Neuer Leitfaden der Cloud Security Alliance (CSA)

Geballte Sicherheit für ERP aus der Cloud

19.12.2019
Von   
Markus Schumacher berät IT Unternehmen strategisch beim Wachstum. Er war zuvor General Manager Europe bei Onapsis, an die er sein Unternehmen Virtual Forge Mitte 2019 verkauft hat. Als Mitgründer, CEO und Geschäftsführer der Virtual Forge GmbH arbeitete er als Experte für Cybersecurity im ERP-Betrieb. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und leitete den Bereich "Security and Embedded Devices". Davor arbeitete er bei SAP als Produktmanager (SAP NetWeaver Security) und Leiter des TCO-Projekts im Bereich der damals neuen Business ByDesign-Lösung.
Immer mehr Unternehmen nutzen ERP aus der Cloud - und sehen ihre geschäftskritischen Anwendungen erhöhten Sicherheitsrisiken ausgesetzt. Lesen Sie hier die 20 wichtigsten Steuerungen und Kontrollen zum Schutz vor Bedrohungen.

Eine aktuelle IDG-Studie zeigt: Die Cloud ist fast schon überall dabei. So nutzen 65 Prozent der Unternehmen in Deutschland bereits Cloud Services, 17 Prozent planen es in den nächsten zwölf Monaten und elf Prozent prüfen es intern. Dabei migrieren die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud mit unterschiedlichen Cloud-Services-Modellen.

Die Cloud Security Alliance beschreibt ein ERP-Sicherheitsprogramm, das ein breites Spektrum von Risiken abdeckt.
Die Cloud Security Alliance beschreibt ein ERP-Sicherheitsprogramm, das ein breites Spektrum von Risiken abdeckt.
Foto: Malchev - shutterstock.com

Obwohl ihnen die Notwendigkeit verstärkter IT-Schutzmaßnahmen bewusst ist, gestaltet sich das Bild von der sicheren Cloud in vielen Unternehmen noch unscharf. Dieses Defizit kann gerade für Cloud-ERP-Nutzer schwerwiegende Folgen haben, da Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.

Breite Palette von Risiken abgedeckt

Mit ihrem jüngst veröffentlichten Leitfaden will die Cloud Security Alliance (CSA) dies ändern. Die CSA ist eine gemeinnützige internationale Organisation. Sie betreibt eine Reihe von Forschungsinitiativen und stellt auf dieser Basis Whitepaper, Tools und Berichte zur Verfügung, die Unternehmen und Anbieter bei der Absicherung von Dienstleistungen im Bereich Cloud Computing unterstützen sollen. Mit ihrem neuen Dokument adressiert sie Organisationen, die ERP-Cloud-Migrationen in Erwägung ziehen oder bereits durchgeführt haben. Im Fokus stehen die 20 wichtigsten IT-Anwendungssteuerungen, um eine vollständige und genaue Datenverarbeitung innerhalb einer Anwendung zu gewährleisten und zum Schutz und zur Sicherheit von Daten beizutragen, die zwischen mehreren Anwendungen übertragen werden. Die Steuerungen unterscheiden sich nach dem geschäftlichen Zweck der Anwendung. Cloud-Kunden können damit ein ERP-Sicherheitsprogramm aufsetzen oder ausbauen, das ein breites Spektrum von Risiken abdeckt.

Zu den wichtigsten Anwendungssteuerungen zählen:

  • Vollständigkeitsprüfungen: damit alle Datensätze von Anfang bis Ende verarbeitet werden

  • Gültigkeitsprüfungen: damit nur gültige Daten eingegeben und verarbeitet werden

  • Identifizierung: damit alle Benutzer eindeutig und unwiderlegbar ausgewiesen werden

  • Authentifizierung: damit nur zugelassene Benutzer auf die Anwendung zugreifen können

  • Autorisierung: damit die Benutzerrechte für Funktionen und Daten autorisiert sind

  • Eingabekontrollen: damit die Integrität von Daten gewährleistet ist, die der Anwendung aus vorgelagerten Quellen zugeführt werden

  • Forensische Kontrollen: damit Daten und Anwendungen bei einem Vorfall kriminaltechnische Beweismittel liefern können

Die Steuerungen und Kontrollen gelten für unterschiedliche ERP-Cloud-Services-Modelle, wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Je nachdem, in wessen Verantwortungsbereich sie fallen, wenden sie sich an die Cloud-Kunden oder Cloud-Services-Anbieter. Ist ein Cloud-Kunde selbst für die ERP-Sicherheit zuständig, wird zusätzlich festgelegt, ob die Steuerungen von seiner IT- oder Fachabteilung zu implementieren und zu verwalten sind.

Cloud Controls Matrix (CCM) richtungsweisend

Das CSA-Whitepaper teilt die Steuerungen und Kontrollen in die folgenden sicherheitsrelevanten Bereiche ein:

  • Cloud-ERP-Benutzer

  • Cloud-ERP-Anwendungen

  • Integrationen von Cloud-ERP-Anwendungen

  • Cloud-ERP-Daten

  • Geschäftsprozesse

Dabei orientieren sich die Steuerungen an der CSA Cloud Controls Matrix (CCM), einem Basis-Satz an Sicherheitsmaßnahmen, der auf den Sicherheitskonzepten und -prinzipien der CSA basiert. Berücksichtigt werden aber auch mehrere branchenübliche Sicherheitsstandards, Regulierungsvorschriften und andere rechtliche Rahmen, die Unternehmen beachten müssen - wie ISO 27001/27002, PCI DDS, HIPAA oder COBIT. Die CSA CCM wurde speziell entwickelt, um Unternehmen bei der Bewertung des Sicherheitslevels von Cloud-Anbietern zu unterstützen.

Konkrete Handlungsempfehlungen nach CCM

Im CSA-Whitepaper werden jeder Steuerung mehrere Abschnitte zugeordnet:

  • Sicherheitsrelevanter Bereich

  • Steuerungs-ID (eindeutiger Name der Kontrolle)

  • Steuerungsbeschreibung

  • Steuerungsziele

  • Bedrohungen und Risiken

  • Zugehörige CCM-Steuerungen

Neben Informationen zu Bereich, Namen, Art sowie Zielen der Kontrollen erhalten die Nutzer Angaben zu den dadurch entschärften Bedrohungen. Im Kern sind das "The Treacherous 12" ("Die betrügerischen Zwölf"), also die zwölf größten Sicherheitsrisiken für Daten in der Cloud, wie sie die CSA in einem Dokument zusammengefasst hat.
Beispiele dafür sind Datenverluste, Systemschwachstellen, Account Hijacking und DoS-Attacken (Denial-of-Service), die ganze Cloud-Systeme abbremsen oder sogar komplett in die Knie zwingen können. Der Abschnitt "Zugehörige CCM-Steuerungen" ist für die Cloud-Kunden besonders nützlich. Denn er enthält die konkreten Abwehrmaßnahmen in Form der Steuerungs-IDs gemäß ihrer Definition in der CSA CCM, wie die beiden folgenden Tabellen zeigen:

CSA Whitepaper: USR01 - Sichere Authentifizierung
CSA Whitepaper: USR01 - Sichere Authentifizierung
Foto: Cloud Security Alliance
CSA Whitepaper: APP02 - Sichere Baseline-Konfigurationen
CSA Whitepaper: APP02 - Sichere Baseline-Konfigurationen
Foto: Cloud Security Alliance

Umfassendstes Dokument seiner Art

Das neue CSA-Whitepaper hilft Unternehmen, ihre Geschäftsanwendungen bei der Migration und beim Betrieb in der Cloud wirksam vor Sicherheitsrisiken zu schützen. Es ist das bisher umfassendste Dokument zu diesem Thema. Unternehmen sind gut beraten, die beschriebenen Kontrollen sorgfältig zu prüfen und möglichst vollständig in ihre IT-Sicherheitsstrategie einzubinden.

Hier geht es zum Download des kostenlosen CSA-Whitepapers