Das Auslagern von Geschäftsprozessen in die Cloud erfordert eine stringente Planung, damit die Datensicherheit stets gewährleistet ist. Der Dienstleister NTT Security beschreibt die wichtigsten Aktivitäten in fünf Schritten.
Verlagern Unternehmen komplette Geschäftsprozesse in die Cloud, lassen sich die betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist. Auch der Datenschutz spielt dabei eine wichtige Rolle. Franck Braunstedter, Senior Manager Cyber Defense and Cloud Security beim Sicherheitsdienstleister NTT Security, konkretisiert die wichtigsten Aktivitäten in fünf Schritten.
1. Daten identifizieren und klassifizieren.
Zu Beginn müssen Unternehmen ermitteln, welche Applikationen und Daten bei der Migration vom eigenen Rechenzentrum zu einem Cloud-Provider übertragen werden. Dabei ist beispielsweise zu klären, um welche Art von Daten es sich handelt und ob personenbezogene Daten involviert sind. Dann nämlich gelten die strengen Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO). IT-Verantwortliche sollten prüfen, in welchen Applikationen die Daten von wem und wie genutzt werden, und ob sie lediglich gelesen oder auch weiterverarbeitet werden. Dieser Informationen bilden sie Basis für das Security-Modell.
2. Das Schutzniveau für jeden Arbeitsschritt im Workflow festlegen.
Auf Basis der Klassifikation und der Risikobewertung der Daten legen die Verantwortlichen für jeden Arbeitsschritt in der Workload das Schutzniveau und die Schutzklasse fest. Sie entscheiden dabei, ob, wann und auf welcher Feldebene Verschlüsselung zum Einsatz kommt. Darüber hinaus klären sie, ob Pseudonymisierung oder Tokens nötig sind, und wo die Encryption Keys verwahrt werden.
3. Regeln für die Zugriffskontrolle definieren.
Um ein hohes Schutzniveau zu erzielen, dürfen die Daten zu keinem Zeitpunkt im Geschäftsprozess ungeschützt zugängig sein. Kopien oder archivierte Daten müssen während der Verarbeitung ebenso geschützt sein wie die Originale, und die Kopien sind zu löschen, wenn sie nicht mehr benötigt werden. Abhängig von Rollen im Unternehmen vergeben Administratoren Zugriffsberechtigungen und überwachen deren Einhaltung, so dass niemand unbefugt Daten lesen, kopieren, ändern oder löschen kann.
4. Alle Datenzugriffe in Log-Files aufzeichnen.
Die Regeln zur Vergabe von Zugriffsberechtigungen sind idealerweise mit einem Log-Management verknüpft. Zugriffsprotokolle erfassen und speichern dabei alle Aktivitäten. Die Aufzeichnungen und die Auswertung aller Datenzugriffe sowie anderer sicherheitsrelevanter Ereignisse ist die Voraussetzung für ein lückenloses IT-Sicherheits-Monitoring. Die Analyse der Log-Files ermöglicht es, außergewöhnliche Ereignisse zu erkennen und deren Ursachen zu ermitteln, und sie unterstützt Unternehmen zudem bei Security-Audits.
5. Lebenszyklus der Daten beachten.
Bei Finanzdienstleistern, in der Medizintechnik oder in der chemisch-pharmazeutischen Branche ist die Aufbewahrungspflicht von Daten im Detail gesetzlich reglementiert. Die DSGVO regelt zudem den Schutz personenbezogener Daten über deren gesamten Lebenszyklus – und zwar unabhängig davon, ob sich die Daten im eigenen Rechenzentrum oder in der Cloud befinden. Unternehmen müssen daher dauerhaft die vollständige Kontrolle über personenbezogene Daten behalten, von der Erfassung über die Verarbeitung bis zur Archivierung. Das gilt für Individual- und Standard-Applikationen, egal, ob sie sich On Premise oder in der Cloud befinden.
„Die Cloud-Diskussion ist längst nicht mehr alleine von Sicherheitsbedenken geprägt“, erläutert Braunstedter. „Heute wollen Unternehmen in erster Linie die Chancen der Cloud nutzen, um die Digitale Transformation voranzutreiben.“
Security-Dienstleister unterstützten IT-Verantwortliche in allen Phasen einer Migration dabei, die Cloud-spezifischen Herausforderungen in Sachen IT-Sicherheit zu bewältigen. Jürgen Frisch
