Eine aktuelle IDG-Studie zeigt: Die Cloud ist fast schon überall dabei. So nutzen 65 Prozent der Unternehmen in Deutschland bereits Cloud Services, 17 Prozent planen es in den nächsten zwölf Monaten und elf Prozent prüfen es intern. Dabei migrieren die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud mit unterschiedlichen Cloud-Services-Modellen.
Obwohl ihnen die Notwendigkeit verstärkter IT-Schutzmaßnahmen bewusst ist, gestaltet sich das Bild von der sicheren Cloud in vielen Unternehmen noch unscharf. Dieses Defizit kann gerade für Cloud-ERP-Nutzer schwerwiegende Folgen haben, da Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.
Breite Palette von Risiken abgedeckt
Mit ihrem jüngst veröffentlichten Leitfaden will die Cloud Security Alliance (CSA) dies ändern. Die CSA ist eine gemeinnützige internationale Organisation. Sie betreibt eine Reihe von Forschungsinitiativen und stellt auf dieser Basis Whitepaper, Tools und Berichte zur Verfügung, die Unternehmen und Anbieter bei der Absicherung von Dienstleistungen im Bereich Cloud Computing unterstützen sollen. Mit ihrem neuen Dokument adressiert sie Organisationen, die ERP-Cloud-Migrationen in Erwägung ziehen oder bereits durchgeführt haben. Im Fokus stehen die 20 wichtigsten IT-Anwendungssteuerungen, um eine vollständige und genaue Datenverarbeitung innerhalb einer Anwendung zu gewährleisten und zum Schutz und zur Sicherheit von Daten beizutragen, die zwischen mehreren Anwendungen übertragen werden. Die Steuerungen unterscheiden sich nach dem geschäftlichen Zweck der Anwendung. Cloud-Kunden können damit ein ERP-Sicherheitsprogramm aufsetzen oder ausbauen, das ein breites Spektrum von Risiken abdeckt.
Zu den wichtigsten Anwendungssteuerungen zählen:
Vollständigkeitsprüfungen: damit alle Datensätze von Anfang bis Ende verarbeitet werden
Gültigkeitsprüfungen: damit nur gültige Daten eingegeben und verarbeitet werden
Identifizierung: damit alle Benutzer eindeutig und unwiderlegbar ausgewiesen werden
Authentifizierung: damit nur zugelassene Benutzer auf die Anwendung zugreifen können
Autorisierung: damit die Benutzerrechte für Funktionen und Daten autorisiert sind
Eingabekontrollen: damit die Integrität von Daten gewährleistet ist, die der Anwendung aus vorgelagerten Quellen zugeführt werden
Forensische Kontrollen: damit Daten und Anwendungen bei einem Vorfall kriminaltechnische Beweismittel liefern können
Die Steuerungen und Kontrollen gelten für unterschiedliche ERP-Cloud-Services-Modelle, wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Je nachdem, in wessen Verantwortungsbereich sie fallen, wenden sie sich an die Cloud-Kunden oder Cloud-Services-Anbieter. Ist ein Cloud-Kunde selbst für die ERP-Sicherheit zuständig, wird zusätzlich festgelegt, ob die Steuerungen von seiner IT- oder Fachabteilung zu implementieren und zu verwalten sind.
Cloud Controls Matrix (CCM) richtungsweisend
Das CSA-Whitepaper teilt die Steuerungen und Kontrollen in die folgenden sicherheitsrelevanten Bereiche ein:
Cloud-ERP-Benutzer
Cloud-ERP-Anwendungen
Integrationen von Cloud-ERP-Anwendungen
Cloud-ERP-Daten
Geschäftsprozesse
Dabei orientieren sich die Steuerungen an der CSA Cloud Controls Matrix (CCM), einem Basis-Satz an Sicherheitsmaßnahmen, der auf den Sicherheitskonzepten und -prinzipien der CSA basiert. Berücksichtigt werden aber auch mehrere branchenübliche Sicherheitsstandards, Regulierungsvorschriften und andere rechtliche Rahmen, die Unternehmen beachten müssen - wie ISO 27001/27002, PCI DDS, HIPAA oder COBIT. Die CSA CCM wurde speziell entwickelt, um Unternehmen bei der Bewertung des Sicherheitslevels von Cloud-Anbietern zu unterstützen.
Konkrete Handlungsempfehlungen nach CCM
Im CSA-Whitepaper werden jeder Steuerung mehrere Abschnitte zugeordnet:
Sicherheitsrelevanter Bereich
Steuerungs-ID (eindeutiger Name der Kontrolle)
Steuerungsbeschreibung
Steuerungsziele
Bedrohungen und Risiken
Zugehörige CCM-Steuerungen
Neben Informationen zu Bereich, Namen, Art sowie Zielen der Kontrollen erhalten die Nutzer Angaben zu den dadurch entschärften Bedrohungen. Im Kern sind das "The Treacherous 12" ("Die betrügerischen Zwölf"), also die zwölf größten Sicherheitsrisiken für Daten in der Cloud, wie sie die CSA in einem Dokument zusammengefasst hat.
Beispiele dafür sind Datenverluste, Systemschwachstellen, Account Hijacking und DoS-Attacken (Denial-of-Service), die ganze Cloud-Systeme abbremsen oder sogar komplett in die Knie zwingen können. Der Abschnitt "Zugehörige CCM-Steuerungen" ist für die Cloud-Kunden besonders nützlich. Denn er enthält die konkreten Abwehrmaßnahmen in Form der Steuerungs-IDs gemäß ihrer Definition in der CSA CCM, wie die beiden folgenden Tabellen zeigen:
Umfassendstes Dokument seiner Art
Das neue CSA-Whitepaper hilft Unternehmen, ihre Geschäftsanwendungen bei der Migration und beim Betrieb in der Cloud wirksam vor Sicherheitsrisiken zu schützen. Es ist das bisher umfassendste Dokument zu diesem Thema. Unternehmen sind gut beraten, die beschriebenen Kontrollen sorgfältig zu prüfen und möglichst vollständig in ihre IT-Sicherheitsstrategie einzubinden.
Hier geht es zum Download des kostenlosen CSA-Whitepapers