Im Zuge der Corona-Pandemie wechselten viele Menschen ins Home-Office – und parallel wanderten viele digitale Dienste und Daten vom firmeneigenen Server in die Cloud. Doch der Umstieg auf Cloud-Services bringt Herausforderungen für die Sicherheit mit sich. Dr. Martin Meints, Sicherheitsbeauftragter von Dataport, erklärt die fünf wichtigsten Schritte, mit denen Behörden und Unternehmen sicher in die Cloud wechseln.
1. Prüfen Sie, ob der Umzug in die Cloud für Ihren Zweck überhaupt erlaubt ist.
In Unternehmen und insbesondere in der öffentlichen Verwaltung herrschen häufig spezifische Sicherheitsanforderungen, die Cloud-Anbieter nicht erfüllen können oder wollen. Der Einsatz von Cloud-Services ist dann gar nicht erlaubt. Wer in die Cloud wechseln möchte, sollte die benötigten Sicherheitsniveaus deshalb vorab prüfen.
2. Denken Sie daran: Sie sind weiterhin zuständig für IT-Betrieb und IT-Sicherheit.
Wer eine Infrastruktur aus der Cloud nutzt, bleibt für viele Aufgaben des IT-Betriebs weiter zuständig. Grundlegende Sicherheitsmaßnahmen sind im Service der Cloud-Provider oft nicht enthalten. Dazu gehören Datensicherung und Patchmanagement, Virenschutz, das Härten von Betriebssystemen und Anwendungen sowie Protokollierung und Protokollauswertung.
3. Binden Sie die Cloud-Services in Ihre automatisierten Sicherheitsprozesse ein.
Ein sicherer IT-Betrieb basiert auf zentraler Steuerung und Automation. Systeme werden von einer zentralen Instanz überwacht und beispielsweise mit Updates oder Software-Patches versorgt. Damit das zuverlässig funktioniert, müssen die Cloud-Services an die eigenen Management-Systeme angebunden und die dazugehörigen Prozesse aufeinander abgestimmt werden.
4. Entwickeln Sie Strategien für Ausfall der Cloud-Services.
Wer Cloud-Services nutzt, greift über das Internet auf einen Dienst oder ein Verfahren zu. Ist die Internetverbindung gestört, ist auch das Verfahren nicht erreichbar. Behörden und Unternehmen, die Cloud-Services einsetzen, sollten deshalb Strategien für mögliche Ausfälle entwickeln.
5. Werden Sie zum Cloud-Experten.
Plattform- oder Softwareservices aus der Cloud sind vorgefertigte, nicht fertige Produkte. Behörden und Unternehmen sind selbst dafür verantwortlich, ihre Cloud-Services an die eigenen Anforderungen anzupassen und dafür zu sorgen, dass die einzelnen Komponenten auch miteinander funktionieren. Sollen Cloud-Services beispielsweise nach einmaligem Einloggen am Arbeitsrechner zur Verfügung stehen, müssen sie in die unternehmenseigenen Authentisierungsprozesse eingebunden werden.