Die richtige Cloud-Strategie
Wie viel Agilität braucht Ihr Unternehmen? Und wie viel Kontrolle über die eigenen Daten? Es ist nicht einfach, digitale Souveränität und die cin Einklang zu bringen. Zero Trust und eine hybride, risikobasierte Cloud-Strategie helfen dabei.
Die Cloud gilt als wichtiger Motor der Digitalisierung. Unternehmen brauchen sie, um neue Produkte und Services schneller auf den Markt zu bringen, flexibel zu skalieren und IT-Kosten zu sparen. Aber es gibt auch eine Kehrseite: Indem man Workloads in die Cloud verschiebt, verliert man ein Stück weit die Kontrolle. Das kann gefährlich werden. Denn Daten und Technologie bilden heute die Basis für den Geschäftserfolg. Sie zu kontrollieren ist entscheidend für die eigene digitale Souveränität. In der Public Cloud wird das schwierig, da man fremd betriebene IT-Infrastrukturen nutzt. Unternehmen wissen weder, welche Komponenten zum Einsatz kommen, noch, wo diese entwickelt und resilient gemacht wurden. Zudem besteht in puncto Datenschutz gerade bei den grossen amerikanischen Hyperscalern ein rechtlicher Konflikt: Im Falle einer Strafermittlung hebelt der US Cloud Act die DSGVO aus – selbst wenn es eine Zusatzvereinbarung gibt und sich das Rechenzentrum in der EU befindet.
Den Souveränitatsbedarf bestimmen
Trotzdem müssen Unternehmen aber nicht ganz auf die Public Cloud verzichten. Denn digitale Souveränität ist keine Entweder-oder-Entscheidung. Vielmehr besteht der beste Weg in einem hybriden Ansatz, der verschiedene Cloud-Varianten miteinander kombiniert. So viel Agilität wie möglich und so viel Kontrolle wie nötig, lautet die Devise. Es geht darum, für jeden Datentyp und jede Applikation die Umgebung zu finden, die das passende Souveränitätslevel bietet. Dafür muss man zunächst den Bedarf analysieren und Risiken bewerten. Welche Datentypen und digitalen Assets gibt es im Unternehmen? Wie sensibel und wertvoll sind diese? Welchen Schaden würde ein Verlust oder ein Ausfall verursachen? Wer greift auf welche Daten zu und wie werden sie übertragen? Daraus ergeben sich dann der Schutzbedarf sowie das geeignete Cloud-Modell und die dazugehörigen Security-Massnahmen.
Die passende Cloud wählen
Der überwiegende Grossteil aller Daten in einem Unternehmen sind in der Regel unkritisch und lassen sich bedenkenlos in die uneingeschränkte Public Cloud schieben. Bei den restlichen Daten gilt es zu prüfen, ob man sie mit den nativen Security-Features des Cloud-Providers und zusätzlichen externen Kontrollen angemessen schützen kann. Man spricht dann von einer Controlled Cloud. Reicht das nicht aus, wäre die nächste Stufe die Trusted Cloud: Darunter versteht man Cloud Services, die nach Länder- oder EU-Sicherheitsstandards zertifiziert sind, zum Beispiel SecNumCloud (Frankreich), C5 (Deutschland) oder EUCS (EU). Eine solche Trusted Cloud eignet sich vor allem für Szenarien, bei denen Unternehmen bestimmte regulatorische Anforderungen erfüllen müssen.
Das höchste Kontrolllevel bieten schliesslich Disconnected Private Cloud Services. Sie liegen vollständig unter eigener Hoheit, sind aber am wenigsten agil. Ausserdem müssen Unternehmen auf Features wie PaaS-Services und Serverless-Funktionen verzichten.
Zero Trust etablieren
Gerade in nicht oder nur teilweise kontrollierbaren Umgebungen empfiehlt sich zudem die Umsetzung eines Zero-Trust-Modells. Nichts und niemand darf einen Vertrauensvorschuss erhalten. Stattdessen müssen alle Zugriffe und Netzwerkanfragen authentifiziert werden, egal ob sie intern oder extern erfolgen. Entscheidend dafür ist ein Identity und Access Management (IAM) nach dem Least-Privilege-Access-Prinzip: Jeder Nutzer und jedes Asset sollte nur die Rechte erhalten, die unbedingt erforderlich sind. Zudem sollte man Daten und die Datenübertragung verschlüsseln. Auch Awareness-Schulungen der Mitarbeiter sind wichtig. Denn die beste Security-Technologie bringt nichts, wenn Menschen sich von Cyberkriminellen austricksen lassen.
Fazit
Mit einer hybriden, risikobasierten Cloud-Strategie und Zero Trust können Unternehmen Cloud-Vorteile nutzen und trotzdem digital souverän bleiben. Am besten lässt sich beides in Zusammenarbeit mit einem spezialisierten Dienstleister umsetzen. Er unterstützt dabei, Risiken zu ermitteln, passende Cloud Services auszuwählen und geeignete Security-Massnahmen zu ergreifen. Nicht zuletzt wird digitale Souveränität auch selbst zum wichtigen Wettbewerbsfaktor. Denn Kunden legen heute Wert auf Datenschutz und Cybersecurity.
Dieser Fachartikel erschien in der gedruckten Ausgabe SicherheitsForum 4-2022. Sie wollen die Artikel dieser Ausgabe lesen? Dann schliessen Sie gleich hier ein Abonnement ab.