(Hybrid) Cloud Security – was Sie von Banken lernen können

Cloud-Dienstleistungen eröffnen neue Möglichkeiten für innovative Geschäftsmodelle und effiziente Prozesse. Die Wettbewerbsfähigkeit von Unternehmen sowie Finanzdienstleistern wird mit der gezielten Migration von Funktionalitäten von On-Premise-Systemen in eine Cloud- oder Multi-Cloud-Umgebung nachhaltig verbessert. Eine (Multi) Cloud-Strategie kann somit einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Dazu müssen Unternehmen jedoch sicherstellen, dass die richtigen Massnahmen ergriffen werden und die Kontrolle über die Cloud bewahrt bleibt. Die Nutzung von Cloud-Dienstleistungen ist aktuell jedoch mit rechtlichen und regulatorischen Unsicherheiten verknüpft, welche eine Migration in die Cloud hemmen. Wie Sie diese Herausforderungen meistern können, wollen wir Ihnen in diesem Blogbeitrag aufzeigen.

Wir alle nutzen Cloud Services im Alltag, auch wenn wir uns dessen nicht immer bewusst sind: E-Mails versenden, die Verwendung von Softwareangeboten aus der Cloud, Musik und Filme streamen oder das Speichern und Teilen von Daten über die Cloud. Was im Privaten funktioniert, möchten natürlich auch Unternehmen nutzen. Das ist heutzutage aufgrund verschiedener rechtlicher und regulatorischer Unsicherheiten – und teils auch Bedenken – mit Herausforderungen durchsetzt.

Cloud für alle? Ja!

Mit der Cloud kann die Zeit bis zur Marktreife für innovative Produkte und Dienstleistungen verkürzt und die Wettbewerbsfähigkeit gesteigert werden. Neue Technologien, beispielsweise künstliche Intelligenz, können ohne grosse Investitionen in eigene Hardware als Service genutzt werden. Dank dem Zugang auf einen grossen Datenpool und die entsprechende Rechenleistung wird die Analyse von grossen Datenmengen in Echtzeit möglich. In der Entwicklung und im Testing von neuen Applikationen und Systemen ermöglicht die Cloud Effizienzgewinne und schafft Kostentransparenz. Der Aufbau oder Einkauf entsprechender Kompetenzen und Ressourcen ist oftmals nicht mehr nötig. Die Migration in eine Cloud ist somit auch für kleinere Unternehmen attraktiv, denn bisher nicht zugängliche Technologien sind dadurch für alle verfügbar. Gerade diese Unternehmen können den steigenden Anforderungen an den IT-Betrieb (IT-Sicherheit, Nachführen von Patches, Management des IT-Infrastruktur-Lifecycle) immer weniger gerecht werden. Deshalb findet vermehrt eine Verlagerung der Infrastruktur und Services in die Cloud statt – trotz gewisser Bedenken und regulatorischer Unsicherheiten.

Die Welt nutzt nicht eine, sondern viele Clouds!

Streng genommen ist es eigentlich in den meisten Fällen nicht eine Cloud, sondern zunehmend Multi-Cloud- und Hybrid-Cloud-Umgebungen. Gemäss dem «2019 State of the Cloud Survey» von RightScale haben bereits 84 Prozent der Unternehmen eine Multi-Cloud-Strategie definiert. Wichtig dabei: Egal wie viele Clouds es auch sind – die Sicherheit darf dabei nicht ausser Acht gelassen werden!

Dies ist insbesondere auch im Bankenumfeld der Fall. Daher wurde im März 2019 unter der Leitung der Schweizerischen Bankiervereinigung (SBVg) ein rechtlicher und regulatorischer Leitfaden für den Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler erarbeitet. Das Gute für Sie: Dieser Leitfaden ist auch für Nicht-Finanzdienstleister geeignet. Darin werden Empfehlungen für den Cloud Lifecycle ausgesprochen beim Einsatz von Cloud-Dienstleistungen – von der Evaluation, Beschaffung und Betrieb bis hin zum Ausstieg. Die vier Massnahmenschwerpunkte haben wir für Sie kurz zusammengefasst:

Die 4 Schlüsselfaktoren für eine sichere Cloud

1. Auswahl und Wechsel von Cloud-Anbietern und Zulieferern
   Bei der Auswahl eines Cloud-Anbieters und dessen Zulieferern müssen der Vertraulichkeit und Sicherheit der Daten als integraler Bestandteil der zugrunde liegenden Sorgfaltsprüfung (Due Diligence) ein hoher Stellenwert beigemessen werden. Natürlich darf aber auch die wirtschaftliche Stabilität nicht ausser Acht gelassen werden. Weiter sollte geklärt werden, ob der Cloud-Anbieter bereit ist, neben leistungsbezogenen Kriterien auch die wesentlichen Pflichten aus geltenden datenschutzrechtlichen oder branchenspezifischen Vorgaben zu übernehmen.
   
   
2. Schutz von vertraulichen Daten in der Cloud
   Sofern im Rahmen der Cloud-Dienstleistungen vertrauliche Informationen oder Personendaten bearbeitet werden, sind die geltenden Sicherheitsrichtlinien und Datenschutzgesetze zu berücksichtigen. Dabei gilt es technische, organisatorische und vertragliche Aspekte zu beachten.
   
   
3. Prüfung (Audit) der Cloud-Dienstleistung und der eingesetzten Mittel
   Regelmässig sollte die Einhaltung der auf den Cloud-Anbieter anwendbaren gesetzlichen, regulatorischen und vertraglichen Anforderungen überprüft werden. Audits sind eine Momentaufnahme der Sicherheitslage. Dazu gehören insbesondere Anforderungen bezüglich Outsourcing, Datenschutz und Informationssicherheit. Die Prüfungen sollten durch das eigene Unternehmen oder unabhängige Drittparteien durchgeführt werden. Dabei ist in den meisten Fällen eine logische Überprüfung der Infrastruktur ausreichend, kann jedoch durch eine physische Überprüfung vor Ort ergänzt werden. Die Prüfung der wesentlichen Unterlieferanten kann indirekt durch die Prüfung des Cloud-Anbieters erfolgen. Eine Möglichkeit, wie Sie Ihr Supply Chain Risk Management und damit Ihre Lieferanten und Sublieferanten managen können, haben wir Ihnen in einem früheren Blogartikel bereits ausführlich erläutert.
   
   
4. Transparenz und Zusammenarbeit mit Cloud-Anbietern im Bereich behördlicher und gerichtlicher Massnahmen
   Insbesondere im Finanzumfeld kommt hinzu, dass Anfragen von Behörden oder Verfahren die Herausgabe oder die Übermittlung von geschützten Informationen verlangen können, welche in der Cloud bearbeitet werden. Zudem können auch ausländische Gesetze eine Herausgabe von Daten durch Cloud-Anbieter vorsehen. Soweit rechtlich möglich, sollten deshalb geschützte Informationen nur im Falle einer schriftlichen Zustimmung des Entscheids eines zuständigen Schweizer Gerichts oder der Bewilligung einer Schweizer Behörde an ausländische Behörden übermittelt werden.

Cyber Security in der (Multi oder Hybrid) Cloud

Sie sehen: Bei Cloud Cyber Security geht es in erster Linie um das Management von Risiken. Cloud Computing (insbesondere Hybrid Cloud) nutzt unter anderem Application Programming Interfaces (APIs), neue Datenflüsse, komplexe Netzwerkkonfigurationen etc. Diese Faktoren führen zu neuen Arten von Bedrohungen. Hybrid und Cloud Computing ist aber per se nicht mehr oder weniger sicher als On-Premise-Infrastrukturen. Jedoch muss auch ein komplexes System wie eine Hybrid Cloud bewirtschaftet werden, was neue Werkzeuge und Verfahren erfordert. Die klassische Absicherung der Netzwerkumgebung reicht dabei nicht aus. Hybrid-Cloud-Infrastrukturen stellen Unternehmen somit vor zusätzliche Sicherheitsherausforderungen. Die wichtigsten sind…

• Die Übersicht über die komplette Umgebung zu behalten inkl. aller Workloads bei den Cloud-Anbietern.
• Die Cyber Resilience vor Angriffen muss auf sämtliche Cloud-Komponenten ausgeweitet werden.
  Beim Risikomanagement muss die Komplexität und die Abhängigkeit mit den Cloud-Service-Anbietern berücksichtigt werden.
• Das Schwachstellen-Management der Cloud-Komponenten: Workload, Container, Services, Schnittstellen, Datentransfer, Authentisierung etc.
• Vorfalls-Erkennung und -Management müssen auf die Cloud-Komponenten ausgeweitet werden.
  Die Einhaltung der Governance sowie Compliance zu Standards und Regulationen müssen gewährleistet bleiben und nachweisbar sein.
• Der sichere Zugriff durch verschiedene Akteure (Anwender, Supplier, Provider etc.) auf und in der Cloud-Umgebung muss gewährleistet und überwacht werden.
• Der Schutz der Daten innerhalb der Cloud sowie beim Transport in die Cloud (gemäss Datenschutzgesetze, Verordnungen und Branchenvorgaben) muss sichergestellt werden. Stichworte hierzu sind unter anderem Anonymisierung, Pseudonymisierung und Verschlüsselung. Ein Cloud Access Security Broker (CASB) kann dabei einen wichtigen Beitrag leisten. Wie, erfahren Sie hier.
• Die Cyber Security von Cloud-Anbietern, Services und Containern muss regelmässig auditiert werden.

Cloud-Sicherheit geht nur gemeinsam

Für Sie bedeutet das neue Herausforderungen, zumal auch die Compliance-Anforderungen immer strenger werden. Aber genau diese Aufrechterhaltung und der Nachweis der Compliance kann mit einer hybriden Cloud schwierig sein. So gilt es nicht nur sicherzustellen, dass On-Premise, Public Cloud und Private Cloud Compliance-konform sind. Es muss auch nachgewiesen werden, dass die Koordinationsmöglichkeiten zwischen den Clouds gewährleistet und sicher sind.

Multi-Cloud-Umgebungen erfordern einen plattformunabhängigen und standardisierten Sicherheitsansatz. Dabei gilt ein wichtiges Prinzip: die gemeinsame Verantwortung. Bewährt hat sich hier das Shared-Responsibility-Modell, wonach der Cloud-Service-Provider für die «Sicherheit der Cloud» an sich zuständig ist und der Kunde für die «Sicherheit in der Cloud». Der Provider und der Kunde teilen dabei die Zuständigkeiten auf, wobei der Provider für den Betrieb sowie die Sicherheit der physischen Umgebung verantwortlich ist und der Kunde für die logische Umgebung.

Herausforderung Workload-Portabilität

In der Cloud sind nicht nur die klassischen Angriffsszenarien relevant, sondern auch die Herausforderungen durch die Workload-Portabilität sowie die Mandantenfähigkeit. Insbesondere Workloads erfordern dabei Sicherheitsstrategien, die den sich ständig weiterentwickelnden und wachsenden Bedrohungen gerecht werden. Das einfache Starten neuer Workloads stellt einen wesentlichen Vorteil der Hybrid Cloud dar, birgt aber auch sicherheitstechnische Risiken. So ist es problemlos möglich, Workloads auf verschiedene Plattformen und Umgebungen – von lokalen bis hin zu privaten und öffentlichen Infrastrukturen – zu verschieben und zu betreiben. Traditionelle Sicherheitsansätze stossen dabei an ihre Grenzen; nicht zuletzt durch die Nutzung von Containern und Mikroservices. Um Container-Sicherheit zu gewährleisten, sollten zumindest folgende Punkte berücksichtigt werden:

• Defense-in-Depth Security als Paradigma: Diese bietet einen Überblick über den gesamten Lebenszyklus der Anwendung, des Workloads oder der Software.
• Laufendes Schwachstellenmanagement und Compliance über den gesamten Anwendungslebenszyklus hinweg
• Integration in den Entwicklungs-Zyklus um zu verhindern, dass Schwachstellen von der Entwicklung in die Produktion gelangen.
• Die Sicherheit der Registry und Container-Laufzeit-Umgebungen muss kontinuierlich überwacht werden.
• Unterstützung bei der Orchestrierung
• Schutz der laufenden Anwendungen mit nativen Cloud Firewalls (Layer 3 – Layer 7)
• Runtime Defence und Access Control

Um Container-Sicherheit über den gesamten Applikations-Lifecycle gewährleisten zu können, lohnt sich der Einsatz einer dedizierten Plattform wie «Twistlock». Twistlock ist die führende Plattform für Full-Stack-, Full-Lifecycle-Container- und Cloud-basierter Cyber Security für diejenigen Teams, welche Docker, Kubernetes und andere native Cloud-Technologien einsetzen. Mehr über Twistlock erfahren Sie auf unserer Webpage:

Für Unternehmen, die DevOps einsetzen, kann dies besonders schwierig sein. Sicherheit in einen Ansatz zu integrieren, der sich auf schnelle Entwicklung und Bereitstellung konzentriert, ist eine Herausforderung. Viel zu schnell wird dabei die Sicherheit vergessen, wenn es um die Einhaltung von engen Zeitplänen geht. Die DevSecOps-Methode, Security-Integration in den Entwicklungsprozessen sowie häufige und vollautomatische Deployments bieten die Möglichkeit, Patches anzuwenden und damit die Sicherheit frühzeitig zu erhöhen. DevSecOps patcht jedoch keine laufenden Systeme, sondern die Templates, aus denen die Workloads generiert werden, und bringt diese in die Produktion.

Mandantenfähigkeit des Cloud-Anbieters nicht vergessen!

Genug Anforderungen und Vorgaben? Verstehen wir, aber ein zusätzlich wichtiger Punkt sollte nicht vergessen werden. Bei der gemeinsamen Nutzung von Clouds sind Anforderungen betreffend Cyber Security und Datenschutz zu beachten. So müssen die Daten der verschiedenen Nutzer getrennt bleiben, auch wenn die IT-Ressourcen wie Speicherkapazitäten und Rechenleistung gemeinsam genutzt werden. Konkret umsetzen lässt sich dies z.B. mit einem entsprechend fein gegliederten Berechtigungssystem und einer jeweils getrennten Verschlüsselung. Zudem dürfen sich Verfügbarkeitsprobleme wie beispielsweise ein Datenverlust oder Sicherheitsmängel bei einem anderen Mandanten nicht auf das eigene Unternehmen auswirken.

Wir bringen Licht in Ihre existierenden Clouds

Die Benutzung der Cloud (oder mehreren Clouds) ist ein kritischer Erfolgsfaktor. Nicht nur für Unternehmen, sondern für den gesamten Wirtschaftsstandort Schweiz. Lassen Sie sich vor den Herausforderungen jedoch nicht abschrecken! Wenn Sie die Anforderungen und Vorgaben berücksichtigen, bieten Hybrid- und Multi-Cloud-Umgebungen grosses Potenzial, das Sie nutzen sollten.

Wissen Sie, welche Cloud-Services in Ihrem Unternehmen bereits im Einsatz sind? Unsere Erfahrung zeigt, dass häufig Cloud-Services für spezifische Projekte oder in Abteilungen genutzt werden, von denen die IT-Abteilung nichts weiss. Unser Cloud Access Audit verschafft Ihnen die volle Transparenz und zeigt die damit verbundenen Risiken klar und übersichtlich auf.