Ansatz mit Konzepten zum Risikomanagement und zur Anwendung relevanter Kontrollen helfen. Der Wert von Compliance-Programmen besteht darin, dass sie die Bedeutung der Datensicherheit für den Cloud-Service-Anbieter und dessen Kunden unterstreichen und in der Regel ein Mindestmaß an Sicherheitskontrollen durchsetzen.
Es ist aber wichtig, dass die durch die Cloud eingeführte Komplexität angemessen verwaltet wird. Sicherheitskonstruktionen wie virtuelle Netzwerke, Container, Mikrodienste, virtuelle Firewalls und andere Cloud-basierte Angebote sind nicht so einfach zu handhaben wie eine traditionelle Umgebung. Außerdem spiegeln Konformitätsanforderungen nicht immer die Komplexität neuer Cloud-Systeme wider oder zeigen, wo Probleme mit traditionellen Sicherheitsansätzen in der Cloud bestehen.
Fazit
Cloud-Angebote ändern sich regelmäßig, und Sicherheits- wie auch Compliance-Lösungen werden daher schnell angenommen. Für Unternehmen, die es mit der Sicherheit ernst meinen und sich um die Einhaltung von Vorschriften wirklich kümmern, gibt es tatsächlich einen Weg, beides in der Cloud zu erreichen, aber dieses Konzept erfordert Bewusstsein, Ausbildung und geeignete Ansätze.
Automatisierte Tools und von Anbietern bereitgestellte Frameworks können dabei einige der Herausforderungen der Cloud-Sicherheit erleichtern, weil sie Expertensysteme bereitstellen. Diese Tools bieten eine Stütze, um sicherzustellen, dass die Sicherheitsanforderungen in Cloud-Technologien überwacht werden. Eine derartige Plattform für Benutzer von Cloud-Diensten von Amazon (AWS), Google (GCE) oder Microsoft (Azure) ist CloudGuard Dome 9. Sie bietet die Möglichkeit, ihre Sicherheitsstellung anhand von Konformitätsanforderungen zu bewerten, Fehlkonfigurationen zu erkennen und dann die tatsächliche Konformität zu überwachen und durchzusetzen. Mit Tools wie diesen können Unternehmen das Vertrauen in Sicherheitsansätze verbessern und sich vor Identitätsdiebstahl und Datenverlust in der Cloud schützen.
*Der Autor: Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies.
(ID:46503217)
:quality(80)/images.vogel.de/vogelonline/bdb/1949200/1949245/original.jpg "Werden IT-Geräte am Ende ihrer Lebensdauer von Unternehmen nicht ordnungsgemäß entsorgt, kann das schwerwiegende Folgen für den Datenschutz, die Umwelt und die Reputation des Unternehmens haben. (Photographee.eu - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1931000/1931076/original.jpg "Die Nutzung CISPE-Kodex-konformer Dienste soll den Kunden mehr Sicherheit in Bezug auf Einhaltung der Datenschutz-Grundverordnung bringen. (gemeinfrei)")