Neuer Leitfaden der Cloud Security Alliance (CSA)

Geballte Sicherheit für ERP aus der Cloud

19.12.2019

Von

Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er sein Unternehmen Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich "Security and Embedded Devices". Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.

Alle Posts des Autors Email: Connect:

Immer mehr Unternehmen nutzen ERP aus der Cloud - und sehen ihre geschäftskritischen Anwendungen erhöhten Sicherheitsrisiken ausgesetzt. Lesen Sie hier die 20 wichtigsten Steuerungen und Kontrollen zum Schutz vor Bedrohungen.

Eine aktuelle IDG-Studie zeigt: Die Cloud ist fast schon überall dabei. So nutzen 65 Prozent der Unternehmen in Deutschland bereits Cloud Services, 17 Prozent planen es in den nächsten zwölf Monaten und elf Prozent prüfen es intern. Dabei migrieren die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud mit unterschiedlichen Cloud-Services-Modellen.

Die Cloud Security Alliance beschreibt ein ERP-Sicherheitsprogramm, das ein breites Spektrum von Risiken abdeckt.
Foto: Malchev - shutterstock.com

Obwohl ihnen die Notwendigkeit verstärkter IT-Schutzmaßnahmen bewusst ist, gestaltet sich das Bild von der sicheren Cloud in vielen Unternehmen noch unscharf. Dieses Defizit kann gerade für Cloud-ERP-Nutzer schwerwiegende Folgen haben, da Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.

Breite Palette von Risiken abgedeckt

Mit ihrem jüngst veröffentlichten Leitfaden will die Cloud Security Alliance (CSA) dies ändern. Die CSA ist eine gemeinnützige internationale Organisation. Sie betreibt eine Reihe von Forschungsinitiativen und stellt auf dieser Basis Whitepaper, Tools und Berichte zur Verfügung, die Unternehmen und Anbieter bei der Absicherung von Dienstleistungen im Bereich Cloud Computing unterstützen sollen. Mit ihrem neuen Dokument adressiert sie Organisationen, die ERP-Cloud-Migrationen in Erwägung ziehen oder bereits durchgeführt haben. Im Fokus stehen die 20 wichtigsten IT-Anwendungssteuerungen, um eine vollständige und genaue Datenverarbeitung innerhalb einer Anwendung zu gewährleisten und zum Schutz und zur Sicherheit von Daten beizutragen, die zwischen mehreren Anwendungen übertragen werden. Die Steuerungen unterscheiden sich nach dem geschäftlichen Zweck der Anwendung. Cloud-Kunden können damit ein ERP-Sicherheitsprogramm aufsetzen oder ausbauen, das ein breites Spektrum von Risiken abdeckt.

Zu den wichtigsten Anwendungssteuerungen zählen:

Vollständigkeitsprüfungen: damit alle Datensätze von Anfang bis Ende verarbeitet werden
Gültigkeitsprüfungen: damit nur gültige Daten eingegeben und verarbeitet werden
Identifizierung: damit alle Benutzer eindeutig und unwiderlegbar ausgewiesen werden
Authentifizierung: damit nur zugelassene Benutzer auf die Anwendung zugreifen können
Autorisierung: damit die Benutzerrechte für Funktionen und Daten autorisiert sind
Eingabekontrollen: damit die Integrität von Daten gewährleistet ist, die der Anwendung aus vorgelagerten Quellen zugeführt werden
Forensische Kontrollen: damit Daten und Anwendungen bei einem Vorfall kriminaltechnische Beweismittel liefern können

Die Steuerungen und Kontrollen gelten für unterschiedliche ERP-Cloud-Services-Modelle, wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Je nachdem, in wessen Verantwortungsbereich sie fallen, wenden sie sich an die Cloud-Kunden oder Cloud-Services-Anbieter. Ist ein Cloud-Kunde selbst für die ERP-Sicherheit zuständig, wird zusätzlich festgelegt, ob die Steuerungen von seiner IT- oder Fachabteilung zu implementieren und zu verwalten sind.

Cloud Controls Matrix (CCM) richtungsweisend

Das CSA-Whitepaper teilt die Steuerungen und Kontrollen in die folgenden sicherheitsrelevanten Bereiche ein:

Cloud-ERP-Benutzer
Cloud-ERP-Anwendungen
Integrationen von Cloud-ERP-Anwendungen
Cloud-ERP-Daten
Geschäftsprozesse

Dabei orientieren sich die Steuerungen an der CSA Cloud Controls Matrix (CCM), einem Basis-Satz an Sicherheitsmaßnahmen, der auf den Sicherheitskonzepten und -prinzipien der CSA basiert. Berücksichtigt werden aber auch mehrere branchenübliche Sicherheitsstandards, Regulierungsvorschriften und andere rechtliche Rahmen, die Unternehmen beachten müssen - wie ISO 27001/27002, PCI DDS, HIPAA oder COBIT. Die CSA CCM wurde speziell entwickelt, um Unternehmen bei der Bewertung des Sicherheitslevels von Cloud-Anbietern zu unterstützen.

Konkrete Handlungsempfehlungen nach CCM

Im CSA-Whitepaper werden jeder Steuerung mehrere Abschnitte zugeordnet:

Sicherheitsrelevanter Bereich
Steuerungs-ID (eindeutiger Name der Kontrolle)
Steuerungsbeschreibung
Steuerungsziele
Bedrohungen und Risiken
Zugehörige CCM-Steuerungen

Neben Informationen zu Bereich, Namen, Art sowie Zielen der Kontrollen erhalten die Nutzer Angaben zu den dadurch entschärften Bedrohungen. Im Kern sind das "The Treacherous 12" ("Die betrügerischen Zwölf"), also die zwölf größten Sicherheitsrisiken für Daten in der Cloud, wie sie die CSA in einem Dokument zusammengefasst hat.
Beispiele dafür sind Datenverluste, Systemschwachstellen, Account Hijacking und DoS-Attacken (Denial-of-Service), die ganze Cloud-Systeme abbremsen oder sogar komplett in die Knie zwingen können. Der Abschnitt "Zugehörige CCM-Steuerungen" ist für die Cloud-Kunden besonders nützlich. Denn er enthält die konkreten Abwehrmaßnahmen in Form der Steuerungs-IDs gemäß ihrer Definition in der CSA CCM, wie die beiden folgenden Tabellen zeigen:

CSA Whitepaper: USR01 - Sichere Authentifizierung
Foto: Cloud Security Alliance

CSA Whitepaper: APP02 - Sichere Baseline-Konfigurationen
Foto: Cloud Security Alliance

Umfassendstes Dokument seiner Art

Das neue CSA-Whitepaper hilft Unternehmen, ihre Geschäftsanwendungen bei der Migration und beim Betrieb in der Cloud wirksam vor Sicherheitsrisiken zu schützen. Es ist das bisher umfassendste Dokument zu diesem Thema. Unternehmen sind gut beraten, die beschriebenen Kontrollen sorgfältig zu prüfen und möglichst vollständig in ihre IT-Sicherheitsstrategie einzubinden.

Hier geht es zum Download des kostenlosen CSA-Whitepapers

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren