Die Migration in die Cloud ist vielschichtig und für alle Unternehmen ein grosses Projekt mit reichlich Risiken. Das ist so, und deshalb sind alle Versuche, die Komplexität, welche die neuen cloudbasierten Umgebungen mit sich bringen, zu reduzieren, mehr als verständlich. Leider leidet darunter dann häufig die IT-Sicherheit, auf deren Kosten eine übereilte Migration in die Cloud realisiert wird.
Zuerst die IT-Lösung, dann die IT-Sicherheit – provisorisch und/oder etappenweise ausgebaut
Dieser auf einer «Pflästerlipolitk» oft unter Umgehung von Compliance-Regeln und -Richtlinien basierende Ansatz, wie oft jahrelang bei On-Premises-Lösungen praktiziert, funktioniert bei der Migration in die Cloud nicht. Das hat mehrere Gründe:
- Schon bei On-Premises-Lösungen war und ist ein «Pflästerli-Ansatz» bei der IT-Sicherheit nicht statthaft und – im schlimmsten Fall – als Reaktion auf einen Security-Vorfall nicht schön und eigentlich peinlich, weil zu spät.
- In der Cloud unterscheiden sich die Massnahmen im Bereich der IT-Sicherheit stark von denjenigen in On-Premises-Umgebungen. Security-Massnahmen in On-Premises-Umgebungen drehen sich primär um das Thema Identity und Access Management. Diese Massnahmen sind in der Cloud weniger wirksam, weil die unterliegende Plattform vom Cloud Provider vollständig kontrolliert wird.
- Einer der grossen Nachteile der Cloud: die Kontrolle der eigenen Daten ist eingeschränkt. Sind ungesicherte Daten einmal in der Cloud abgelegt, wirken sich nachträgliche Security-Massnahmen zum Schutz der in der Cloud abgelegten Daten nur ex ante aus, d.h. es wird maximal die aktuelle Datensicht geschützt. Backups, Kopien etc. werden nicht geschützt. Ebenso wenig wirkt sich der Schutz auf Daten aus, welche bereits vom Cloud Provider geteilt wurden.
Bei der Migration in die Cloud, hat die IT-Sicherheit an erster Stelle zu stehen.
Cybersecurity künftig immer an die erste Stelle setzen
Der «Migration-First – Security-Later Approach» funktioniert deshalb in der Regel mehr schlecht als recht. Die Entscheider sind gehalten, abzuwägen, ob die vermeintliche Vereinfachung eines Cloud-Migration-Projektes die nachträgliche «Aufräumarbeit» aufwiegt oder allfällige Incompliance in Kauf genommen werden kann.
In der Cloud gilt, was nicht explizit geschützt ist, ist weg, geht potentiell «verloren» – mindestens an den Provider, wahrscheinlich auch an dessen Partner, ja nach Geografie evtl. auch an die Vorratsspeicherung des Landes und im übelsten Fall an die Cybercrime Community.
Aus unserer Erfahrung muss klar gesagt werden, dass nachträglicher Schutz in der Regel anfällig bleibt, weil ein Flickenteppich an Security-Massnahmen immer Lücken aufweisen wird. Unternehmen stellen sich so darauf ein, mit einem vermeintlich konformen IT-Security-Providurium zu leben. Niemand will es dann im Schadenfall gewesen sein, und das Top-Management ist sich den effektiven Risiken meist nicht bewusst.
Wir postulieren den Security-First Approach to Cloud. Wie das geht, auf welche Aspekte geachtet werden muss, welche Lösungen hierfür bereitstehen, darüber informieren wir Sie gerne persönlich. Nehmen Sie mit uns Kontakt auf.
DE 
EN 