Tipps zur Absicherung von Cloud

Von:

29. Januar 2020

Datenverluste, gestohlene Benutzerdaten, gehackte Schnittstellen, ausgenutzte Systemschwachstellen, Account-Hijacking und kriminelle Insider: Das sind nur einige der von der Cloud Alliance (CSA) aufgeführten IT-Sicherheitsvorfälle, die für die Daten in der Cloud werden können. Besonders folgenschwer kann dies sein, wenn Cloud davon betroffen sind, da kritische Geschäftsanwendungen als das Herzstück der Unternehmens-IT gelten.

Hybridarchitektur wird bevorzugt

Das neueWhitepaper 20 wichtigsten Kontrollen für Cloud CloudERP-Kunden“ richtet sich speziell an Cloud. Die CSA ist eine internationale Non-Profit-Organisation, die eine Reihe von Forschungsinitiativen betreibt. Auf dieser Grundlage stellt sie Whitepaper, Tools und Berichte bereit, die Kunden und Anbietern bei der Absicherung von Services im Bereich Cloud helfen sollen. Der jüngste Leitfaden richtet sich an die wachsende Zahl von Unternehmen, die eine Cloud planen oder bereits durchgeführt haben. Dabei lagern die meisten Organisationen ihre geschäftskritischen Anwendungen in eine Hybridarchitektur aus Private und Public Cloud unterschiedlichen Cloud aus. Einer IDC-Studie zufolge bestehen Ende 2019 über 40 Prozent der neuen ERP-Installationen aus einem Ökosystem von Apps aus internen Ressourcen, Dienstleistern, Technikanbietern und anderen Partnern.

DasWhitepaper die wichtigsten IT-Anwendungssteuerungen vor, um eine vollständige und exakte Datenverarbeitung innerhalb eines cloudbasierten Systems sicherzustellen. Gleichzeitig sollen der Schutz und die Sicherheit von Daten gewährleistet werden, die zwischen mehreren Anwendungen übertragen werden. Im Mittelpunkt stehen dabei die folgenden sicherheitsrelevanten Bereiche:  

  • Cloud: Die Steuerungsmechanismen in diesem Bereich sollen die zahlreichen unterschiedlichen Nutzer einer Cloud schützen, die über individuelle Zugriffsanforderungen und -berechtigungen verfügen.
  • Cloud: Dieser Bereich umfasst Kontrollmechanismen zur Absicherung der hochkomplexen Technologie und Funktionalität von Cloud.
  • Integrationen: Diese Steuerungen dienen in erster Linie dem Schutz der Integrationen von Cloud, die in der Regel mit vielen anderen Anwendungen und Datenquellen verbunden sind.
  • Cloud: In Cloud werden hochsensible und streng regulierte Daten gespeichert und verarbeitet. Daher konzentriert sich dieser Bereich auf Kontrollmaßnahmen zum Schutz des Datenzugriffs.
  • Geschäftsprozesse: Diese Steuerungsmechanismen verringern die Risiken für die Prozesse der Cloud, die zu den komplexesten und wichtigsten Abläufen in einem Unternehmen zählen.

Alle imWhitepaper Kontrollmaßnahmen orientieren sich an der CSA Cloud Matrix (CCM). Dieses Kontroll-Framework wurde eigens entwickelt, um Sicherheitsgrundsätze für Cloud bereitzustellen und potenzielle Cloud bei der Bewertung des Sicherheitsrisikos eines Cloud zu unterstützen. Die CCM basiert auf den CSA-Konzepten zur Sicherung des Cloud , berücksichtigt jedoch auch verschiedene branchenspezifische Sicherheitsstandards, regulatorische Vorschriften und andere rechtliche Rahmenbedingungen, die Unternehmen beachten müssen, darunter ISO 27001/27002, PCI DSS, HIPAA und COBIT.

Tipps für Kunden und Anbieter

Jede der 20 Steuerungen imWhitepaper in die folgenden Abschnitte unterteilt:

  • Sicherheitsrelevanter Bereich
  • Steuerungs-ID (eindeutiger Name des Steuerelements)
  • Steuerungsbeschreibung
  • Steuerungsziele
  • Bedrohungen und Risiken
  • Zugehörige CCM-Steuerungen (ID der Steuerung gemäß Definition in der CCM)

Zwei Beispiele sollen dies verdeutlichen:

USR05 – Funktionstrennung: Verhindert, dass einem Benutzer unvereinbare Funktionen zugewiesen werden und dadurch betrügerische Aktivitäten begünstigt werden. APP06 – Sichere ERP-Erweiterungen: Verhindert, dass bei Erweiterungen der ERP-Funktionalität neue Risiken oder Schwachstellen in den Code gelangen.

Die Steuerungen lassen sich auf verschiedeneCloud anwenden, wie Infrastructure as a Service (IaaS), Platform a Service (PaaS) oder Software as a Service (SaaS). Je nach Services-Modell liegt die Verantwortung dafür entweder beim Cloud oder beim Cloud. Ist der Kunde zuständig, gibt dasWhitepaper einen Hinweis darauf, ob die Steuerungen von seiner IT- oder der Fachabteilung zu implementieren und zu verwalten sind.

Tiefe Einblicke auf den DSAG-Technologietagen

Das Thema „Sichere Migration in die Cloudsteht auch im Mittelpunkt unseres Expertenbeitrags auf den DSAG-Technologietagen. Besuchen Sie uns und lassen Sie sich von unserem Chief Evangelist Frederik Weidemann in die Welt der Cloud entführen.

12. Februar – 9.30 – 10.15 Uhr, Slot 1, A | V071 | Cloud

In diesem Vortrag zeigen wir:

  • In diesem Vortrag zeigen wir:
  • So sorgen Sie für eine sichere Migration
  • Wie Sie Sicherheit als „Enabler“ nutzen können
  • Welche Maßnahmen und bewährten Verfahren Sie umgehend umsetzen sollten
  • Mit welchen Mitteln Sie Ihre Cloud auf Sicherheit und Compliance überwachen sollten
Stichworte, , , , , ,
Über den Autor

Onapsis

Onapsis schützt die geschäftskritischen Anwendungen, die die Weltwirtschaft am Laufen halten. Als Marktführer im Bereich ERP-Cybersicherheit bieten wir die umfassendste Lösung für die Absicherung von SAP- und Oracle-Anwendungen. Unsere threat intelligence auf dem Onapsis Research Labs, dem weltweit führenden Team von SAP-Sicherheitsforschern, das sich der Aufdeckung kritischer Schwachstellen und Bedrohungen widmet, die geschäftskritische Systeme betreffen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen