Vorbereitung Ihrer geschäftskritischen Anwendungen auf die Cloud

Von:

26. Mai 2020

Der cloud ist nicht aufzuhalten. Immer mehr Unternehmen verlagern ihre geschäftskritischen On-Premise-Anwendungen in die cloud setzen zunehmend auf native cloud wie SuccessFactors, Salesforce oder Workday.

Natürlich haben Unternehmen unterschiedliche Gründe für den Umstieg auf die cloud. Möglicherweise möchten sie bei der Einführung neuer Geschäftsfunktionen flexibler werden, neue Wachstumschancen nutzen oder einfach ihre IT-Gesamtkosten senken. Alle diese Gründe sind berechtigt, doch in Zeiten von Datenschutz, Compliance und weltweiten Cyberbedrohungen stellt sich die Frage: „Wie kann ich sicher in die cloud wechseln cloud einen sicheren Betrieb in der cloud gewährleisten?“

Um es klar zu sagen: Nur weil Unternehmen auf die cloud umsteigen, bedeutet cloud , dass sie auch alle sicherheitsrelevanten Verantwortlichkeiten auf den cloud abwälzen können. Interessanterweise ist dies eines der häufigsten Missverständnisse, wenn es um das Verständnis cloud geht .

Microsoft hat ein sehr übersichtliches und leicht verständliches Modell zur geteilten Verantwortung veröffentlicht. Selbstverständlich hängen Ihre Pflichten als Kunde von der von Ihnen gewählten cloud ab.

Sichere Migration in die cloud

Bei Anwendungen und Netzwerksteuerungen beispielsweise geht die Verantwortung auf den cloud über, sobald Sie sich in einem Software-as-a-Service-Szenario befinden.

Bereiche wie das physische Hosting und die physischen Netzwerke fallen ebenfalls in den Verantwortungsbereich des cloud , unabhängig davon, in welchem cloud (SaaS, PaaS, IaaS) Sie sich befinden.

Werfen wir nun einen Blick auf die Aufgaben, die in Ihren Zuständigkeitsbereich fallen.

Sie sind verantwortlich für: 

  • Ihre Geschäftsprozesse, Daten, Geräte, Konten und Identitäten – ganz gleich, in welchem cloud Sie sich befinden. 
  • Die Einhaltung der gesetzlichen Vorschriften und Ihrer eigenen internen Compliance-Vorgaben ist von entscheidender Bedeutung. Nur weil Sie einen cloud nutzen, bedeutet das nicht zwangsläufig, dass Sie sich nicht um grundlegende Sicherheitsmaßnahmen kümmern müssen.

Ist die Nutzung von Cloud sicherer als die von lokalen Anwendungen?

Die kurze Antwort lautet: Die Nutzung von cloud allein bedeutet nicht automatisch mehr Sicherheit. Es gibt nach wie vor zahlreiche Angriffsmöglichkeiten. Zum Beispiel:

1. Ihre Cloud Ihre DMZ

Wenn man ausschließlich lokal arbeitet, verfügt man in der Regel über eine „Demilitarized Zone“ (kurz DMZ). Die DMZ umfasst Anwendungen oder Dienste wie Webserver, Mailserver, Authentifizierungsserver oder Anwendungsgateways. Nur auf diese Dienste können Benutzer über das Internet zugreifen. Da die DMZ vom internen Unternehmensnetzwerk getrennt ist, können externe Benutzer nicht auf interne Ressourcen zugreifen. Das private Netzwerk bleibt so vor Angriffen über das Internet geschützt.

Wenn Sie Ihre kritischen Daten nun in die cloud verlagern, cloud die cloud Ihrer DMZ. Jeder, der Zugriff auf Ihren cloud hat, kann mit Ihren Daten Schaden anrichten.

2. Kontoübernahme

Jeder hat schon einmal von Phishing oder dem Hacken von Konten durch einfaches Erraten von Passwörtern gehört. Wenn sich Geschäftsanwendungen nicht innerhalb Ihrer lokalen Netzwerke befinden, eröffnet dies einen völlig neuen Angriffsweg von außen

3. Unsichere APIs

Cloud stellen eine Reihe von Schnittstellen oder APIs bereit, über die Kunden den cloud verwalten und mit ihm interagieren können.
Selbstverständlich müssen diese APIs durch grundlegende Sicherheitsmaßnahmen wie Authentifizierung und control geschützt werden. Sind sie nicht gesichert, sind Sie anfällig für Angriffe.

4. Denial-of-Service-Angriff

Dagegen kann man sich kaum schützen. Hacker versuchen, Ihren Dienst lahmzulegen. Man kann viel Geld in die Absicherung gegen Denial-of-Service-Angriffe investieren, doch es scheint, als fänden Angreifer immer wieder neue Wege, ein System zum Absturz zu bringen.

5. Bedrohungen durch Insider

Interne Bedrohungen sind in lokalen Umgebungen ebenso gefährlich wie in der cloud. Die Frage ist: Werden alle Aktivitäten und Ereignisse in der cloud protokolliert? Bietet der Anbieter überhaupt Protokollierungsfunktionen in vollem Umfang an, damit Sie betrügerische Vorgänge erkennen können?

6. Software und Frameworks

Und natürlich die Sicherheitslücken der cloud und -Plattformen selbst. Werden diese immer gepatcht? Führt jemand regelmäßig Penetrationstests durch? Werden die Frameworks und Open-Source-Tools gepflegt und gesichert? Oft muss man darauf vertrauen, dass der Anbieter all diese Dinge im Blick behält.

Was können Sie jetzt tun, und wo sollten Sie anfangen?

Um sich ein umfassendes Bild davon zu machen, worauf es bei cloud am meisten ankommt, können Sie sich an dem sogenannten Cyber-Framework orientieren, das vom National Institute of Standards and Technology herausgegeben wurde. Kurz gesagt bietet das Cyber-Framework eine Reihe von Maßnahmen zum Management von Cybersicherheitsrisiken. Für dieses Framework müssen Sie die folgenden fünf Funktionen implementieren:

  • Ermitteln: Sie können Ihre geschäftskritischen Anwendungen benennen, unabhängig davon, ob diese vor Ort oder in der cloud betrieben werden. Diese Anwendungen müssen bei Ihren Cybersicherheitsmaßnahmen vorrangig behandelt werden.
  • Sicherheit: Sie verfügen über die erforderlichen Sicherheitsvorkehrungen für Ihre geschäftskritischen Anwendungen, beispielsweise eine angemessene Control.
  • Erkennen: Sie sind in der Lage, Angriffe und Anomalien zu erkennen. Daher benötigen Sie oder Ihr cloud die richtigen Tools und Prozesse, um Angriffe zu erkennen. 
  • Reagieren: Sie oder Ihr cloud können angemessen auf einen Vorfall reagieren, beispielsweise durch Abhilfemaßnahmen und Verbesserungen.
  • Wiederherstellung: Sie können alle Funktionen oder Dienste, die durch einen Cybersicherheitsvorfall beeinträchtigt wurden, wiederherstellen und reparieren. 

Empfehlungen für den Einstieg in Cloud

Es gibt viele verschiedene Möglichkeiten, das Cyber-Framework zu fördern und umzusetzen, zum Beispiel:

  • Durch den Einsatz zusätzlicher cloud Security Brokers, die Ihnen dabei helfen, alle Aktivitäten zu überwachen und Sicherheitsrichtlinien durchzusetzen,
  • Zoning bzw. IP-Whitelisting, sodass nur vordefinierte IP-Adressen auf Ihre cloud zugreifen können,
  • Die Umsetzung von Governance-, Risiko- und Compliance-Modellen,
  • Mehrfaktorauthentifizierung
  • Oder der Einsatz von Systemen zum Management von Sicherheitsinformationen und -ereignissen

Wenn Sie weitere praktische Tipps zum Schutz Ihrer lokalen oder cloud benötigen, kann Onapsis Ihnen helfen. Lassen Sie uns darüber sprechen, wie Sie sich cloud vorbereiten können, während Sie damit beginnen, Ihre geschäftskritischsten Anwendungen in die cloud zu verlagern.

Folgen Sie Onapsis auf LinkedIn

Stichworte, , , ,
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen