Praktische Tipps für mehr Cloud Security im Unternehmen

Es gibt eine ganze Menge Ratgeber und Hilfsmittel, mit denen Firmen die Sicherheit in der Cloud verbessern oder den Security-bedachten Cloud Service Provider (CSP) finden können. Bei beidem kommt man nicht um die Dienste und Vorgaben der Non-Profit-Organisation Cloud Security Alliance (CSA) herum. Diese fördert nämlich die Ausformulierung von Best Practices zur Absicherung der eigenen Cloud-Umgebungen, die Bestimmung vertrauenswürdiger CSP und die Verwendung von Cloud-Techniken zur Erhöhung der Security. Schliesslich finden sich auf der CSA-Website diverse Whitepaper, Tools und Anleitungen zum Thema Cloud Security.

So hat die Allianz mit CSA STAR (Security Trust Assurance and Risk) ein Prüfprogramm für Cloud-Anbieter entwickelt. Dieses umfasst drei Niveaus. Auf Level 1 findet ein Selbst-Assessment statt, das heisst der Anbieter prüft anhand von Checklisten selbst, ob er den CSA-Richtlinien genügt. Auf Level 2 wird diese einmalige Prüfung einem Dritten übertragen, der über eine entsprechende Zerti­fizierung verfügt. Auf Level 3 verpflichtet sich der Provider zu kontinuierlichen Security-Audits durch eine Drittfirma. Es wird empfohlen, bei der Auswahl des Anbieters in Sachen CSA STAR darauf zu achten, dass Firmen mindestens Level 2 oder 3 erfüllen. (Link: cloudsecurityalliance.org/star)

Daneben stellt die CSA zwei wichtige Hilfsmittel zur Evaluierung von CSP bereit, nämlich die Cloud Controls Matrix (CSA CCM) und den Consensus Assessment Initiative Questionnaire (CSA CAIQ). Ersteres bietet ein Cloud-Security-Rahmenwerk mit 133 Kontrollkriterien in 16 Gebieten. Letzteres bietet einen Frage­bogen mit gut 300 Kriterien, die vom Anbieter jeweils mit «ja» oder «nein» beantwortet werden müssen. Mithilfe dieses Katalogs kann somit recht gut abgeschätzt werden, wie ernst ein CSP das Thema Cloud Security nimmt. (Links: CCM: tinyurl.com/ve4ze58 und CAIQ: tinyurl.com/rr2xbxr)

Zudem hat die European Network and Information Security Agency (Enisa) umfangreiches Material zur Cloud Security zusammengetragen. Empfehlenswert ist dabei unter anderem die Schrift «Cloud Computing Risk Assessment», die zwar schon etwas in die Jahre gekommen ist, aber dennoch die wichtigsten Risiken in Sachen Cloud Computing aufführt. (Link zur Enisa-Seite «Cloud Security»: tinyurl.com/rf3ezvz)

Daneben gibt es auch gute Ressourcen auf Deutsch. Erwähnenswert ist in diesem Zusammenhang der «Anforderungskatalog Cloud Computing (C5)» des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), der dieses Jahr erneuert und ergänzt wurde. Ziel des Katalogs ist es eigenen Angaben zufolge, den Cloud-Anwendern angesichts der vielen Zertifizierungen und Prüfungen der Industrie eine Hilfestellung für einen besseren Überblick zu mehr Sicherheit zu geben und Mehrfachprüfungen zu vermeiden. Der Anforderungskatalog selbst ist in 17 sogenannte Anforderungsbereiche gegliedert, die alle möglichen Aspekte der Cloud Security abdecken sollen. Diese reichen von der Organisation der Informa­tionssicherheit ganz generell über das Personal bis hin zu speziellen Fragen wie Kryptografie und Schlüsselmanagement. Anbieter können sich zudem auf Kon­formität mit dem BSI-Katalog prüfen lassen.

Schliesslich steht unter anderem auch ein Hilfmittel speziell für Schweizer Anwenderunternehmen zur Verfügung. Und zwar hat die Schweizerische Bankier­vereinigung (SBVg; Swissbanking) vor einem Jahr in Zusammenarbeit mit Mitgliedsinstituten, Prüfgesellschaften und Providern einen Leitfaden erarbeitet. In dem als PDF online verfügbaren Dokument «Cloud-Leitfaden – Wegweiser für sicheres Cloud Banking» werden Empfehlungen ausgesprochen, die den Weg in die Cloud erleichtern sollen. Natürlich richtet sich das Papier in erster Linie an Finanzinstitute. Dennoch lassen sich viele Aspekte des Wegweisers auch auf an­dere Branchen anwenden.