Auch wenn die Medienpräsenz beim Thema Cloud nach dem Hype der letzten Jahre leicht rückläufig ist, die „Cloud“ gewinnt permanent an Bedeutung für Unternehmen. Der Begriff Cloud umfasst das simple Auslagern von Daten auf den nahezu unbegrenzten Speicher der Cloud-Anbieter (z.B. Amazon Storage Services) bis hin zur Nutzung vollständiger Software-Suiten (z.B. Google G Suite mit Gmail). Dabei werden nicht selten auch sensible interne Firmendaten extern in der Cloud verarbeitet und es kann sich eine enge Abhängigkeit von internen Geschäftsprozessen zu extern in der Cloud bereitgestellten Diensten entwickeln. Ein guter Grund sich systematisch mit dem Thema Cloud zu beschäftigen. Der folgende Artikel bezieht sich weniger auf die technischen Aspekte, sondern betrachtet die notwendigen organisatorischen Prozesse, um das eigene Sicherheitsniveau bei Auslagerung von Diensten/Daten in die Cloud beizubehalten.
Public Cloud, Hybrid Cloud, (Virtual) Private Cloud. SaaS, PaaS, IaaS bezeichnen verschiedene Cloud-Modelle, die eine „Cloud“ gibt es also nicht. Der Begriff steht vielmehr stellvertretend für eine Vielzahl unterschiedlichster Technologien, Konzepte und Ansätze. Wer sich noch nicht intensiv mit dem Thema beschäftigt hat, den erwartet eine steile Lernkurve.
Der Fokus dieses Artikels liegt jedoch auf der Informationssicherheit und die dazu aufgezeigten Lösungsansätze sind unabhängig von dem konkreten Cloud-Modell und lassen sich auf SaaS-Dienste, betrieben bei großen Anbietern (z.B. SaaS bei Google – gMail), genauso anwenden wie auf Infrastrukturbereitstellung im eigenen Rechenzentrum, betrieben von dem eigenen IT-Dienstleister (z.B. IaaS mit VMWare). Die Konzepte zum Erhalt der eigenen Informationssicherheit bleiben aber im Wesentlichen die gleichen. Aus diesem Grund wird im Folgenden meist auf eine konkrete Angabe des Cloud-Modells verzichtet und einfach von „der Cloud“ gesprochen.
Warum überhaupt Cloud-Services? Entwicklung vom Exoten zur Basistechnologie, vielfältig sind die Vorteile für Unternehmen bei der Nutzung von Cloud-Services. Eine skalierbare und bedarfsgerechte Nutzung von IT-Ressourcen ermöglicht es, betriebliche Prozesse effizienter zu betreiben und bietet die Basis für die Entwicklung völlig neuer Geschäftsmodelle („Wie Cloud Computing neue Geschäftsmodelle ermöglicht“ bitkom 2014)
Die wichtigsten Vorteile sind: Flexibilität und Skalierbarkeit, beides quasi in Echtzeit auf Knopfdruck. Und das bei gleichzeitig deutlicher Reduktion von Vorab-Investitionen (z.B. in Hardware).
Die Vorteile haben aber auch eine Kehrseite, die berücksichtigt werden muss: Es sinkt die Notwendigkeit, internes IT-Know-How (und Personalressourcen) bereit zu halten, wenn businessrelevante Prozesse oder Dienste ausgelagert und an externe Dienstleister abgegeben werden. Die Abhängigkeit von den Dienstleistern steigt aber. Dazu kommt das komplexe Gebiet der IT-Sicherheit: Neue Verfahren, externe Anbindungen, ausgelagerte Verarbeitung in fremde Rechenzentren. Wie kann unter diesen komplexen Umständen das bisherige Sicherheitsniveau beibehalten werden? Während die Kenntnisse der Unternehmen zum Schutz der eigenen IT in den letzten Jahren kontinuierlich gewachsen sind, fehlt eine ähnliche Erfahrung als Nutzer von Cloud-Diensten meistens noch. Gesetzliche Vorgaben wie die DSGVO stellen bei ausgelagerter Datenverarbeitung zusätzliche Anforderungen, die berücksichtigt werden müssen.
Braucht ein Unternehmen eine Sicherheitsstrategie für die Cloud?
In den verschiedenen Guidelines und Richtlinien zum Cloud-Computing wird an erster Stelle meist eine „Cloud Policy“ für das Unternehmen gefordert. Warum ist das so und ist sie wirklich so wichtig?
Gerade die im vorigen Kapitel erwähnten Vorteile machen es den einzelnen Fachabteilungen einfach, bei entsprechendem Bedarf Cloud-Dienste zu nutzen. Oftmals werden solche Cloud-Services seit längerem eingesetzt, ohne dass interne Sicherheitsanforderungen oder gesetzliche Anforderungen dabei berücksichtigt worden sind. Kontrollprozesse, die intern gut funktionieren, umfassen die zusätzlichen Gefährdungen durch Cloud-Dienste nur eingeschränkt.
Eine Cloudstrategie für das Unternehmen („Cloud Policy“) sollte idealerweise die derzeitigen und auch zukünftigen Anforderungen der verschiedenen Cloud-Bedarfe unterschiedlicher Fachabteilungen berücksichtigen. Sie ist die Voraussetzung, dass diese Bedarfe nicht mit der eigenen IT-Strategie kollidieren. Sie soll außerdem die generelle Kompatibilität der Dienste mit der eigenen technischen Umgebung und den internen Anforderungen gewährleisten. Sie führt auch grundlegende Sicherheitsanforderungen und gesetzliche Aspekte zusammen, die bei der Nutzung von Cloud-Diensten zu beachten sind.
Ob dies im Zuge einer unternehmensweiten Cloud Policy erfolgt oder ob die eigene Strategie parallel zu den ersten Cloud-Projekten konkretisiert wird, bleibt dem Unternehmen überlassen. Im Rahmen der Entwicklung einer eigenen Strategie zur Cloud-Nutzung sollte man
– die Bedarfe für die Cloud-Nutzung im Unternehmen ermitteln,
– ggf. die schon bestehende Nutzung von Cloud-Diensten erfassen,
– analysieren welche Arten der Cloud-Nutzung zu den Bedarfen zugelassen werden sollen,
– die zu behandelnden Sicherheitsthemen benennen.
Das Ziel und die Grundidee einer Cloudstrategie ist, dass sie die Anforderungen eines Compliance-gerechten Umgangs mit den Cloud-Diensten festschreibt und den Fachabteilungen ein Rahmenwerk bei der Planung zukünftiger Cloud-Projekte gibt.
Sicherheitsbedürfnisse – Woher kommen die Anforderungen?
Wenn die grundsätzliche Strategie festgelegt wurde, sind im nächsten Schritt die spezifischen Sicherheitsanforderungen zu bestimmen. Die typischen Quellen sind leicht zu identifizieren:
• Risikoanalyse (z.B. Schutzbedarf der zu verarbeitenden Informationen, besondere Gefährdungen, Kritikalität bestimmter Assets)
• Interne Sicherheitsvorgaben (z.B. Mindestvorgaben zur Verschlüsselung auf WAN-Strecken, zur Authentisierung, Autorisierung und Accounting)
• Fachspezifische Anforderungen (z.B. spezielle Backup/Verfügbarkeitsanforderungen, Archivierung)
• Datenschutz (z.B. DSGVO) und weitere gesetzliche Anforderungen
• SLAs und/oder Verfügbarkeitsanforderungen auf Grund externer Anforderungen (z.B. Vorgaben zu Wiederherstellungszeiten um Verfügbarkeitszusagen von Kunden einzuhalten)
Dabei sind die Besonderheiten bei der Cloudnutzung zu berücksichtigen:
• Besondere Gefährdungen durch die externe Verarbeitung von Daten
• im Unterschied zur eigenen IT, die fehlende direkte Steuerungsmöglichkeit der Cloud-Anbieter
• zusätzliche gesetzliche Anforderungen (z.B. der Verarbeitung von Daten im Ausland)
Diese Themen haben Auswirkungen auf alle sicherheitsrelevanten Aspekte von der ersten Idee zur Cloudnutzung, über die Einführung bis zum Betrieb.
Lösungsansätze
An erster Stelle steht natürlich der nachgewiesene Bedarf nach einer Cloud-Lösung. Wobei am Anfang sogar noch unklar sein kann, ob der Bedarf überhaupt mit einer Cloud-Lösung gedeckt werden kann. Hier hilft eine schon etablierte Cloudstrategie, um den Fachabteilungen einen Rahmen zu bieten, mögliche grundsätzliche Cloud-Modelle in ihrer Bedarfsanalyse zu berücksichtigen.
Klare Schnittstellen zu den übergreifenden koordinierenden Stellen, insbesondere der Sicherheitsorganisation/-verantwortlichen, sind ebenfalls notwendig, damit diese frühzeitig in den Prozess eingebunden werden können. Eine enge Zusammenarbeit insbesondere mit den Sicherheitsverantwortlichen ist notwendig, um grundlegende Sicherheitsanforderungen zu definieren, ggf. abgeleitet aus den generischen Anforderungen der Cloudstrategie. Wichtige Fragen dabei sind:
• welche Daten mit welcher Kritikalität für das Unternehmen werden verarbeitet und
• welche Geschäftsprozesse mit welchen Anforderungen (z.B. an Verfügbarkeit, Datenschutz) werden die Cloud nutzen.
Wird auf diese frühe Einbeziehung von Anforderungen an die Informationssicherheit verzichtet, müssen ggf. später in der Umsetzungsphase kostspielige Korrekturen vorgenommen werden. Dieser frühe Zeitpunkt ermöglicht es, eine kontinuierliche Kontrolle über die Firmendaten und -prozesse zu behalten.
Wenn auf Grund der Bedarfsanalyse entschieden wurde, Cloud-Dienste zu verwenden, dann ist der nächste Schritt eine Vorauswahl potentieller Cloud-Anbieter und –Services.
Neben den rein funktionalen Anforderungen müssen in dieser Phase sicherheitsrelevante Anforderungen an den Cloud-Anbieter berücksichtigt werden:
• Sicherheitsniveau des Cloud-Anbieters
• Dokumentation der Sicherheitsmaßnahmen
• Prüfungsmöglichkeit bei dem Cloud-Anbieter
• Individualisierungsmöglichkeit der Sicherheitsmaßnahmen
• Definierte Schnittstellen zum Anbieter bei Sicherheitsvorfällen (beide Richtungen)
• Umgang/Strafzahlungen bei Nichteinhaltung der Vorgaben
Auf Basis der möglichen Cloud-Anbieter und einem ersten Überblick über die Kritikalität der Daten ist es möglich, eine ausführliche Aufstellung der notwendigen technischen und sicherheitstechnischen Anforderungen zu erstellen (Lastenhefterstellung). Justierungen beim Bedarf und den Sicherheitsanforderungen sind in dieser Phase üblich.
Typische zu berücksichtigende technische Themen in der Phase der Lastenhefterstellung sind:
• Cloud-Modell (Private, Public Cloud, welche Services, etc.)
• Verfügbarkeitsanforderungen (Redundanzen, Mindestverfügbarkeiten der Cloud-Services)
• Eigene Verfügbarkeitsanforderungen (z.B. Internetanbindung)
• Sicherheitsvorgaben (z.B. bzgl. Verschlüsselung, eingesetzte Protokolle, Netztrennung, etc.)
• Patchmanagement (was wird wie häufig aktualisiert, Thema Testumgebungen, etc.)
• Backupstrategien
• BCM/Notfall-Anforderungen (z.B. Ausfall Anbindung, Ausfall Dienstleister, Hacking, etc.)
Es ist leicht zu sehen, dass keines dieser Themen nur den Cloud-Dienst alleine betrifft, sie sind vielmehr im Kontext des gesamten betroffenen Geschäftsprozesses zu behandeln, bei gleichzeitig erhöhter Komplexität durch die Cloud.
Neben den technischen Aspekten, sollten in dieser Phase die organisatorischen Themen gleichrangig betrachtet werden:
• Schnittstellen zum Dienstleister (z.B. Sicherheitsvorfälle, Änderungssteuerung, Notfälle)
• Verantwortlichkeiten (u.a. zu obigen technischen Themen)
• Informationsklassifizierung (welche Daten von welcher Kritikalität werden im Cloud-Service verarbeitet)
• Betriebsanforderungen (Überwachung, Updateprozesse, Änderungssteuerung/Change-Management)
Eine starke Unterstützung bei Auswahl und Definition der Themen kann dabei die internationale Norm ISO/IEC 27017 sein, die in Ergänzung zur ISO/IEC 27002 eine Umsetzungshilfe zu Aspekten der Informationssicherheit für Cloud-Kunden und Cloud-Anbieter darstellt. Gleiches gilt für den BSI „Anforderungskatalog Cloud Computing (C5)“, der umfangreiche Kriterien zur Beurteilung der Informationssicherheit von Cloud-Anbietern liefert.
Sicherheit in der Anbahnungsphase (Beschaffung)
Mittels dieser Vorgaben beginnt dan üblicherweise die konkrete Auswahl eines oder mehrerer Cloud-Anbieter. Der eigentliche Beschaffungsprozess unterscheidet sich kaum von anderen Projekten ohne Cloud-Nutzung. Aber gerade bei der Angebotsauswahl und der Vertragsgestaltung sind bei Cloud-Anbietern einige Punkte von besonderer Bedeutung:
• Passen die Verfügbarkeitszusagen zu den eigenen Anforderungen?
• Wie wird die Nichteinhaltung von SLAs adressiert?
• Wie stellt der Dienstleister die Einhaltung der Sicherheitsvorgaben sicher?
• Wie bindet der Dienstleister Subunternehmen ein und sind diese überhaupt bekannt?
• Wie kann das eigene Unternehmen diese Einhaltung überprüfen (eigene Audits, externe Audits veranlasst durch den Dienstleister, Zertifizierungen, etc.)?
• Berücksichtigung des gesamten „Lebenszyklus“ der Cloud-Services (z.B. wie behandelt der Dienstleister die Daten nach Vertragsende, ist ein Export der Daten aus der Cloud möglich)?
Je nach Größe und Standardisierung der Cloud-Dienste sind individuelle Verträge und SLAs möglich oder man stellt sich „baukastenartig“ die verschiedenen Service-Levels und Sicherheitsoptionen (z.B. virtuelle Firewalls, IDS, etc.) zusammen. Die zahlreichen Zertifizierungen der größeren Anbieter bieten dabei eine Orientierung bei der Einschätzung des Umgangs mit Sicherheitsthemen beim Cloud-Anbieter, ersetzen aber keine eigene nähere Überprüfung der Angemessenheit der Sicherheitsmaßnahmen (für das eigene Sicherheitsniveau). Häufig vertreten sind hierbei die ISO/IEC 27001 und mit Schwerpunkt „Schutz der persönlichen Informationen für Cloud-Anbieter“ die ISO/IEC 27018.
Sicherheit bei der Einführung/Umsetzung
Die eigentliche Einführung unterscheidet sich nicht von anderen Projekten, bei denen gleichfalls externe Dienstleister mitgesteuert werden müssen. Das sind z.B.:
• Eindeutige Vereinbarung der Sicherheitsvorgaben (z.B. Pflichtenheft)
• Abstimmung der Prozesse und Verantwortlichkeiten mit dem Dienstleister
• Regelmäßige Überprüfung der Umsetzung der Sicherheitsvorgaben beim Cloud-Anbieter
• Umsetzung der eigenen ergänzenden Sicherheitsmaßnahmen (z.B. Datenverschlüsselung vor Übermittlung an den Cloud-Service)
• Abnahmetests müssen neben funktionalen auch sicherheitstechnische Prüfpunkte umfassen.
Dies kann die Fachabteilung alleine nicht leisten. Sie benötigt Unterstützung durch die Sicherheitsverantwortlichen im Unternehmen. Die einzelnen Projektschritte müssen deren Einbindung sicherstellen. Insbesondere die Abstimmung der Verantwortlichkeiten ist für den späteren Betrieb von großer Bedeutung. Wer ist für welche Ebene des Cloud-Services verantwortlich, wer hat worauf Zugriff. Wie ist bei Störungen oder Fehlern vorzugehen. Wird das erst während des produktiven Betriebes geklärt, sind Schwierigkeiten vorprogrammiert.
Wenn die genannten Punkte bei Projekteinführung berücksichtigt wurden, kann im eigentlichen Betrieb auf sauber definierte Schnittstellen und Verantwortlichkeiten zwischen Unternehmen und Cloud-Anbieter zurückgegriffen werden.
Sicherheit in der Betriebsphase
Wie kann die Einhaltung der Sicherheitsvorgaben im regulären Betrieb sichergestellt werden? Vertragliche Vorgaben geben die notwendige Basis, garantieren aber die Einhaltung nicht.
Von besonderer Bedeutung haben sich die folgenden Prozesse und Maßnahmen erwiesen:
• Schwachstellen-/Patch-Management
• Änderungssteuerung (technische und auch vertragliche)
• Verfahren zur Meldung von Sicherheitsvorfällen (in beide Richtungen)
• Notfallpläne (z.B. Ausfall des Dienstleisters)
Beim Schwachstellen-/Patch-Management ist eine Herausforderung, dass die Systeme beim Cloud-Anbieter nicht direkt gesteuert, bzw. administriert werden können. Aus diesem Grund sollten entsprechende Vorgaben zum Umfang der Administration und Art und Häufigkeit der Updates mit dem Cloud-Anbieter im Vorfeld vereinbart werden. Ähnlich wie beim eigenen Patch-Management sollten Prozesse zur Überwachung dieser Tätigkeiten etabliert werden.
Auch Cloud-Anbieter müssen ihre Systeme regelmäßig warten. Im Rahmen der Verträge sollte sichergestellt sein, dass relevante Änderungen an den Cloud-Systemen (insbesondere mit erwartetem Service-Ausfall), so angekündigt werden, dass das Unternehmen entsprechend darauf reagieren kann. Auch Updates mit Auswirkungen auf die Sicherheit (z.B. durch geänderte APIs) müssen kommuniziert werden. Diese fasst man unter Änderungsteuerung zusammen. Sie umfasst jedoch nicht nur technische Aspekte. Auch sollte sichergestellt werden, dass alle anderen Änderungen die eine Sicherheitsrelevanz besitzen, dem Unternehmen gemeldet werden (z.B. der Kauf des Cloud-Anbieters durch ein ausländisches Unternehmen). Idealerweise sind im Rahmen der Identifikation der eigenen Sicherheitsbedürfnisse und der Vereinbarungen mit dem Cloud-Anbieter in der Anbahnungsphase hierzu schon relevante Themenbereiche beschrieben worden.
Wenn sich Sicherheitsvorfälle ereignen, müssen potentiell Betroffene dies möglichst zeitnah erfahren um angemessen reagieren zu können. Vertragliche Vereinbarungen müssen sicherstellen, dass diese Meldungen zeitnah und über definierte Kanäle erfolgen. Eine im Vorfeld definierte Liste an relevanten Themen, die zu melden sind, lässt nur einen geringen Interpretationsspielraum beim Cloud-Anbieter. Ein Beispiel wie es nicht gemacht werden sollte, lieferte die Firma Uber in 2017. Sie verschwiegen ein größeres Datenleck und zahlten sogar Hackern Geld, um deren Stillschweigen sicher zu stellen.
Die Cloud ist immer verfügbar, jedenfalls suggerieren dies die Anbieter. Regelmäßige (zum Glück eher seltene) Pressemeldungen über Ausfälle (z.B. die Google Cloud am 18.7.2018 oder Amazon AWS am 28.3.2017) zeigen ein anderes Bild. Ein Unternehmen, das wichtige Geschäftsprozesse eng verzahnt mit Cloud-Services realisiert, sollte unbedingt gegen kürzere und längere Ausfälle eines Cloud-Anbieters gewappnet sein. Idealerweise wird dies im Rahmen eines schon bestehenden Business Continuity Managements durch eigene Notfallpläne für diese Szenarien abgebildet. Sie sollten für kurzfristige Ausfälle Verfahren und Methoden beschreiben, die einen Notbetrieb ohne Cloud-Service ermöglichen und für langfristige oder dauerhafte Ausfälle (z.B. Insolvenz des Anbieters) ein geregeltes Wechselverfahren zu einem anderen Anbieter ermöglichen.
Um weitere zu behandelnde Themen zu identifizieren, bieten auch hier die Normen ISO/IEC 27001 und deren Umsetzungsempfehlungen ISO/IEC 27002 und ISO/IEC 27017) eine gute Orientierung.
All diese Themen sollten idealerweise schon (wie in diesem Artikel empfohlen) während der Projektumsetzung definiert und vereinbart worden sein. Eine regelmäßige Überprüfung des Dienstleisters bzgl. technischer, wie auch organisatorischer Vorgaben ermöglicht es dem Kunden, auf Abweichungen zeitnah zu reagieren. Um dies auch in der Praxis umzusetzen, bedarf es auch hier einer engen Zusammenarbeit zwischen den Sicherheitsverantwortlichen und der Fachabteilung.
Bei der Anpassung der eigenen Prozesse ist auch die „andere Richtung“ zu beachten. Wie kann im Unternehmen sichergestellt werden, dass neue Erkenntnisse (z.B. neue Informationen zu konkreten Bedrohungen) und geänderte Anforderungen auch bei den ausgelagerten Cloud-Diensten berücksichtigt werden?
Fazit
Cloud-Dienste ermöglichen es, Ressourcen wie Speicherplatz oder Rechenleistung nahezu unbegrenzt und mit wenig Aufwand für das eigene Unternehmen nutzbar zu machen. Selbst komplexeste Nutzungsszenarien wie die Bereitstellung einer ganzen Office-Suite für große Benutzergruppen sind nur wenige „Clicks“ entfernt. Das bedeutet jedoch gleichzeitig die Verarbeitung möglicherweise sensibler Unternehmensdaten auf externen Servern und eine Abhängigkeit von der Verfügbarkeit und Sicherheit der externen Services. Die Verantwortung für Geschäftsprozesse und deren Daten kann jedoch nicht mit dem Buchen eines Cloud-Services abgegeben werden. Das Unternehmen muss sicherstellen, dass die eigenen Sicherheitsanforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Daten auch „in der Cloud“ erhalten bleiben und im Falle von Sicherheitsvorfällen der Schaden begrenzt bleibt. Um das zu erreichen haben wir in diesem Artikel eine Reihe von Lösungsideen und Maßnahmen skizziert, die das Unternehmen befähigen sollen, das eigene Sicherheitsniveau auch bei der Nutzung von Cloud-Diensten zu erhalten. Wer in diesem Zusammenhang an den PDCA-Zyklus (Plan, Do, Check, Act) von Managementsystemen erinnert wird, der liegt völlig richtig. Der grundsätzliche Umgang mit der Informationssicherheit ändert sich auch bei einer Cloud-Nutzung nicht wirklich, jedoch steigt die Komplexität mit den zusätzlich beteiligten Parteien und Verfahren. Umso wichtiger ist es, sich strukturiert dem Thema Cloud-Nutzung im eigenen Unternehmen zu widmen.