Cyber Security : Zero Trust:
Warum man bei der Cloud-Nutzung niemandem vertrauen sollte

Die meisten Unternehmen verwenden mittlerweile Cloud-Dienste. Dabei ist es wichtig zu verstehen, dass der Betrieb und damit auch die Sicherheit vom Cloud-Anbieter und Nutzer gemeinsam gestaltet werden. Der Grad der Eigenverantwortung ist davon abhängig, ob man Infrastruktur-, Plattform- oder Software-as-a-Services aus der Cloud bezieht. Der Cloud-Betreiber übernimmt die physische Sicherheit (etwa des Gebäudes durch Zugangskontrollen etc.). Wer Infrastruktur-as-a-Service nutzt, etwa virtuelle Server hostet, muss sich um Themen wie Firewall, Netzwerksicherheit, Betriebssystem usw. selbst kümmern. Bei Platform-as-a-Service muss der Entwickler die Anwendungssicherheit selbst gewährleisten. Software-as-a-Service schränkt den Anwender auf die Nutzung und Gestaltung zwar stärker ein, dafür aber übernimmt der Cloud-Anbieter die meisten Sicherheitsaspekte. In der Praxis gibt es oft einen Mix aus IaaS, PaaS und SaaS, wobei die eigene IT in allen Bereichen fit sein muss.

Zero Trust: Nichts und niemanden vertrauen

Die Zero-Trust-Methodik bildet eine gute Basis für jede Cloud-Nutzung. Als Grundannahme dabei gilt, dass man nichts als sicher einstufen kann, wenn es nicht überprüft wurde. Das schließt die Identität von Benutzern, Anwendungen, Geräten, Daten, Infrastrukturen und auch Netzwerken ein. Was nach einer unlösbaren Aufgabe klingt, ist dank der Cloud-Betreiber durchaus machbar, denn sie bieten eine große Anzahl von Tools und Diensten, um Zero Trust umzusetzen. Die typischen Funktionen sind Multi-Faktor-Authentifizierung von Benutzern mittels Tokens und Biometrie sowie die Anomalie-Erkennung. Zusätzlich gibt es proaktive Sicherheitstools, die auf Bedrohungen reagieren und sich den eigenen Sicherheitsanforderungen entsprechend konfigurieren lassen.

Best-Practices-Tools nutzen

Viele Cloud-Anbieter bieten umfassende Services im Bereich Sicherheit. Das Security und Compliance Center von Microsoft etwa unterstützt durch vorkonfigurierte Best Practices und Industriestandards, die sich als Vorlage nutzen lassen. Zusätzlich bietet das Security Center unterschiedliche Assessment Tools, die eine aktuelle Konfiguration untersuchen, potenzielle Gefahren aufzeigen, Verbesserungen vorschlagen sowie deren Auswirkung auf die Sicherheit und Aufwand für die Implementierung bewerten. Dienste wie Azure Sentinel nutzen die Log-Analyse, um Gefahren zu identifizieren. Werden Bedrohungen erkannt, kann das System automatisch darauf reagieren.

Datenschutz als oberste Priorität

Der zuverlässige Schutz von Daten und Dokumenten ist oft geschäftskritisch. Dabei gilt es erst einmal, schützenswerte Daten (wie personenbezogene Informationen, Bankverbindungen, etc.) im Dschungel der unterschiedlichen Anwendungen und Ablagen zu finden. Mittels Tools, wie z.B. Information Protection, kann definiert werden, ob Dokumente kopiert, gedruckt oder verschickt werden dürfen oder ob sie automatisch verschlüsselt werden sollen. Dokumente, E-Mails und Anwendungen lassen sich automatisch mit dem gewünschten Schutzniveau konfigurieren. Die Aufbewahrungsrichtlinien stellen sicher, dass Dokumente (etwa Rechnungen für einen bestimmten Zeitraum) nicht gelöscht werden dürfen. Damit lassen sich auch die Löschpflichten im Rahmen der DSGVO einhalten.

Fazit

In der Cloud teilen sich Nutzer und Cloud-Anbieter die Verantwortung für die Sicherheit von Daten, Applikationen und Infrastrukturen. Die Zero-Trust-Methodik bietet eine solide und erprobte Basis für ein unternehmensweites Sicherheitskonzept. Mit den richtigen Tools und professioneller Beratung lässt sich dieser Ansatz umsetzen, um das gewünschte Security-Niveau zu erreichen.

Dipl.-Ing. Markus Nöbauer ist F&E-Verantwortlicher für Forschungsprojekte im Kontext von Business Software bei insideAx. Er hat an der Johannes Kepler Universität in Linz Informatik studiert und verfügt über zehn Jahre Erfahrung als Technology Consultant für Dynamics 365 ERP-Systeme. Er ist Autor mehrerer wissenschaftlicher Publikationen zum Thema Anforderungserhebung und Produktlinien sowie Projektleiter für mehrjährige internationale Forschungsprojekte.