Die Sicherheitsprognose ist Cloud

Von:

25. September 2019

Cloud ist einer der wichtigsten Technologie- und Sicherheitstrends, mit denen Unternehmen heute konfrontiert sind. Über den Nutzen, die Risiken und die zusätzlichen Vorteile des cloud wird in Organisationen aller Art und Größe ständig diskutiert. cloud hat zwar bereits vor einigen Jahren begonnen, gewinnt jedoch weiter an Fahrt, da immer mehr Unternehmen nun endlich ihre geschäftsspezifischen Anwendungen in die cloud verlagern. Es überrascht nicht, dass die Sicherheit bei dieser jüngsten Migrationswelle ein zentrales Anliegen ist. 

Es ist von entscheidender Bedeutung zu verstehen, wie Ihr cloud mit dem Thema Sicherheit umgeht. Denn letztendlich liegt es nach wie vor in Ihrer Verantwortung, die Sicherheit der von Ihnen verarbeiteten Daten zu gewährleisten – auch wenn diese sich im Rechenzentrum eines anderen Anbieters befinden. Aus diesem Grund müssen Sie sicherstellen, dass Ihr cloud über die richtigen Sicherheitsvorkehrungen verfügt und Ihnen garantieren kann, dass er Ihre Daten – und die Ihrer Kunden – mit einem Höchstmaß an Sicherheit behandelt.

Dies ist wichtiger denn je, da so viele Unternehmen damit begonnen haben, ihre geschäftskritischen Anwendungen in die cloud zu migrieren. Die gängigste Methode hierfür ist das sogenannte „Lift-and-Shift“-Verfahren. Dabei werden bestehende Anwendungen vollständig aktualisiert, auf die neuesten und besten Versionen aufgerüstet und anschließend vollständig auf AWS, Google, SAP, Oracle, Azure usw. portiert.

Sobald das erledigt ist, verfügen Sie über dieselbe Technologie, die Sie bisher genutzt haben, und Ihre Geschäftsprozesse bleiben weitgehend unverändert. Der einzige Unterschied besteht darin, dass das System nun an einem anderen Ort läuft. Und da es sich nicht mehr in Ihrer „Festung“, also Ihrem internen Rechenzentrum, und hinter Ihrer Firewall befindet, kann dies mehr als nur ein wenig beunruhigend sein. Deshalb müssen Sie jetzt, auch wenn Sie vielleicht denselben Technologie-Stack nutzen, strenge Kontrollen einrichten, um sicherzustellen, dass diese Anwendungen innerhalb der von Ihnen definierten Sicherheitsgrenzen bleiben.

Nachdem dieser erste große Schritt abgeschlossen ist, folgen der zweite und dritte Schritt der cloud : die Nutzung von Software-as-a-Service (SaaS) und platform(PaaS).

Was ist der Vorteil der Einführung von SaaS (in Kombination mit PaaS)? Einer der größten Vorteile ist die Möglichkeit, viele Geschäftsprozesse zu standardisieren. Nehmen wir zum Beispiel Reisekosten. Es gibt in der Regel kaum Unterschiede zwischen der Art und Weise, wie ein Fortune-10-Unternehmen seine Reisekostenabläufe handhabt, und der Vorgehensweise der meisten anderen Unternehmen. Auch wenn es gewisse Komplexitäten geben kann, lassen sich Reisekosten in den meisten Fällen leicht über eine SaaS-Lösung standardisieren (haben Sie schon einmal von SAP Concur gehört?).

Wenn es jedoch um komplexere Prozesse geht, wie beispielsweise in der Fertigung oder im Finanzwesen (insbesondere in Großunternehmen), kann die Umstellung auf eine SaaS-Lösung schwieriger sein. Der Grund dafür ist, dass man mit der Einführung von SaaS auch Standardprozesse übernimmt, und diese Standardisierung kann einschränkend wirken – insbesondere für multinationale Unternehmen, die Flexibilität benötigen, um diese Prozesse an regionsspezifische Anforderungen anzupassen. Daher könnte es für Ihr Unternehmen am besten sein, solche Anwendungen weiterhin vor Ort zu betreiben.

Deshalb sehen wir viele hybride Szenarien, die teils aus On-Premise-Lösungen, teils aus Infrastructure-as-a-Service-Lösungen (IaaS) und teils aus SaaS-Lösungen bestehen. Eine Möglichkeit für Unternehmen, mehr Flexibilität als bei einer reinen SaaS-Implementierung zu erreichen, besteht darin, sich für cloud weitere cloud zu entscheiden, die als platform(PaaS) bekannt ist. Letztendlich bedeuten Geschäftsanwendungen in der cloud für die meisten Unternehmen also ein vollständig hybrides Szenario, bei dem man von allem etwas in verschiedenen cloud nutzt. Denn jedes cloud bietet Ihnen die Flexibilität und die Funktionen, die Sie benötigen, um diese Geschäftsprozesse tatsächlich so auszuführen, wie es für Ihr Unternehmen am besten funktioniert.

Sobald Sie entschieden haben, welche cloud für welche Anwendungen in Ihrem Unternehmen am besten geeignet sind, stellt sich die entscheidende Frage: Wie sichern Sie Ihre Geschäftsanwendungen in der cloud? Die Gewährleistung von Sicherheit und Compliance für diese verschiedenen cloud ist keine leichte Aufgabe, aber durchaus machbar.

Aus Sicht von Onapsis bieten wir Kunden, die auf die cloud umsteigen und dort ihre Systeme betreiben, umfassende Transparenz in Bezug auf Sicherheit und Compliance – unabhängig davon, welches cloud sie nutzen. Darüber hinaus entwickeln und erweitern wir unsere Funktionen kontinuierlich, um noch mehr Transparenz in anderen cloud zu bieten, die nicht speziell auf SAP® NetWeaver®, SAP HANA® oder SAP JAVA basieren, sondern auf völlig anderen Technologien. In jedem Fall schützen wir dieselben vertrauten Geschäftsprozesse.

Im zweiten Teil dieser Reihe befasse ich mich eingehender mit den Herausforderungen, die mit der Gewährleistung von effektiver Sicherheit und Compliance bei verschiedenen cloud verbunden sind. 

Onapsis-Ressourcen anzeigen
Stichworte
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen