Der Siegeszug des Cloud-Computing hat mehr Menschen miteinander vernetzt, als man es noch vor nicht allzu langer Zeit f¸r mˆglich gehalten h‰tte. Doch die enorme Anzahl an Unternehmen, die den Schritt in die Cloud wagen, hat auch dem Thema Datensicherheit und regulatorische Compliance eine vˆllig neue Bedeutung verschafft.
Die Migration in die Cloud schreitet weiterhin unaufhaltsam voran. Ganze 96% aller heutigen Unternehmen verwenden dem State of the Cloud Report 2018 (Bericht zum Stand der Cloud 2018) von RightScale zufolge mindestens einen Public- oder Private-Cloud-Service. Und nicht nur das: Experten von Forrester gehen davon aus, dass Investitionen in Public-Cloud-Technologien von 146Milliarden US-Dollar im Jahr 2017 auf ganze 236Milliarden US-Dollar im Jahr 2020 steigen werden.
Die digitale Arbeiterschaft von heute verbringt enorm viel Zeit in der Cloud. Rund 80% aller Mitarbeiter von Technologieunternehmen verwenden laut Citrix cloudbasierte Apps. Und auch in Unternehmen mit flexibler Arbeitsplatzgestaltung arbeiten 57% aller Angestellten in der Cloud.
Skeptiker, die Cloud-Technologie f¸r unsicher halten, lassen sich nur schwer vom Gegenteil ¸berzeugen. Gleichzeitig erscheint ein solcher Skeptizismus wenig sinnvoll, wenn man der Tatsache ins Auge blickt, dass f¸hrende Cloud-Anbieter sich wahrscheinlich weitaus besser mit dem Thema Cybersicherheit auskennen als so manche interne IT-Administratoren.
Vielleicht r¸hrt das mangelnde Vertrauen daher, dass es im Netz immer wieder schockierende Horrorberichte von Datenschutzverletzungen zu lesen gibt. Fakt ist jedoch, dass Sie sich von solchen negativen Schlagzeilen nicht davon abhalten lassen sollten, der Cloud eine faire Chance zu geben.
ÑZugegebenermaflen stimmt es wahrscheinlich, dass sich optimale Sicherheit nur dann erreichen l‰sst, wenn man einfach g‰nzlich auf das Internet verzichtet", so Omesh Agam, Chief Information Security Officer bei Appian. ÑDoch Spafl beiseite: Ich bin der Meinung, dass Sicherheitsmaflnahmen ein fester Bestandteil des Gesch‰ftsmodells eines jeden Unternehmens sein sollten."
ÑZum Beispiel hat jedes Unternehmen bestimmte Sicherheits-Frameworks, die es befolgt", f‰hrt Agam fort. ÑVielleicht besteht die Antwort darin, das wichtigste Framework, das heiflt die wichtigste Grundlage zu bestimmen und diese zum Standard zu erkl‰ren."
ÑIn meiner Erfahrung", so Agam, Ñm¸ssen die meisten Unternehmen, mit denen wir uns unterhalten haben, und sicherlich auch wir bei Appian eine Reihe verschiedener Compliance-Zertifikate vorweisen kˆnnen, um das grundlegende Vertrauen unserer Kunden zu gewinnen und uns selbst zu vergewissern, dass wir bei unserer Arbeit die hˆchsten Branchenstandards befolgen."
Eine weitere grofle Herausforderung besteht Agams Meinung zufolge in der Einhaltung der sich stets ver‰ndernden globalen Regulierungen und Sicherheitsgesetze, denen Daten in den verschiedensten Teilen der Welt unterliegen. Er betont, dass Compliance-Gesetze einerseits von Region zu Region variieren und anderseits ¸ber Grenzen hinweg gelten kˆnnen. Gerade aus diesem Grund ist die Gew‰hrleistung von Datenschutz ein derart schwieriges Unterfangen.
ÑSchwachstellen treten immer h‰ufiger auf", erkl‰rt Agam. ÑInfolge des Aufkommens digitaler Trends wie dem IoT (Internet of Things) sehen sich Unternehmen der Herausforderung gegen¸ber, die eigene interne und externe Infrastruktur zu ¸berwachen."
ÑDar¸ber hinaus gilt es nat¸rlich auch, Sicherheitssysteme mithilfe von DevSecOps zu modernisieren, ganz zu schweigen davon, dass Daten vor Ransomware und Malware gesch¸tzt werden m¸ssen, die sich wie ein Lauffeuer ausbreiten. Wir m¸ssen also weiterhin grundlegende Sicherheitsmaflnahmen durchf¸hren, um einige der fortschrittlicheren Angriffe abzuwehren, mit denen wir es pausenlos zu tun haben", so Agam.
Tagt‰glich erstellen Hacker zwischen 300.000 und 1Million Computerviren und Schadprogramme. Dazu gehˆren die ¸blichen Verd‰chtigen ñ DDoS-Angriffe, Datenangriffe, Lˆsegeldforderungen und Diebstahl gesch¸tzter Informationen. Dennoch sind solche Probleme nur die Spitze des Eisbergs. Aus finanzieller Sicht kostet Cyberkriminalit‰t der globalen Wirtschaft dem Center for Strategic & International Studies zufolge Jahr f¸r Jahr ganze 600Milliarden US-Dollar.
Viele Unternehmen reagieren mit zunehmend hohen Budgets auf die wachsende Bedrohung der Cyberkriminalit‰t. Konkreter gesagt geht Gartner davon aus, dass weltweite Sicherheitsausgaben sich im Jahr 2018 auf 96Milliarden US-Dollar belaufen werden, was einen Anstieg von 8% im Vergleich zu 2017 darstellt.
Laut eines k¸rzlichen Berichts von CNBC ist Cyber-Kriminalit‰t das am schnellsten zunehmende Delikt in den USA ñ die durch die eingeb¸flte Produktivit‰t und gestohlenen Informationen entstandenen Sch‰den belaufen sich bereits jetzt auf mehrere Milliarden. Die gute Neuigkeit lautet, dass verwaltete Cloud-Sicherheits-Services Ihre Daten besser vor Cyberangriffen sch¸tzen kˆnnen als On-Premise-Systeme. Dies geht aus einem Expertenbericht von Gartner hervor.
Falls die Zahlen allein Sie nicht ¸berzeugen, sei an dieser Stelle erw‰hnt, dass selbst Finanzaufsichtsbehˆrden ñ die zweifelsohne zu den am st‰rksten sicherheitsorientierten Einrichtungen auf diesem Planeten gehˆren ñ damit begonnen haben, Banken gr¸nes Licht f¸r die Migration ihrer Daten in die Cloud zu geben.
Tatsache ist: Das eigentliche Sicherheitshindernis ist nicht die Cloud. Es ist keine Frage der Technologie. Die wahre Herausforderung besteht darin, unternehmensinterne Richtlinien und Ausbildungsressourcen in das digitale Zeitalter zu ¸berf¸hren.
Was unterdessen tats‰chlich besorgniserregend sein d¸rfte, ist die Tatsache, dass die meisten Sicherheitsvorf‰lle auf menschliches Fehlverhalten zur¸ckzuf¸hren sind.
Die Wahrscheinlichkeit ist hoch, dass einer Ihrer eigenen Marketing-Mitarbeiter nichts ahnend Malware herunterl‰dt und Ihr Unternehmen f¸r Cyberangriffe anf‰llig macht.
Angesichts der Kluft zwischen Cybersicherheits-Standards und entsprechender Mitarbeiterausbildung verwundert dieser Umstand nur wenig. Laut einer k¸rzlichen Studie des Research and Practice Institute der Financial Planning Association (FPA) wird gerade mal ein Drittel aller Angestellten in puncto Cybersicherheit ausgebildet.
Wie aus der FPA-Studie hervorgeht, bel‰uft sich das Schulungsangebot f¸r Angestellte im Durchschnitt pro Person auf weniger als zwei Stunden pro Jahr.
Insofern d¸rfte es einleuchten, dass nicht etwa Cloud-Technologie, sondern vielmehr die Kluft zwischen Sicherheitsrichtlinien und Mitarbeiterschulungen die grˆflte Sicherheitsbedrohung f¸r Unternehmen darstellt.
Nichtsdestoweniger verf¸gen 48% aller Unternehmen laut Forbes nicht ¸ber ein Aufkl‰rungsprogramm f¸r Sicherheitsangelegenheiten.
In puncto Compliance decken die besten Cloud-Services alle wichtigen Sicherheitsdomains und -kontrollen ab, darunter:
Die Migration in die Cloud bietet ein enormes Mafl an kosteng¸nstiger Rechenleistung ñ eine wichtige Voraussetzung, um sich effektiv vor Hackerangriffen zu sch¸tzen.
Ohne die leistungsstarken Sicherheitsdienste einer Cloud-Plattform w¸rde das Aufsp¸ren verd‰chtiger Muster in massiven betrieblichen Datenmengen f¸r die meisten Unternehmen der Suche nach der sprichwˆrtlichen Nadel im Heuhaufen gleichkommen. Dar¸ber hinaus erleichtern verwaltete Cloud-Services es, ¸ber Sicherheits-Upgrades auf dem Laufenden zu bleiben und Unternehmensvorg‰nge schneller als je zuvor auszubauen.
ÑZurzeit l‰sst sich ein klarer Wandel weg von traditionellen On-Premise-Umgebungen und hin zu Cloud-Lˆsungen beobachten", betont Agam. ÑDer Grund ist, dass die Cloud es Unternehmen ermˆglicht, sich auf die Aufgaben zu konzentrieren, f¸r die ihre Gesch‰ftsanwendungen entwickelt wurden."
ÑDas bedeutet nicht, dass man die Einhaltung von Gesch‰fts- und Sicherheitsanforderungen vergessen kann", erl‰utert Agam. ÑEs bedeutet, dass eine Entwicklung hin zu geteilten Kontroll-Frameworks stattfindet. Oder konkreter ausgedr¸ckt: Wir bewegen uns hin zu geteilten Aufrufstapeln."
Agam f¸gt hinzu, dass Unternehmen, die auf einen IaaS-Anbieter umsteigen und gemeinsam mit diesem einen virtuellen Service entwickeln, in Zukunft dennoch nicht ohne Weiteres auf grundlegende physische Sicherheitsvorkehrungen verzichten kˆnnen. Ganz im Gegenteil: Solche Unternehmen sollten genaustens ermitteln, inwiefern ihr Infrastrukturanbieter um Sicherheit bem¸ht ist. Auflerdem empfiehlt es sich in diesem Fall, sich dar¸ber zu informieren, welche H‰ndler-Audits der Anbieter durchf¸hrt, und das eigene Due-Diligence-Framework entsprechend zu aktualisieren.
ÑSie m¸ssen nicht unbedingt untersuchen, ob Serverh‰rtungsmaflnahmen vorgenommen werden", f‰hrt Agam fort. ÑAber vielleicht ist es eine gute Idee, in Erfahrung zu bringen, ob die Sicherheitsstandards eines Anbieters mit den eigenen mithalten kˆnnen, etwa in Bezug auf kontinuierliche ‹berwachung." Appian hat auf Seite seiner Infrastrukturanbieter mehrschichtige kontinuierliche ‹berwachungssysteme auf verschiedenen Ebenen implementiert ñ von physischer Hardware ¸ber Rechenzentren und Server bis hin zu Plattformen.
ÑMan kann nicht einfach grundlegende Protokollierungs- und ‹berwachungsprinzipien ignorieren, nur weil man mit einem SaaS-Anbieter zusammenarbeitet", bringt es Agam auf den Punkt.
Was Cloud-Trends anbelangt, gibt es einige nennenswerte Beispiele, die Sie nicht nur im Jahr 2018, sondern auch dar¸ber hinaus im Blick behalten sollten: So werden bis Ende 2018 etwa mehr als 85% aller groflen IT-Abteilungen vollends auf Multi-Cloud-Architekturen umsteigen, so die IDC. Rund 75% aller Entwicklungsteams werden auf kognitiver/k¸nstlicher Intelligenz basierende Funktionen in Cloud-Anwendungen integrieren. Die meisten davon werden sogar selbst aus der Cloud stammen.
Die Cloud-Migration wird weiter an Fahrt gewinnen, nicht zuletzt aufgrund von Innovationen im Hinblick auf cloudbasierte Verschl¸sselung, die Blockchain und digitale Compliance-Services.
Weitere Infografiken finden Sie auf Statista.
Das Thema Compliance scheint momentan wieder in aller Munde zu sein: Wie die Harvard Business Review vor Kurzem berichtete, haben die fortlaufenden Enth¸llungen bez¸glich potenzieller Datenschutzverletzungen seitens Facebook einen Sturm entfacht, den Gesetzgeber in den USA nun zu b‰ndigen versuchen. (Es sollte nicht vergessen werden, dass soziale Netzwerke im Grunde nichts anderes als Cloud-Computing sind). Erhebliche Datenskandale von zahlreichen bekannten Marken haben zur verst‰rkten Forderung strengerer Regulierungen f¸r digitale Unternehmen gef¸hrt.
Besonders lautstark wurde das Thema in letzter Zeit in Europa diskutiert und die k¸rzlich in Kraft getretene Datenschutz-Grundverordnung (DSGVO) hat erhebliche Ver‰nderungen f¸r die hiesigen Datenschutzgesetze mit sich gebracht.
Gem‰fl der DSGVO sind Unternehmen dazu verpflichtet, die zust‰ndigen Behˆrden ñ und die betroffenen Kunden ñ innerhalb von 72 Stunden ¸ber jegliche Datenschutzverletzungen in Kenntnis zu setzen. Eine Nichteinhaltung der neuen Bestimmungen zieht dabei erhebliche Konsequenzen nach sich. Geldbuflen kˆnnen sich auf bis zu 20Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes belaufen, je nachdem, welcher Wert der hˆhere ist.
Die DSGVO hat f¸hrende digitale Unternehmen nicht davon abgehalten, in die Cloud zu wechseln. Um Ihnen einen genaueren Eindruck zu geben: Investitionen in Public-Cloud-Lˆsungen werden laut IDC in Zukunft siebenmal so stark anwachsen wie alle sonstige IT-Ausgaben insgesamt. Bis 2020 wird die Public-Cloud-Branche weltweit 203,4Milliarden Dollar wert sein ñ ein beachtlicher Unterschied zu den gesch‰tzten 122,5Milliarden im Jahr 2017.
Im Zeitalter der DSGVO untersch‰tzt man die Nachfrage nach Public-Cloud-Services seitens grofler Unternehmen leicht. Doch die Zahlen lassen sich nicht leugnen. Unternehmen mit einer Belegschaft von mehr als 1.000 Mitarbeitern werden f¸r mehr als 50% aller Cloud-Ausgaben verantwortlich sein und grofle Marken werden schneller wachsen als jede andere Cloud-Sparte. So lauten die Erkenntnisse der IDC.
Was sollten Sie also tun, wenn auch Sie den Schritt in die Cloud wagen mˆchten, sich jedoch um die Sicherheit Ihrer Daten im Rahmen Ihrer Gesch‰ftsprozesse sorgen?
ÑMeiner Meinung nach gibt es hier ein paar gute Ans‰tze", so Agam. ÑZun‰chst kˆnnen Sie eine Bilanz Ihrer wichtigsten unternehmensinternen Vermˆgenswerte ziehen und genau analysieren, wie der Datenfluss zwischen Ihrem Unternehmen und der Auflenwelt abl‰uft."
Wer sich f¸r die Zusammenarbeit mit einem Cloud-Anbieter entscheidet, sollte laut Agam auflerdem ermitteln, welche wichtigen Datenbest‰nde in Zukunft von diesem Anbieter verwaltet werden.
Daneben betont Agam, wie wichtig es ist, zu wissen, welche Sicherheitsanforderungen diese Daten mit sich bringen. Dies ermˆglicht es, sich mˆglichst offen und ehrlich mit einem Sicherheitsbeauftragten des jeweiligen Cloud-Anbieters ¸ber die eigenen regulatorischen und Compliance-Anforderungen zu unterhalten.
ÑUnterhalten Sie sich mit dem Sicherheitsbeauftragten und vergewissern Sie sich, dass dieser Ihre Branche versteht", so Agam. ÑEr muss mit Ihnen auf einer Wellenl‰nge liegen und wissen, wie Ihre Branche funktioniert. Die von dem Anbieter Ihrer Wahl befolgten Sicherheitsstandards entsprechen vielleicht nicht unbedingt denen Ihres Unternehmens, aber auf diese Weise kˆnnen Sie sich vergewissern, ob sie Ihren Anforderungen gerecht werden."
ÑEs reicht nicht aus, ein einziges Mal zu ¸berpr¸fen, ob ein Cloud-Anbieter den eigenen Sicherheitsanforderungen gerecht wird", so Agam. In der Tat handelt es sich hierbei um einen kontinuierlichen Prozess, der einem stetigen Wandel unterliegt. Sie sollten regelm‰flig Sicherheitspr¸fungen durchf¸hren, zum Beispiel ein- oder zweimal im Jahr. F¸hren Sie Audits durch, indem Sie die Audit-, SOC- und PCI-Berichte Ihres Anbieters durchlesen.
US-Bundesbehˆrden empfiehlt Agam, sich auflerdem mit den FedRAMP-Zertifizierungsdokumenten des Anbieters vertraut zu machen: ÑLetztendlich weifl man nur, ob etwas auch wirklich funktioniert, indem man es testet ñ und unabh‰ngige Audit-Ergebnisse sind eine gute Mˆglichkeit, das eigene kontinuierliche ‹berwachungsprogramm am Laufen zu halten, ohne selbst vollst‰ndige Audits durchf¸hren zu m¸ssen".
Letztendlich geht es doch darum: Sicherheit in der Cloud ñ und vor Ort ñ h‰ngt maflgeblich von der richtigen Einstellung ab.
Die wichtigste Lektion lautet in diesem Sinne: Wenn es darum geht, zu bestimmen, zu welchen Zwecken Daten genutzt bzw. nicht genutzt werden d¸rfen, geht nichts ¸ber unternehmensweite Richtlinien.
In diesem zum Nachdenken anregenden Podcast unterh‰lt sich Malcolm Ross mit Omesh Agam, Chief Information Security Officer bei Appian, ¸ber den Schutz von Daten, Anwendungen und Infrastruktur in der Cloud. Hˆren Sie sich das Gespr‰ch an und erfahren Sie mehr zu folgenden Themen:
[podcast id="14650697" text="Cybersecurity in the Cloud: Safer Than You Think" "on" "Spreaker.""]
Appian ist ein Softwareunternehmen, das Geschäftsprozesse orchestriert. Die Appian Plattform ermöglicht es Führungskräften, wichtige Prozesse von Anfang bis Ende zu entwerfen, zu automatisieren und zu optimieren. Mit unserer branchenführenden Plattform und unserem Engagement für den Kundenerfolg vertrauen Spitzenunternehmen auf Appian, wenn es darum geht, transformative Prozessänderungen voranzutreiben.