Die Sicherheitsprognose ist Cloud| Teil 2

Von:

6. November 2019

Im ersten Teil dieser Reihe habe ich den anhaltenden Trend zur cloud beleuchtet, den die meisten Unternehmen bereits vollzogen haben oder bald vollziehen werden. Dabei habe ich mich vor allem mit der Frage beschäftigt, wie Sie die Sicherheit Ihrer cloud gewährleisten können.

Im zweiten Teil gehe ich näher auf die Details der cloud ein.

Glücklicherweise nehmen die führenden cloud das Thema Sicherheit sehr ernst. Wie jedoch aus so gut wie jeder Umfrage cloud hervorgeht, sind die größten Datenlecks darauf zurückzuführen, wie Kunden die cloud einführen, konfigurieren und nutzen. Genau darauf müssen Sie achten. In diesem Bereich müssen Sie unter Sicherheits- und Compliance-Gesichtspunkten besonders vorsichtig sein.

Sie können zwar über die beste Sicherheitstechnologie verfügen, aber wenn Sie einen Benutzer mit umfassenden Berechtigungen anlegen und ihm ein leicht zu erratendes Passwort zuweisen, ist das ein großes Sicherheitsproblem. Oder wenn Sie eine Erweiterung erstellen, die Ihre Daten ohne Authentifizierung zugänglich macht, ist das ein weiteres großes Problem. Cloud geht es um so viel mehr, als nur sicherzustellen, dass die Technologie und der Anwendungsstack in jedem cloud über die neuesten Patches verfügen. Sie müssen weiterhin kontinuierliche Bewertungen durchführen und über die richtige Transparenz verfügen, um Prioritäten für die Wartung dieses Technologie-Stacks zu setzen. Sie müssen sicherstellen, dass all diese Einstellungen, all diese Benutzer, all diese Schnittstellen (und letztendlich all IHRE Datensätze) sicher und konform sind.

Und wenn Ihr Unternehmen mit sensiblen Daten umgeht, schreibt jede Compliance-Vorgabe vor, dass Sie Sicherheitsmaßnahmen für die Daten, die Prozesse und die Technologie anwenden müssen, die für diese Geschäftsanwendungen zum Einsatz kommt. Mit anderen Worten: Sie müssen nachweisen, dass Sie zusätzlich zu den Maßnahmen Ihres cloud über die richtigen Sicherheitsvorkehrungen verfügen.

Aufgrund der Komplexität all dieser Daten und Prozesse entscheiden sich Unternehmen in der Regel für den Einsatz hybrider Full-Mesh-Umgebungen. Diese ermöglichen eine vollständig integrierte Datenübertragung und werden in der Regel im Rahmen der technischen Möglichkeiten sehr individuell angepasst. Sie müssen zahlreiche Änderungen und Anpassungen vornehmen, um diese Technologien an Ihre jeweiligen Anwendungsfälle und Prozesse anzupassen. Daher müssen Sie sicherstellen, dass alle Modifikationen, die Sie zur Anpassung von Geschäftsanwendungen an die Anforderungen Ihres Unternehmens benötigen, von Grund auf sicher und konform sind.

Das ist etwas, was Onapsis bereits seit 10 Jahren tut. Wir haben uns anfangs sehr stark auf die Sicherheit vor Ort konzentriert. Da wir vorausgesehen haben, dass Unternehmen in die cloud wechseln würden, haben wir unsere Funktionen cloud und cloud entwickelt. Wir integrieren weiterhin alle neuen cloud in unsere platform unser Dienstleistungsangebot, damit wir unseren Kunden die richtigen Sicherheits- und Compliance-Kontrollen gewährleisten können. Wir möchten, dass Sie wissen, dass Sie eine sorgfältige Prüfung durchführen können, wie Ihre Systeme und Prozesse sowohl in Bezug auf Sicherheit als auch auf Compliance kontrolliert werden, indem Sie eine Governance-Ebene darüber legen.

Onapsis arbeitet zudem eng mit der Cloud Alliance zusammen. Wir haben die ERP-Arbeitsgruppe der CSA mitbegründet. Die Gruppe veröffentlicht regelmäßig neue Materialien und Inhalte, um Unternehmen dabei zu helfen, zu verstehen, worauf sie achten sollten.

Die CSA weist unter anderem darauf hin, dass Sie bei der Auswahl eines cloud eine sorgfältige Prüfung vornehmen müssen. Die CSA stellt eine Cloud Matrix“ sowie einen Fragebogen cloud zur Verfügung. Diese Ressourcen helfen Ihnen dabei, sich über die Geschäftsabläufe Ihres cloud zu informieren, damit Sie Vertrauen in dessen Sicherheitsvorkehrungen haben können.

Wie stellen Sie als Kunde sicher, dass Sie die richtige Kontrolle über Ihre Daten und Prozesse haben, unabhängig davon, welchen cloud Sie nutzen? Unternehmen haben zwar zunehmend Vertrauen zu ihren cloud aufgebaut, doch bei der Einführung dieser Dienste können immer noch Fehler unterlaufen, die zu rufschädigenden Datenschutzverletzungen führen können.

Hier sind einige Fragen, die Sie sich stellen sollten, wenn es um die Absicherung Ihrer Geschäftsprozesse geht:
• Wie führe ich die Technologie ein?
• Wie konfiguriere ich sie?
• Wie richte ich die Benutzer, die Berechtigungen und die Zugriffskontrollen ein?
• Wie richte ich die Schnittstellen und verschiedenen Ebenen ein, die letztlich zu Geschäftsrisiken führen?
• Wie kann ich verhindern, dass meine Geschäftsprozesse missbraucht werden und letztendlich nicht mehr den Vorschriften entsprechen?

Verfüge ich über die erforderliche Transparenz und die notwendigen Funktionen zur kontinuierlichen Überwachung aller meiner Cloud Anwendungen?

Wenn Sie auf jede dieser Fragen eine fundierte Antwort haben, sind Sie auf dem besten Weg, Ihr Unternehmen sowohl vor Ort als auch in der cloud sicher und unter Einhaltung aller Vorschriften zu betreiben.

Onapsis-Ressourcen anzeigen

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen