Wichtige Aspekte für die Sicherheit und Compliance geschäftskritischer Cloud

Von:

27. April 2021

Dieser Artikel erschien ursprünglich auf Cloud .

Sicherheit und Compliance bei Cloud gewährleisten

Berichten zufolge verlegten bereits cloud der Pandemie fast 70 % der Unternehmen geschäftskritische Funktionen und Prozesse in die cloud . In der heutigen „neuen Normalität“ ist diese Zahl sprunghaft angestiegen. Unternehmen setzen zunehmend auf geschäftskritische cloud wie SAP SuccessFactors und Salesforce, um Geschäftspraktiken zu modernisieren, Prozesse zu optimieren und mehr Flexibilität zu bieten, um sich an Initiativen zum ortsunabhängigen Arbeiten anzupassen.

Um jedoch den größtmöglichen Nutzen aus diesen Anwendungen zu ziehen, die über SaaS-, PaaS- und cloud bereitgestellt werden, integrieren und vernetzen Unternehmen diese Anwendungen häufig, um einen nahtlosen Informationsaustausch zu gewährleisten. Diese Verbindungen können ein komplexes Geflecht bilden, das es für IT- und Sicherheitsteams schwierig macht , sich ein klares Bild von den Risiken zu machen.

Angesichts der mangelnden Transparenz ist es durchaus denkbar, dass ein Risiko, das in einer Anwendung durch Fehlkonfigurationen, unzulässige Benutzerrechte oder übersehene Sicherheitslücken entsteht, das gesamte Unternehmen gefährden kann. Um die Sicherheit und Compliance der Unternehmensanwendungen (und der darin gespeicherten sensiblen Daten) zu gewährleisten, müssen Unternehmen zunächst die Risiken erkennen, denen sie ausgesetzt sind, und sich dann kritische Fragen stellen, um sicherzustellen, dass ihr Geschäft geschützt ist.

Sicherheitsbedenken in der Welt der Cloud SaaS-Geschäftsanwendungen

Um ein umfassendes Verständnis dafür zu bekommen, wie Risiken aussehen, ist es hilfreich, sich alltägliche Beispiele für typische Geschäftsanwendungen anzusehen. Betrachten wir zum Beispiel beliebte Lösungen wie SAP SuccessFactors Salesforce.

SAP SuccessFactors ein führender Anbieter von cloud für cloud , und weltweit nutzen mehr als 150.000 Unternehmen Salesforce. Diese beliebten, geschäftskritischen SaaS-Anwendungen verarbeiten täglich Millionen von Datenpunkten zu Mitarbeitern, Kunden, Finanzen und anderen sensiblen Themen. Zwar verfügt jedes Angebot über integrierte Sicherheitsfunktionen, doch werden dabei die Art und Weise, wie Unternehmen Anwendungen bereitstellen, betreiben und integrieren, nicht berücksichtigt. Außerdem bieten sie nicht die Tiefe und Breite an Einblicken, die erforderlich sind, um Risiken zu analysieren und zu beheben, die sich auf andere Prozesse und Anwendungen auswirken könnten – vom Kernsystem bis zur cloud.

Beispielsweise berücksichtigen beide Anwendungen die folgenden Fragen nicht: Was passiert, wenn System- und Sicherheitsadministratoren mehr sehen und bearbeiten können, als ihnen zusteht? Was passiert, wenn Mitarbeiter unberechtigte Benutzer anlegen und diesen erweiterte Berechtigungen zuweisen können? Was passiert, wenn Benutzer als Sicherheitsadministratoren agieren können? Was passiert, wenn ein Benutzer schädliche Inhalte hochlädt?

Werden diese Fragen nicht beantwortet, kann dies zu Sicherheits-, Datenschutz- und Betrugsproblemen führen, die unter anderem auf übermäßige Berechtigungen, mangelnde Aufgabentrennung, Identitätsdiebstahl, Fehlkonfigurationen und fehlerhafte Integrationen zurückzuführen sind.

Ohne diese Einblicke ist es für SuccessFactors schwierig festzustellen, ob sichere Systeme von Drittanbietern in Ihre HCM-Instanz integriert sind. Beschädigte Anwendungen von Drittanbietern könnten Dateien abfangen und verändern oder sogar versuchen, bestehende Verbindungen zu nutzen, um in Ihre SuccessFactors-Instanz einzudringen und an sensible Informationen zu Mitarbeitern, Gehaltsabrechnungen und Einstellungsrichtlinien zu gelangen.

Darüber hinaus könnte es passieren, dass in einer Lösung wie Salesforce privilegierte Zugriffsrechte aus den Augen verloren werden, was dazu führen könnte, dass ein unbefugter Nutzer Zugriff auf sensible Kunden- und Vertriebsdaten sowie Preis- und Finanzinformationen erhält. Würde ein Angreifer dies tun, könnte er sogar Daten in großem Umfang exportieren, was schwerwiegende Datenschutzbedenken (man denke an die DSGVO) hervorrufen würde, die sich nachteilig auf den Gewinn und die Marke eines Unternehmens auswirken können.

Um diesen Risiken entgegenzuwirken, ist es an der Zeit, dass IT- und Sicherheitsteams einige kritische Fragen stellen, um die Sicherheit dieser robusten Lösungen zu gewährleisten.

Wichtige Fragen zu Sicherheit und Compliance, die es zu berücksichtigen gilt

Jedes IT-, Sicherheits- und Compliance-Team, das sich mit einem komplexen, vernetzten Anwendungsökosystem befasst, sollte sich die Zeit nehmen, diese drei zentralen Fragen zu stellen, um sicherzustellen, dass es versteht, worum es geht und wie Risiken gemindert werden können:

  • Wie können wir Fehlkonfigurationen und Integrationsrisiken minimieren? Der erste Schritt zur Eindämmung dieser Risiken besteht darin, die zugrunde liegende Technologie jeder geschäftskritischen Anwendung zu verstehen. Viele Systeme sind komplexe Plattformen, die im Laufe der Zeit organisch und durch Übernahmen entstanden sind. Ein Verständnis dafür, wie Anwendungen intern und im Zusammenspiel mit anderen Anwendungen funktionieren, kann Aufschluss darüber geben, wo Sicherheitsrisiken auftreten könnten. Der nächste Schritt besteht darin, eine Asset-Karte zu erstellen, die aufzeigt, wo sich cloud On-Premises-Anwendungen überschneiden. Dies sorgt für mehr Klarheit darüber, wie und wohin Daten fließen und wo potenzielle Sicherheitslücken bestehen.
  • Wie können wir den Überblick über alle unsere Benutzerrechte behalten? Da manche Prozesse mehrere Anwendungen umfassen, ist die Möglichkeit, Benutzer miteinander in Verbindung zu bringen und zu verfolgen, entscheidend für eine wirksame Aufgabentrennung. Über die Befolgung von Best Practices für Benutzerrechte hinaus sollten Unternehmen Technologien in Betracht ziehen, die ungewöhnliches Benutzerverhalten erfassen und melden. Sollte beispielsweise ein Praktikant Zugriff auf die Gehaltsabrechnung haben? Nein. Diese Tools können Alarm auslösen, wenn Berechtigungen ohne Genehmigung erweitert wurden, sodass Sicherheitsteams schnell handeln können, bevor böswillige Vorfälle eintreten.
  • Was ist der Schlüssel zur Gewährleistung der Compliance von Systemen und Daten? Audit-Teams haben oft Schwierigkeiten, eine einzige verlässliche Informationsquelle für Branchenvorschriften zu finden, da mehrere Teams SaaS-Anwendungen nutzen und jede Anwendung in der Regel mit anderen Systemen verbunden ist. Hinzu kommt, dass sie die Compliance, wenn sie diese überhaupt überprüfen können, oft nur zu einem bestimmten Zeitpunkt feststellen können. Automatisierung ist der Schlüssel zur Vereinfachung dieser mühsamen Aufgaben. Eine Lösung der nächsten Generation sollte die Verbindungen zwischen Anwendungen analysieren und Fehler aufzeigen – wo sie entstehen und wie sie behoben werden können, um die Audit-Anforderungen zu erfüllen. Dies spart Zeit und Geld und versetzt Unternehmen in einen seltenen Zustand der „kontinuierlichen Compliance“ anstelle einer einmaligen Überprüfung zu einem bestimmten Zeitpunkt.

SaaS- und cloud revolutionieren die Arbeitsgeschwindigkeit und die Arbeitsweise von Unternehmen weltweit. Es ist jedoch unerlässlich, die Risiken zu verstehen, die Unternehmen bei der Einführung dieser leistungsstarken, geschäftskritischen Anwendungen eingehen, wenn diese nicht ordnungsgemäß verwaltet werden. Zwar sind Flexibilitätsgewinne wichtig, doch können Fehlkonfigurationen, unbefugte oder übermäßige Zugriffsrechte sowie andere Schwachstellen Sicherheitsverletzungen verursachen, die ein Unternehmen vollständig aus der Bahn werfen können. Unternehmen sollten sich weiterhin diese kritischen Fragen stellen, bewährte Sicherheitsverfahren befolgen und mit Experten zusammenarbeiten, um häufige Fallstricke bei der Anwendungssicherheit und Compliance zu vermeiden.

Weitere Ressourcen für die Sicherheit und Compliance Ihrer geschäftskritischen Cloud

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen