Cloud-Sicherheit beim TÜV
Sicherheitsbezogene Evaluierung von Cloud-Providern wird bei vielen Anwendern nicht systematisch durchgeführt, so TÜV TRUST. Häufig sind entsprechende Sicherheitsanforderungen bei den Unternehmen unklar.
Systematische Evaluierngsverfahren bei der Auswahl des Cloud-Providers sind bei vielen Unternehmen nicht vorhanden oder haben starke Defizite, so TÜV TRUST IT aus der Praxis. Obwohl das Thema Sicherheit bei der Cloud ein häufig diskutiertes Thema ist, scheint vielen Unternehmen die tatsächliche Komplexität des Themas noch nicht bewusst zu sein. Demnach seien hier systematische Evaluierungsverfahren bei der Providerauswahl notwendig, um Risiken minimieren zu können. Als Pflichtanforderung nennen die Experten beispielsweise ein IS-Risikomanagementsystem beim Cloud-Provider. Daran sollten auch entsprechende Maßnahmen geknüpft sein. Ebenfalls essentiell sei eine kontinuierliche Bewertung der Risikosituation.
Daneben sei eine Klassifizierung und Kennzeichnung der Informationen und Dokumente hinsichtlich des Schutzniveaus ebenso Voraussetzung wie angemessene Geheimhaltungsvereinbarungen für Mitarbeiter und Dritte. Ein Vertrag sollte zudem den Schutz aller Vermögenswerte der Organisation garantieren, was insbesondere für den Datenaustausch und die Sicherheitsmechanismen gelte.
Differenzierte Richtlinien und Verfahrensweisen für die Gerätewartung sollten zudem die Kontinuität und Verfügbarkeit des Betriebs beim Anbieter sicherstellen. Darin enthalten sollte auch eine Backup-Strategie sein. Diese sollte Punkte wie Backup-Frequenzen, Auswahl der Backup-Medien oder auch die Lokation der Backup-Systeme beeinhalten. Das Business Continuity Management sollte regelmäßig und engmaschig dokumentiert sein und darüber hinaus regelmäßig getestet und validiert werden.
Prozesse, IT-Systeme und Infrastruktur des Cloud-Providers müssen transparent und differenziert dokumentiert sein. Darüber hinaus sollte ein Incident Management-Prozess einschließlich der Rollen und Verantwortlichkeiten sowie der Schnittstellen zum Problem Management etabliert sein. Dazu gehören auch Verfahren zur Beweissicherung. Für das Netzwerkmanagement wiederum müssen dokumentierte Richtlinien und Verfahrensanweisungen mit Zugriffskontrolle, Zugängen, Segmentierung, Routing, Logging und anderen Punkten vorhanden sein.
“Dies sind jedoch nur Beispiele eines umfassenden Analyse-Spektrums”, kommentiert Stefan Möller, Leiter Vertrieb der TÜV TRUST IT. Dazu gehören auch weitere Aspekte wie die Reglementierung des Zugriffs auf Source-Codes, Vorgaben für die Verschlüsselung zum Schutz sensibler Daten oder die Festlegung der Kundenkommunikationsprozesse, in der sämtliche Datenschutzbelange geregelt sind. Um die Auswahl ein Stück weit zu erleichtern hat der Sicherheitsspezialist den Cloudability-Check entwickelt, der zahlreiche Sicherheits- und Compliance-Punkte auf Anbieterseite abdeckt.
Der Cloudability-Chek ist ein Lastenheft, in dem nichtfunktionale Anforderungen aufgeführt sind. Das soll die systematische Evaluation im Markt erleichtern und auch eine Grundlage für Ausschreibungen liefern. Ergänzent dazu bietet TÜV TRUST IT ein ergänzendes Analyseverfahren.
TÜV TRUST IT GmbH bietet einen IT-TÜV. Die Tochter des TÜV Austria hat Standorte in Köln und Wien und bietet eine herstellerunabhängige Bewertung, vor allem von IT-Risiken in den Bereichen Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.