Management von Cyberrisken in der Public Cloud
Public-Cloud-Strategien sind heute weit verbreitet, selbst bei stark regulierten Unternehmen, wie wir sie vor allem aus der Gesundheits- und FSI-Branche kennen. Die Vorteile der Cloud, wie beispielsweise die Skalierbarkeit und Effizienz, sind mittlerweile allseits bekannt. Die sichere Ausführung und Verwaltung von Public-Cloud-Umgebungen ist jedoch aufgrund von mangelndem Know-how, Tools und Prozessen in den jeweiligen Unternehmen oft unzureichend, was zu einem erhöhten Risiko führen kann. Der erste Schritt in Richtung eines passenden Risikomanagements ist die Erstellung einer Risikostrategie, die mit der Risikobereitschaft des Unternehmens übereinstimmt. Für den Aufbau einer nachhaltigen Cyber-Resilienz braucht es zudem eine klare Trennung der Verantwortlichkeiten zwischen Cloud-Anbieter und Cloud-Kunde.
Die wichtigsten Erkenntnisse aus dem Whitepaper sind wie folgt: Wir müssen wachsam bleiben, ein agiles Mindset annehmen und uns über neue Trends sowohl auf Ebene der Verteidiger als auch der Angreifer auf dem aktuellen Stand halten. Dabei sollte der Mensch im Zentrum stehen. Ohne entsprechende Schulungen und Awareness Kampagnen können sich Mitarbeitende eines Unternehmens nicht genügend mit dem Thema auseinandersetzen, werden zu einer grossen Schwachstelle und so zu einem der grössten IT Sicherheits-Risiken.
3 Key Facts
Vertrauen in den Cloud-Anbieter vs. eigene Kontrolle
Erstens ist es von grosser Bedeutung, ein Gleichgewicht zwischen einem vertrauenswürdigen Cloud-Anbieter und der eigenen Kontrolle über seine IT Umgebung zu behalten. Die Entscheidung für eine Multi-Cloud-Strategie sollte angesichts der damit verbundenen Komplexität sorgfältig analysiert werden und ist für KMUs wenig empfehlenswert. Dennoch könnte diese Strategie bei grossen Unternehmen in Zukunft häufiger eingesetzt werden und neue Technologien können bei der Verwaltung der Multi-Cloud-Umgebung helfen.
Geteilte Verantwortung zwischen Anbieter und Kunde
Zweitens stellt sich bei der Nutzung öffentlicher Cloud-Dienste die Frage in Bezug auf die Verantwortung für die Sicherheit. Wann ist der Anbieter und wann der Kunde verantwortlich? Je nach Dienst und Betriebsmodell sind die Verantwortlichkeiten unterschiedlich verteilt. Beide Parteien müssen ihre Sicherheitsverpflichtungen kennen, wahrnehmen und die notwendigen Kontrollen, Mechanismen und Werkzeuge einrichten. Nur so kann verhindert werden, dass eine Sicherheitslücke zwischen Anbieter und Kunde entsteht, weil beide denken, der andere sei dafür verantwortlich.
Cyber-Resilienz als entscheidender Faktor
Drittens sollte der rein risikobasierte Ansatz infrage gestellt werden, angesichts der unvorhersehbaren, disruptiven und sich ständig verändernden Security-Landschaft. Um im heutigen Cyberspace zu überleben, scheint der Aufbau einer starken Cyber-Resilienz unabdingbar zu sein. Daher gilt die Kombination aus einer gut durchdachten Cybersecurity Strategie sowie der Implementierung von bewährten Tools und Mechanismen als Best Practice. Ausserdem ist es wichtig, an den Faktor «Mensch» zu denken und die Endnutzer auf das Thema IT Sicherheit zu sensibilisieren.