LinkedIn Mail Call us User Icon

 DE  EN NL FR

Teilen Sie diese Seite auf LinkedIn!
Schicken Sie den Link auf diese Seite per E-Mail
Abonnieren Sie den e3 RSS Feed!
Teilen Sie diese Seite auf Facebook!
Erzählen Sie von dieser Seite auf Twitter!

Cloud Security

A Business Issue

Die Cloud nutzen – aber ohne Kontrollverlust.

Die Nutzung von Cloud-Services ist ein Megatrend in der Informatik. Die meisten Unternehmen haben bereits Teile ihrer IT in die Cloud ausgelagert oder stehen kurz davor. Damit besteht das Risiko eines Kontrollverlustes über Daten und Prozesse, denn man hat keine Gewissheit, wer auf Daten und Systeme in der Cloud Zugriff hat. Cloud Security ist das Mittel, das einer Unternehmung die sorgenfreie Nutzung der Cloud ermöglicht.

Herausforderung

Praktisch keine Unternehmung kann auf IT-Services verzichten. Mit der laufenden Digitalisierung der Geschäftsprozesse wird die Abhängigkeit von der Informatik noch grösser. Zusätzlich steigt die Komplexität der IT-Systeme, sowohl auf der Hardware, wie auch der Software-Seite und damit die Kosten für die Informatik.

Ein Ausweg aus diesem Dilemma bieten Cloud Services an. Die Nutzung von Cloud-Diensten hat verschiedene Vorteile, unter anderem:

  • Nutzung von Standard-Software, die ein Unternehmen allein nicht hätte entwickeln können; eine Reihe von (grossen) Herstellern bietet ihre Software nur noch als Cloud Services an, ein Trend, der zunimmt;
  • Variabilisierung der IT-Kosten durch das pay-as-you-use-Prinzip;
  • tiefere IT-Kosten, da Entwicklung, Betrieb und Unterhalt der Systeme nicht selbst finanziert werden muss.

Nutzung von Cloud Services bedeutet für eine Unternehmung die Auslagerung von wichtigen Systemen und Daten in eine «Wolke» (Cloud); sie vergrössert die eigenen Systemgrenzen massiv, zudem werden diese diffus.

Damit sieht sich eine Unternehmensführung mit einem grossen Dilemma konfrontiert:

Auf der einen Seite will/muss sie in die Cloud gehen, um mit der Digitalisierung Schritt zu halten. Auf der anderen Seite besteht die Gefahr des Kontrollverlustes über die IT. Und in einer Zeit, in der die IT ein kritischer Erfolgsfaktor ist, riskiert sie die Reputation oder gar Existenz der ganzen Unternehmung.

Die Lösung für dieses Dilemmas ist das Ziel der Cloud Security.

Lösungsansatz

Cloud Security ist mehr als ein Tool

Cloud Security ist kein Tool, das installiert werden kann und alle Risiken im Zusammenhang mit der Nutzung von Cloud Services sind mitigiert. Cloud Security ist ein Bündel von Einzelmassnahmen, die aufeinander abgestimmt werden müssen. Eine gute Cloud Security basiert auf einem strategischen Vorgehen und resultiert aus einer Kombination von aufeinander abgestimmten Verhaltensregeln, Prozessen und Tools.

Erkennen der Risiken aus der Cloud-Nutzung

Ein Schutz vor Risiken kann nur erreicht werden, wenn eine Unternehmung die Risiken kennt. In der Informatik hat sich der Begriff der «Attack-Vektoren» gebildet; dabei ist jeder Vektor ein Ansatz, wie ein Angreifer sich widerrechtlich Zugang zu Systemen und Daten in der Cloud verschaffen kann. Bekannte Beispiele solcher Attack-Vektoren sind Phishing, Bot-Netze, Malware, DDoS-Attacken. Cloud Services sind ganz spezifischen Attack-Vektoren ausgesetzt. Diese müssen strukturiert ermittelt werden, damit ein belastbarer Schutzschild konzipiert werden kann.

Die Spezialisten der e3 kennen die Attack-Vektoren aus der Theorie und der Praxis. Die Erfahrungen aus vielen Projekten fliessen in diese Analysen mit ein.

Schutzmassnahmen definieren

Viele Cloud-Anbieter bieten auf der technischen Ebene (Netzwerk, Operating System, Datenbanken) gute Schutzmassnahmen gegen Attacken an. Damit decken sie jedoch nur einen Teil der bekannten Attack-Vektoren ab. Auf Applikations- und Datenebene ist die Sicherheit sehr viel schwieriger zu erreichen. Vor vielen Bedrohungen muss sich eine Unternehmung deshalb selbst schützen. Was nützt ein verschlüsseltes Netzwerk, wenn Mitarbeitende sensitive Daten in eine unsichere Cloud Applikation übertragen?

Die e3 analysiert mit Ihren Spezialisten die relevanten Attack-Vektoren und leitet spezifische Schutzmassnahmen ab. Dabei werden Verhaltensmassnahmen (z.B. Awareness-Kampagnen) mit Prozessen (Anpassung der Prozesse an die Cloud) mit einem Set von geeigneten Tools der e3 und anderer Anbieter (Shadow-IT Detection, Verschlüsselung, etc.) kombiniert.

Erfolgskontrolle und Optimierung

Die e3 begleitet ihre Kunden auch nach der Implementierung der Schutzmassnahmen, um sicherzustellen, dass die Schutzziele erreicht worden sind. Zudem tauchen immer neue Attack-Vektoren auf, es ist ein Rennen zwischen Hackern und Cyber Defense-Experten. Es gilt, neue Entwicklungen rechtzeitig zu analysieren und die Schutzmassnahmen auf neue Bedrohungen anzupassen.

Kundennutzen

Die IT wird immer komplexer, trotz oder wegen der Nutzung von Cloud Services. Gleichzeitig kann eine einzelne Unternehmung durch die Nutzung von Cloud-Diensten die Kapazität an eigenen IT-Spezialisten abbauen. Zudem sind IT Security-Spezialisten teuer und auf dem Arbeitsmarkt eine knappe Ressource.

Die e3 verfügt über einen Pool von ausgewiesenen IT-Sicherheitsexpertinnen und -experten. Diese sind nicht nur gut ausgebildet, sondern verfügen auch über praktische Erfahrung im Bereich Cloud Security, die sie in vielen Kundenprojekten erworben haben.

Die e3 hat Konzepte entwickelt, die als Basis für die Analyse der Bedrohungsszenarien und Abwehrmassnehmen zur Anwendung kommen. So bildet das «Gated Community»-Konzept einen Rahmen zum Schutz von sensitiven Daten über ihren gesamten digitalen Lebenszyklus, vom End-user Device (inkl. BYOD) bis zur Speicherung und Nutzung in verschiedenen Organisationseinheiten und Legislativen nach dem Need-to-Know Prinzip.

Cripsin Tschirky

Crispin Tschirky

Crispin Tschirky verfügt über viele Jahre Erfahrung in den Bereichen Cyber Security, System- und Applikationsarchitektur. Sein fundiertes technisches und methodisches Detailwissen in den verschiedensten Bereichen – ganz besonders was die sichere Nutzung der Cloud betrifft – helfen Ihnen, Ihre IT-Umgebung sicherer zu machen und die Cloud sicher zu nutzen. 

Job

Buchen Sie ein Expertengespräch.

Möchten Sie mehr über das Thema «Cloud Sicherheit» oder eines unserer anderen Kerngebiete erfahren? Buchen Sie jetzt ein Expertengespräch mit Crispin Tschirky oder einem unserer anderen Experten.

Mehr erfahren »