Guideline Cloud Security

Schützenswertes identifizieren

Sensible Daten liegen immer mehr in der Cloud, ob von der IT bereit gestellt oder durch Mitarbeiter und Abteilungen selbst angeschafft. In vielen Fällen ist eine derartige Schatten IT durchaus wünschenswert und produktiv – solange das Risiko überschaubar ist. Die Bewertung des Risikos ist allerdings nur möglich, wenn das Unternehmen schützenswerte Daten identifi zieren kann: Art, Ort, Status und Zugriff auf die Daten gilt es zu kennen.

Daten analysieren

Wichtige Informationen lassen sich dabei mit Technologien wie CASB- (Cloud Access Security Broker) und DLP-Lösungen (Data Leakage Prevention) erfassen. DLP-Lösungen können aufwändige Datenklassifi zierungen weitgehend ersetzen. Etwa durch vom Hersteller zur Verfügung gestellte Regelwerke, mit denen länderspezifi sch Daten erkannt werden, die gesetzlichen Regelungen unterliegen. Ob im Sharepoint der Entwicklungsabteilung oder Fileshare der Personalabteilung, auch wenn der genaue Inhalt nicht bekannt ist, können DLP und CASB verhindern, dass diese Daten abfl ießen.

Transparenz schaffen

Transparenz über Cloud-Applikationen und Devices liefert eine Lösung mit Cloud-Access-Security-Broker-Funktionen. CASB ist zwischen dem User und dem Netzwerk der Cloud-Dienste zwischengeschaltet. Dadurch lassen sich die eigenen Richtlinien über die eigene Infrastruktur hinaus überwachen. Auch an ein Frühwarnsystem sollte gedacht werden. User and Entity Behavior Analytics (UEBA) erkennen Anomalien sofort. Ein kompromittierter Account fällt sonst nur durch Zufall oder entstandenen Schaden auf.

Informationssicherheit und Datenschutz ausgleichen

Mitarbeiter haben ein berechtigtes Interesse daran, dass ihre Daten und Bewegungen im Firmennetzwerk nicht pauschal überwacht werden. Gleichzeitig muss aber auch gewährleistet sein, dass geistiges Eigentum im Unternehmen bleibt. Eine Security-Lösung ist also ähnlich wie ein Flugschreiber aufzusetzen. Erstens wird vorab festgelegt, welche Daten erfasst werden sollen. Zweitens sind Informationen zum User-Verhalten immer pseudonymisiert. Uneingeschränkte Dateneinsicht erhalten selbst die vorher festgelegten Personen nur im Falle nachweislicher Sicherheitsverletzungen. Geschäftsleitung, Betriebsrat und die Sicherheitsverantwortlichen legen die Schwellwerte in der Risikobewertung selber fest, um im Ereignisfall keine Zeit durch das Einholen von Investigationsfreigaben zu verlieren.

Regularien aufsetzen

Alle Security-Lösungen sollten in einer Sicherheitsplattform integriert sein. So stehen alle Informationen durchgängig zur Verfügung und können über Dashboards kontrolliert werden. Nun gilt es für die Arbeit essentielle Applikationen zu defi – nieren und freizugeben. Außerdem lassen sich Zugriffsrechte für verschiedene Devices an die Firmenrichtlinien anpassen. Etwa für den kontrollierten Einsatz von BYOD. Auf Basis des User-Verhaltens lassen sich Richtlinien zudem automatisiert für die Benutzung von Cloud-Anwendungen und für den Zugriff von extern erstellen und anwenden.

Bewusstsein für IT-Sicherheit stärken

Schulung und Aufklärung über Informationssicherheit sowie die eingesetzten Cloud-Systeme ist das A und O. Sicherheit funktioniert nur, wenn sich auch jeder dafür verantwortlich fühlt. Mit Mitarbeitern sollten aktuelle Trends und Gefahren besprochen werden. In kritischen Bereichen sind zusätzlich realitätsnahe Trainingssituationen hilfreich. Bei besonders schützenswerten Benutzerkonten, den sogenannten privilegierten Usern bzw. Administratoren, ist außerdem eine verpflichtende Zwei-Faktor-Authentifizierung ratsam. Der Einsatz einer Lösung sollte dabei stets transparent den Mitarbeitern kommuniziert werden und in Zusammenarbeit mit dem Betriebsrat und HR erfolgen. Der beste Schutz ist es schließlich, den Mitarbeitern Verhaltensrichtlinien an die Hand zu geben, die nicht unnötig einschränken.