Tipps zur Absicherung von Cloud-ERP-Systemen
Datenverluste, gestohlene Benutzerdaten, geknackte Schnittstellen, ausgenutzte Systemschwachstellen, Account Hijacking und kriminelle Insider: Das sind nur einige der von der Cloud Security Alliance (CSA) gelisteten IT-Sicherheitsvorfällen, die für die Daten in der Cloud brandgefährlich werden können. Besonders folgenreich kann dies sein, wenn davon Cloud-ERP-Systeme betroffen sind, da kritische Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.
Hybridarchitektur bevorzugt
Speziell an Cloud-ERP-Kunden wendet sich das neue CSA-Whitepaper „Die 20 wichtigsten Kontrollen für Cloud-ERP-Kunden“. Die CSA ist eine internationale Non-Profit-Organisation, die eine Reihe von Forschungsinitiativen betreibt. Sie stellt auf dieser Basis Whitepaper, Werkzeuge und Berichte bereit, die Kunden und Providern bei der Absicherung von Services im Bereich Cloud Computing helfen sollen. Der jüngste Leitfaden adressiert die wachsende Zahl an Unternehmen, die eine Cloud-ERP-Migration planen oder bereits durchgeführt haben. Dabei lagern die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud mit unterschiedlichen Cloud-Services-Modellen aus. Einer IDC-Studie zufolge bestehen Ende 2019 über 40 Prozent der neuen ERP-Installationen aus einem Ökosystem von Apps aus internen Ressourcen, Dienstleistern, Technikanbietern und anderen Partnern.
Das CSA-Whitepaper stellt die wichtigsten IT-Anwendungssteuerungen vor, um eine vollständige und exakte Datenverarbeitung innerhalb eines cloudbasierten Systems sicherzustellen. Zugleich sollen der Schutz und die Sicherheit von Daten gewährleistet werden, die zwischen mehreren Anwendungen übertragen werden. Den Schwerpunkt bilden die folgenden sicherheitsrelevanten Bereiche:
- Cloud-ERP-Nutzer: Die Steuerungen dieses Bereichs sollen die zahlreichen unterschiedlichen Nutzer einer Cloud-ERP-Anwendung schützen, die mit individuellen Zugriffsanforderungen und -berechtigungen ausgestattet sind.
- Cloud-ERP-Anwendung: Dieser Bereich umfasst Steuerungen zur Absicherung der hochkomplexen Technologie und Funktionalität von Cloud-ERP-Anwendungen.
- Integrationen: Diese Steuerungen dienen vorrangig dem Schutz der Integrationen von Cloud-ERP-Anwendungen, die in der Regel mit vielen anderen Anwendungen und Datenquellen verbunden sind.
- Cloud-ERP-Daten: In Cloud-ERP-Anwendungen werden hochsensible und stark regulierte Daten gespeichert und verarbeitet. Daher fokussiert sich dieser Bereich auf Kontrollen zum Schutz der Datenzugriffe.
- Geschäftsprozesse: Diese Steuerungen senken die Risiken für die Prozesse der Cloud-ERP-Anwendungen, die zu den komplexesten und wichtigsten Abläufen in einem Unternehmen zählen.
Alle im CSA-Whitepaper beschriebenen Steuerungen richten sich an der CSA Cloud Controls Matrix (CCM) aus. Dieses Kontroll-Framework wurde eigens entwickelt, um Sicherheitsprinzipen für Cloud-Provider bereitzustellen und potenzielle Cloud-Kunden bei der Bewertung des Sicherheitsrisikos eines Cloud-Anbieters zu unterstützen. Die CCM beruht auf den Konzepten der CSA zur Sicherung von Cloud Computing, berücksichtigt aber auch verschiedene branchenspezifische Sicherheitsstandards, Regulierungsvorschriften und andere rechtliche Rahmen, die Unternehmen zu beachten haben: darunter ISO 27001/27002, PCI DDS, HIPAA und COBIT.
Tipps für Kunden und Provider
Jede der 20 Steuerungen im CSA-Whitepaper ist in die folgenden Abschnitte unterteilt:
- Sicherheitsrelevanter Bereich
- Steuerungs-ID (eindeutiger Name der Kontrolle)
- Steuerungsbeschreibung
- Steuerungsziele
- Bedrohungen und Risiken
- Zugehörige CCM-Steuerungen (ID der Steuerung gemäß Definition in der CCM)
Zwei Beispiele mögen dies verdeutlichen:
USR05 – Funktionstrennung: verhindert, dass einem Anwender unvereinbare Funktionen zugeordnet und damit betrügerische Aktivitäten begünstigt werden. APP06 – Sichere ERP-Erweiterungen: verhindert, dass bei Erweiterungen der ERP-Funktionalität neue Risiken oder Schwachstellen in den Code gelangen.
Die Steuerungen sind auf unterschiedliche ERP-Cloud-Services-Modelle anwendbar, wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS). Je nach Services-Modell trägt entweder der Cloud-Kunde oder der Cloud-Provider die Verantwortung dafür. Ist der Kunde zuständig, gibt das CSA-Whitepaper zusätzlich einen Hinweis, ob die Steuerungen von seiner IT- oder der Fachabteilung zu implementieren und zu verwalten sind.
Tiefe Einblicke auf DSAG-Technologietagen
Die „Sichere Migration in die Cloud“ ist auch Thema unseres Expertenbeitrags auf den DSAG-Technolgietagen. Kommen Sie uns besuchen uns lassen Sie sich von unserem Chief Evangelisten Frederik Weidemann in die Welt der Cloud-Migration entführen.
12. Februar – 9.30 – 10.15 Uhr, Slot 1, A | V071 | Cloud Security
In diesem Vortrag zeigen wir:
- In diesem Vortrag zeigen wir:
- Wie Sie eine sichere Migration erreichen
- Wie Sie Sicherheit als „enabler“ nutzen können
- Welche Tätigkeiten und Best Practices Sie umgehend umsetzen sollten
- Mit welchen Mitteln Sie Ihre Cloud automatisiert auf Sicherheit und Compliance überwachen sollten