Image: © Rymdenf - stock.adobe.com
Treten wir einen Schritt zurück und betrachten wir das Versprechen objektiv. Zentrale wie dezentrale IT-Infrastrukturen bedingen schon immer ein extrem hohes Maß an Sicherheit. Unterstützt wird dieser Bedarf durch stetige Updates und Patches bis hin zu technologischen Innovationen. Die Featurelisten werden länger, das Portfolio der Lösungsanbieter breiter.
Du kennst das Prinzip: Am Anfang fühlte man sich noch sicher mit einem Anti-Virus-Programm und einer Firewall auf seinem PC. Und heute? Jeder kann aus einem breiten Angebot auswählen: KI-gestützte ISP/IDP-Systeme, Anti-Malware-Schutz, AV, SIEM-Systeme, IRM und vieles mehr. All diese Optionen sind wichtig, gut und wertvoll, denn immerhin geht es um das Wichtigste in der IT: unsere Daten.
Würdest du noch sagen, dass all dies für dich „super einfach“ ist?
Hinzu kommt der fast schon neue Standard mittels Cloud-Strukturen. Diese bedingen eine erweiterte bzw. zusätzliche Art der Sicherheit. Neben der traditionell implementierten „Intra“-Sicherheit muss das Thema der „Inter“-Sicherheit realisiert werden. Spätestens jetzt sprechen wir von einem nicht mehr unkomplizierten Szenario.
Grafisch betrachtet gibt es einen einfachen Zusammenhang zwischen Features, Cloud-Modell und Komplexität. Bei einem derartigen Überangebot an Lösungsmöglichkeiten fällt die Entscheidung nicht leicht.
Wie sieht es aber mit dem laufenden Betrieb aus?
Mit zunehmenden Features und Optionen wächst auch die Komplexität durch Querabhängigkeiten, Monitoring, Pflege (Updates) usw. Insofern ist es wichtig, dass Sie sich vor dem Prozess der Cloudifizierung einen genauen Plan machen – für die Implementierung und auch später, für den reibungslosen und effizienten Betrieb der Umgebung.
Für das Kerngebiet der IT-Sicherheit haben wir sechs Aspekte herausgearbeitet, die Sie grundsätzlich in ihre Planung einbeziehen sollten:
- Intra- und Inter-Sicherheit
Die Intra-Security betrifft alle Systeme innerhalb deiner Systemumgebung und Cloud-Landschaft (z.B. Verschlüsselung deiner Datenträger). Die Inter-Security hingegen betrifft alle Komponenten zwischen den Systemen (z.B. verschlüsselter Datentransfer). - Netzwerk- und Hostsicherheit
Ohne Netzwerk und/oder Server bzw. Clients können keine IT-Dienste genutzt werden. Insofern gilt ein besonderes Augenmerk den aktiven Komponenten innerhalb der IT-Infrastruktur. - Identitätsmanagement und Zugriffsverwaltung
Jeder Zugriff auf die Infrastruktur muss sicher gestaltet und autorisiert sein. So sollte (darf!) nicht jede Person Zugriff auf Datenbanken, Shares oder Firewalls haben. - Datenschutz und Informationssicherheit
Gerade bei der Speicherung und Verarbeitung von personenbezogenen oder sensiblen Daten gilt es, eine entsprechende, cloudgerechte und DSGVO-konforme Datenschutzvereinbarung zu erstellen. Des Weiteren sollte es eine „TOM“ (Technische und organisatorische Maßnahmen, §9 BDSG)-Dokumentation geben, um Rollen- und Funktionstrennungen sowie technische Gegebenheiten zu dokumentieren. - Applikationssicherheit
Gerade beim Einsatz verschiedener Cloud-Lösungen, sog. Multi-Cloud-Plattformen, müssen Applikationen kompatibel zueinander sein. Neben der Softwarepflege (Updates) ist der Zugriff der Datenverarbeitung zwischen den Applikationen zu beachten. - vDC-Sicherheit
Das vDC ist dein virtuelles Rechenzentrum in der Cloud. Wie wird dieses Rechenzentrum aber physisch durch bauliche Maßnahmen geschützt? Welche präventiven Maßnahmen wurden umgesetzt, um sich gegen einen Rechenzentrumsausfall zu schützen?
Beachten Sie die genannten Punkte, wenn sie überlegen, erste Schritte in die Cloud zu gehen. Oder stellen Sie ihre*n aktuellen Cloud-Anbieter in Frage. Es geht um ihre Daten.
Insofern: Machen Sie es sich zum Ziel, eine „einfache“ Infrastruktur zu realisieren. Vielleicht sogar super einfach. Aber auf jeden Fall: super sicher. Und wenn’s super geil werden soll, dann frage doch mal bei uns nach.