Cloud-Transformation

So gelingt die sichere Migration in die Cloud

05.03.2021 von Eckhard Schaumann
In den vergangenen Jahren hat sich Cloud-Computing für viele Unternehmen zu einem festen Bestandteil der IT-Strategie entwickelt. Die Cloud verspricht niedrigere Kosten, mehr Agilität, Skalierbarkeit und Flexibilität. Allerdings stellt sie Unternehmen auch vor Herausforderungen – insbesondere die Gewährleistung der Sicherheit.
In den vergangenen Jahren hat sich Cloud-Computing für viele Unternehmen zu einem festen Bestandteil der IT-Strategie entwickelt.
Foto: LeoWolfert - shutterstock.com

Die Cloud-Transformation ist bei vielen Organisationen in vollem Gang - dabei setzt ein Großteil der Unternehmen auf hybride Modelle: 42 Prozent der von uns Befragten nutzen aktuell eine hybride IT-Architektur, 15 Prozent befinden sich im Prozess der Implementierung einer solchen und weitere 15 Prozent planen, in Zukunft eine hybride Architektur einzusetzen. Unternehmen, die bislang auf Cloud-Dienste verzichten, tun dies aufgrund von Sicherheitsbedenken. Wie gelingt also die sichere Einführung der Cloud?

Cloud Provider sichert die Infrastruktur, Kunde sorgt für Daten-Verschlüsselung

Anbieter von Cloud-Diensten kennen die Anforderungen, die an Sicherheitsteams gestellt werden, und wissen, dass die Sicherheit oft ein Hindernis für die Einführung der Cloud darstellt. Beliebt ist daher der Ansatz der geteilten Verantwortung. Hierbei werden die Verantwortlichkeiten auf Kunde und Dienstleister aufgeteilt. Dabei trägt der Anbieter des jeweiligen Cloud-Dienstes beispielsweise die Verantwortung für die Infrastruktur und der Kunde verantwortet die Erkennung riskanter Konfigurationen.

Lesetipp: Die 5 häufigsten Multi-Cloud-Mythen

Die Annahme, dass sich der Cloud Provider komplett um die Sicherheit kümmert, trifft nicht vollständig zu. Er kümmert sich zwar um den Betrieb und die Instandhaltung der Infrastruktur und richtet hierbei wichtige Security-Funktionen ein, allerdings ist der Kunde für die Daten und Systeme in der Cloud selbst verantwortlich. Erfahrene Teams wissen, dass der Bereich Identitätsmanagement einschließlich Multi-Faktor-Authentifizierung und Verschlüsselung im Aufgabenbereich des Unternehmens selbst liegt.

Gefordert ist dediziertes Cloud-Security-Wissen

Im Zuge der Motivation von Sicherheitsteams, Cloud-Transformations-Projekte besser unterstützen zu wollen, wächst auch das Verständnis, dass diese Teams ihre Fähigkeiten und ihr Fachwissen zu Cloud-Plattformen und Anwendungssicherheit erweitern müssen. Viele Organisationen fordern dieses Wissen innerhalb der bestehenden Team-Strukturen ein, anstatt neue Teams zu bilden. Das ermöglicht es ihnen, Cloud-Sicherheit als eine weitere Domäne in bestehende Prozesse wie Risikomanagement, Reaktion auf IT-Sicherheitsvorfälle und Sicherheitsarchitektur aufzunehmen. Der Schwerpunkt liegt hier verstärkt auf dem Identitäts- und Zugriffsmanagement, auf der Verschlüsselung und auf Compliance-Aspekten.

Organisationen, die ihre Cloud-Transformation absichern wollen, sollten sich überlegen, eine Vielzahl von Initiativen auf verschiedenen Ebenen innerhalb der Organisation und über mehrere technische und organisatorische Dimensionen hinweg in Betracht zu ziehen:

Die sichere Cloud - technisch machbar

Die sichere Cloud-Transformation sollte im Rahmen bestehender Prozesse erfolgen, wobei die Bemühungen auf der Verbesserung bestehender Prozesse, Technologien und auch der Mitarbeiterskills ausgerichtet sein sollten - nur so können Organisationen schnell auf die aktuellen technologischen Anforderungen reagieren. Und wer nicht jetzt reagiert, wird abgehängt, denn Cloud-Lösungen bieten einen echten Wettbewerbsvorteil.

Lesetipp: Wie RSA digitale Zugänge absichert