On-Prem gespeicherte Daten sind nicht per se besser geschützt

Wie die Cloud die Security aus betrieblicher Sicht verändert, erklärt Monika Josi, Head of IT-Consulting, Avectris.

Interview: Colin Wallace

Mit welchen Themen sehen sich Unternehmen im Moment konfrontiert?

‍Monika Josi: Wir sehen zwei grosse Tendenzen: Bei den einen geht es um das «Nachbessern» nach der Einführung einer Kollaborationsplattform in der Lockdown-Phase ab März. Andere wiederum haben sich bereits erste Überlegungen bezüglich des Einsatzes einer oder mehrerer Cloud-Lösungen gemacht, allerdings ist der Umgang mit Sicherheits- und Compliance-Aspekten oft noch unklar oder wird unterschätzt. Was ist ein erster Schritt für die Unternehmen, um die Security-Themen anzugehen? In der «Plan-Phase» analysieren wir die im Unternehmen verwendeten Daten bezüglich derer Sicherheits-, Integritäts-, Verfügbarkeits- und Compliance-Anforderungen. Hier trifft es der Ansatz «identify, protect and govern your data» auf den Punkt. Daraus abgeleitet erfolgt ein Assessment des heutigen Security-Status und des künftigen Bedarfs unter Berücksichtigung der heutigen Sicherheitsarchitektur. On-Prem gespeicherte Daten oder Systeme sind nicht per se besser geschützt als cloudbasierte. Es ist aber ebenso wichtig, die neu entstehenden Schwachstellen zu berücksichtigen.

‍Wie werden diese Informationen in den nächsten Phasen weiter genutzt?

‍Aus diesem Assessment wird die Security-Strategie und –Architektur abgeleitet. Zentraler Aspekt sind der Schutz der Identität, die Berechtigungs- und Zugriffskonzepte sowie die bestehende und zukünftige Security-Tool-Landschaft. Das Thema Security-Governance bildet dabei einen integrierten Bestandteil, damit die relevanten Aspekte bereits auf Prozessebene integriert werden können. Es gilt dabei, Stolpersteine für die Zukunft zu vermeiden und Implikationen von möglicherweise fehlenden Massnahmen zu verringern. Das «Nachbessern» der Security kann unter Umständen mit grösseren technischen Änderungen verbunden sein. Dabei gilt es, Show Stopper früh zu erkennen und bereits in der Planung zu eliminieren. Auch hier sind entsprechende Governance-Prozesse unerlässlich.

‍Wie verändert die Cloud die Security aus betrieblicher Sicht?

‍Die sichere Konfiguration von cloudbasierten Ressourcen stellt eine Herausforderung dar. Oftmals wird das Change Management vernachlässigt, auch weil man nicht über die entsprechenden Tools oder das Know-how verfügt. Software-Security-Plattformen, die in die DevOps-Prozesse integriert sind und über statische wie auch interaktive Security-Testing-Funktionalität verfügen, können dabei hilfreich ein. Auch die verwendeten Open-Source-Komponenten sind auf Sicherheitsaspekte zu überprüfen. Cloudbasierte Systeme werden oft nicht in das bestehende Security-Monitoring aufgenommen, da die entsprechende Funktionalität oder die Kenntnisse fehlen. Das Gleiche gilt im Übrigen für die Incident-Response-Prozesse: Wie kann ich mit dem Cloud-Provider interagieren, wie verändern sich meine eigenen Prozesse, welches Know-how fehlt mir? Ein ehrlicher Blick auf die eigenen Fähigkeiten ist hier wichtig, um gut gewappnet in die Zukunft gehen zu können. Avectris unterstützt Sie dabei gerne.

Netzwoche, Sonderausgabe «Cloud & Managed Services 2021», November 2020