Wie Sie sicher in die Cloud migrieren

Security und die Cloud haben ein äusserst ambivalentes Verhältnis. Viele Security Spezialisten sind gegenüber der Cloud noch immer skeptisch und betrachten diese in erster Linie als Risiko. Die Cloud kann aber auch eine Chance und der Security sogar dienlich sein. Mit der Migration einer Business Applikation in die Cloud verändern sich die Risiken. Ob diese Veränderung negativ ausfällt, hängt von verschiedenen Faktoren ab und kann nicht pauschal beantwortet werden.

In diesem Beitrag möchte ich auf drei Themenbereiche eingehen, die einen grossen Einfluss auf eine erfolgreiche und sichere Migration einer Business Applikation in die Cloud haben:

• Information Governance
• Risk Management
• Identity and Access Management

Information Governance

Information Governance befasst sich mit der Verwaltung von Informationen im Unternehmen. Ziel ist es, die effiziente Nutzung, den angemessenen Schutz und die korrekte Aufbewahrung von Informationen zu ermöglichen; unter gleichzeitiger Einhaltung der internen und externen Vorgaben.

Wenn man eine Business Applikation in die Cloud migrieren will, muss man erst verstehen, welche Informationen mit der Applikation in die Cloud migriert werden. Welche Informationen werden in dieser Applikation verarbeitet und welche Information werden benötigt, damit die Applikation funktioniert? Dies klingt erst einmal logisch. Die Herausforderung zeigt sich meist bei der Ermittlung der genauen Anforderungen, welche für die betroffenen Informationen gelten. In der Praxis nicht mehr so einfach beantworten, lassen sich oft Fragen nach der Kritikalität der Informationen und den rechtlichen Auflagen, denen diese unterstehen.

Spätestens seit den Diskussionen rund um die EU-DSGVO ist zumindest zum Datenschutz bei den meisten Unternehmen und Cloud-Anbietern ein erhöhtes Bewusstsein vorhanden. Dies ist aber nur ein rechtlicher Aspekt, der für eine Cloud-Migration relevant sein kann. Zu klären ist zum Beispiel, ob die Informationen überhaupt dem Unternehmen gehören oder sie ihm nur von den Kunden anvertraut wurden, wie beispielsweise Konstruktionspläne bei einer Auftragsfertigung oder Software Sourcecode bei einer Individualsoftwareentwicklung. Wenn die Informationen nicht dem Unternehmen gehören, ist zu klären, ob es Auflagen des Eigners gibt, welche eine Verlagerung in die Cloud verbieten oder einschränken. Vielleicht erfordert die Auslagerung von Informationen die explizite Einwilligung des Eigners oder er schränkt den geographischen Speicherort ein.

Um die Anforderungen an die Informationen zu verstehen und verwalten zu können, sollten diese im Rahmen der Information Governance in Klassen eingeteilt werden. Für jede Informationsklasse werden die relevanten Aspekte erfasst. So müssen bei einer Migration einer Applikation nur die betroffenen Informationsklassen identifiziert werden. Die Informationsklasse liefert dann die relevanten Rahmenbedingungen für die Migration in die Cloud.

Risk Management

Um die Risiken, die mit einer Migration in die Cloud verbunden sind, beurteilen zu können, muss erst die für das Unternehmen relevante Bedrohungslage in der Cloud verstanden werden. Die Bedrohungslage ist stark abhängig vom Geschäftsfeld in dem das Unternehmen tätig ist. In welchen Ländern ist es vertreten, in welcher Branche ist es tätig und wer sind Kunden und Konkurrenten? Ein international tätiges Finanzinstitut hat eine andere Bedrohungslage wie ein lokal tätiges Sanitärunternehmen oder ein High-Tech Startup in der Medizinaltechnik. Was für die einen problemlos in die Cloud migriert werden kann, ist für andere ein nicht tragbares Risiko oder erfordert komplett andere kompensierende Massnahmen.

So muss man sich fragen, ob man einen staatlichen Angreifer fürchten muss, Geschäftsinformationen lukrativ für finanziell motivierte organisierte Kriminalität sind oder man Ziel von Wirtschaftsspionage sein könnte, bei der ein Konkurrent geistiges Eigentum stehlen will.

Neben der Risikosicht sollte man aber auch die Chancensicht nicht vernachlässigen. Es stellt sich nämlich auch die Frage, ob das Unternehmen die Business Applikation selber wirklich besser und sicherer betreiben kann als ein Cloud-Provider. Diese Sicht der Risikobetrachtung wird bei der Cloud oft vernachlässigt. Man betrachtet lediglich die Risiken, die mit der Nutzung einer Cloud-Lösung einhergehen und beachtet die Risiken, die durch den internen Betrieb entstehen nicht. Gerade für KMU ist es heute fast nicht mehr möglich, viele Anwendungen sicher zu betreiben. Die sichere Konfiguration, die Überwachung der Systeme sowie das Patch-Management erfordern oft sehr spezifisches Know-How und robuste Betriebsprozesse, die eine kleine IT-Organisation oft gar nicht leisten kann.

Eine umfassende Risikobetrachtung ist bei einer Migration in die Cloud unerlässlich. Dies muss angepasst auf das Unternehmen und die betroffene Applikation erfolgen und auch die Risiken einer Nicht-Migration miteinschliessen.

Identity and Access Management

Der letzte Themenbereich, der gerne unterschätzt wird, aber für den Erfolg in der Cloud von grösster Bedeutung ist, ist das Identity and Access Management (IAM). Jede Form von Cloud-Lösung bringt Benutzer und Berechtigungen mit sich, welche gepflegt werden müssen. Bestehende On-Premise-Lösungen sind nicht immer ohne weiteres in die Cloud erweiterbar. Cloud-Lösungen können z.B. nicht einfach in das Active Directory eingebunden werden, ohne das Active Directory gegenüber dem Internet zu exponieren. Hier braucht es eine technische Architektur und die dazugehörigen Prozesse, um Benutzer und Berechtigungen in der Cloud sicher verwalten zu können.

Wenn bereits ein umfassendes IAM im Unternehmen existiert, dann ist dies in der Regel keine grosse Sache. Die Cloud-Lösung ist letztlich einfach ein weiteres Zielsystem, das provisioniert werden muss. Wenn aber eine IAM Architektur fehlt oder sehr stark auf interne Systeme, wie zum Beispiel eine Active Directory Integration zugeschnitten ist, dann kann die Einbindung einer Cloud-Lösung eine grosse Herausforderung sein. Hier ist es ratsam sich als Teil der Cloud-Strategie auch den Status des IAM zu betrachten und zu prüfen, ob man in diesem Bereich die notwendigen Prozesse und technischen Mittel hat, um in der Cloud-Lösung Benutzer und Berechtigungen verwalten zu können. Von einer manuellen Pflege der Benutzer und Berechtigungen in der Cloud-Lösung ist dringend abzuraten.

Aber auch die Authentisierung in der Cloud bringt neue Herausforderungen. So wird bei einer Migration einer internen Business Applikation in die Cloud, diese in der Regel plötzlich vom Internet her erreichbar. Eine einfache Authentisierung mit Username und Passwort, die vielleicht On-Premise noch angemessen ist, ist dann nicht mehr ausreichend. Eine starke Authentisierung wird notwendig. Sinnvollerweise mittels einer zentralen Authentisierungslösung und einer Federation, so dass sie für verschiedene Cloud-Lösungen genutzt werden kann und nicht jedes Mal aufs Neue integriert werden muss.

Fazit

Die drei Themen sind eigentlich keine spezifischen Cloud-Themen, idealerweise hat ein Unternehmen hier bereits etablierte Prozesse und Lösungen. Ist dies der Fall, helfen diese systematisch, die Herausforderungen einer Migration in die Cloud zu meistern. Oft ist die Maturität aber nicht in allen Bereichen ausreichen hoch, dass diese Themen bei einer Cloud-Migration als automatisch gegeben betrachtet werden können. Daher sollte sich jedes Cloud-Projekt intensiv mit diesen drei Themen auseinandersetzen und sich folgende Fragen stellen:

• Kenne ich die Informationen, die in die Cloud sollen wirklich?
• Weiss ich, welche Bedrohungen für mich in der Cloud relevant sind?
• Kann ich meine Benutzer und deren Zugriff in der Cloud sicher verwalten?