Knackpunkt Service-Provider

8 Sicherheitstipps für die Cloud

02.12.2010 von Christiane Pütter
Wer sich für Cloud Computing entscheidet, sollte den Anbieter nach den Standards ISO 27001 und 27002 fragen. Dieser und sieben weitere Ratschläge von Cyber-Ark.
Die Norm ISO 27001 für Informationssicherheits-Managementsysteme ist eines der Kriterien, auf das Cloud-Anwender bei der Auswahl des Dienstleisters achten sollten, meint Sicherheitsanbieter Cyber-Ark.
Foto:

Sicherheitsbedenken gelten als größter Hemmschuh in Sachen Cloud Computing. Nicht zu unrecht, wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) feststellt. Das Amt hat kürzlich ein Eckpunktepapier über Security-Mindestanforderungen erstellt. Der Heilbronner Sicherheits-Anbieter Cyber-Ark schiebt jetzt acht Tipps nach.

Cyber-Ark fokussiert sich dabei auf die Service-Provider. Denn Administratoren des Dienstleisters erhalten Zugang zu Anwendungen, Prozessen, Services, Systemen oder Daten. Entscheider sollten daher genau erfragen, welche Lösungen der Provider einsetzt und wie er Zugriffsmöglichkeiten überwacht.

Im Einzelnen lauten die Empfehlungen wie folgt:

1. Management privilegierter Benutzerkonten: Der Service-Provider muss ein Privileged-Identity-Management-System für die Verwaltung privilegierter Accounts im gesamten IT-Betrieb implementiert haben. Das soll dem Nutzer der Cloud garantieren, dass Policies, Prozesse und Practices seine Anforderungen an die Datensicherheit erfüllen. Dabei sollte der Dienstleister Standards wie ISO 27001 oder 27002 einhalten.

2. Policy-Konformität: Die Policies und Prozesse des Privileged Identity Management auf Providerseite müssen denen des Unternehmens entsprechen. Im Idealfall sind alle ISO-basiert.

3. Evaluierung: Im Auswahlprozess sollten Entscheider die Security-Struktur des Service-Providers genau überprüfen und evaluieren. Dabei ist insbesondere darauf zu achten, dass Tools für das Privileged Identity Management eingesetzt werden, die die Security-Policies und -Prozesse automatisch unterstützen.

Prozesse für Identitätsmanagement in SLAs dokumentieren

4. Dokumentation: Die Richtlinien und Prozesse des Privileged Identity Management müssen Audit- und Reporting-Anforderungen erfüllen. Die verwendeten Lösungen und Technologien sollten dabei schriftlich in Verträgen und Service Level Agreements festgehalten werden.

5. Definition von Rollen: Policies müssen den privilegierten User-Zugang regeln und limitieren. Dabei ist eine "Separation of Duties" zwingend erforderlich.

6. Keine versteckten Passwörter: Es sollten keine eingebetteten Applikationspasswörter verwendet werden, die Zugang zu Backend-Systemen oder Datenbanken bieten.

7. Überwachung: Der Service-Provider muss die privilegierten Benutzerkonten permanent kontrollieren und überwachen.

8. Reporting: Zu allen privilegierten User-Accounts muss es hinsichtlich Zugriffen und Aktivitäten Protokolle und Reportings geben. Dabei sollte der Service-Provider seinem Kunden ein wöchentliches oder zumindest monatliches Reporting zur Verwendung privilegierter Accounts zur Verfügung stellen.

Sieben von zehn Entscheidern verzichten - aus Sicherheitsgründen

CIOs sind sich der Security-Probleme bewusst. So hat eine Studie des britischen Marktforschers Portio Research ergeben, dass 68 Prozent von 350 befragten europäischen IT-Chefs aus Sicherheitsgründen auf die Cloud verzichtet. Dennoch erwarten 43 Prozent der deutschen Umfrageteilnehmer, dass Cloud Computing an Bedeutung gewinnt.