Wie Unternehmen das Thema Sicherheit & Compliance beim Cloud-Sourcing in den Griff kriegen
Kommentar zur Lünendonk-Studie 2022 "IT-Strategien und Cloud-Sourcing im Zuge des digitalen Wandels"
Die aktuelle Lünendonk-Studie zum Markt für IT-Sourcingberatung in Deutschland identifiziert neben anderen wichtigen Trends in den IT-Abteilungen und zum Sourcing eine zentrale Erkenntnis: Starke Investitionen sind im Jahr 2023 vor allem bei Cyber Security und Informationssicherheit zu erwarten.
Das kommt nicht von ungefähr: Einerseits melden Unternehmen eine Zunahme der Angriffe seit Beginn der Pandemie, andererseits ist der Datenschutz aufgrund der europäischen Datenschutz-Grundverordnung (DSGVO) aktuell verstärkt im Fokus der öffentlichen Aufmerksamkeit und stellt Unternehmen vor große Herausforderungen. Klar ist, dass es kaum möglich ist, ohne geeignete technische Maßnahmen und Lösungen einen effektiven Datenschutz im Unternehmen zu gewährleisten.
Die Mittel für diese Maßnahmen sind in Art. 32 DSGVO geregelt: die technisch-organisatorischen Maßnahmen (TOM) und seitens IT-Security häufig in einem Sicherheitskonzept oder als Dokumente in einem Informationssicherheits-Managementsystem abgebildet.
Das SiKo (Sicherheitskonzept) ist ein Katalog der Sollmaßnamen aus den Themengebieten des Informationssicherheitsmanagements. Im SiKo wird die Erfüllung der Sollmaßnahmen je Projekt bzw. Infrastrukturkomponenten oder Cloud-Lösung dokumentiert.
Was bedeutet das für Cloud-Services oder Outsourcing?
Bei der Auswahl von Cloud-Lösungen oder neuen Providern begegnen dem Projektteam eine Vielzahl an Themen zu Datenschutz und Informationssicherheit. Aber eben nicht nur. Daneben gilt es, alle weiteren Stakeholder mitzunehmen. Das sind z. B. die Bereiche Arbeitnehmerschutz, Compliance, Einkauf, IT-Technik und Architektur, Provider- bzw. Cloud Management, Recht und Regulatorik. Die Themen Governance und Compliance sind insbesondere keine reinen "Technikthemen" – sondern hier heißt es insbesondere, Menschen zu befähigen.
Die Aufgabe: "Nimm alle Stakeholder aus Datenschutz, Informationssicherheit, IT, Recht und Regulatorik etc. aktiv mit und mache sie zu Lieferhelden!"
Lösungen und Methoden
Die Herausforderung besteht darin, dass die Compliance mit der Innovationsgeschwindigkeit in der Cloud Schritt hält und gleichzeitig die Zusammenarbeit zwischen Cloud-, Compliance- und Betriebsteams ausgebaut wird.
Ziel muss sein, dass das gesamte Team von Beginn an die Vorgaben aus Gesetz, Regulatorik und internen Vorgaben versteht und die Anforderungen zeitlich weit vorne im Lösungsdesign verlagert.
Mögliche Gaps zu Anforderungen oder ggf. Schwachstellen und Sicherheitsrisiken werden somit nicht erst am Ende, sondern zu Beginn der Konzeption adressiert. Auf der Zeitachse von der Konzeption bis zur Einführung entspricht das einem zeitlichen "Linksrutsch", also "Shift left". Dieser Ansatz ähnelt dem Vorgehen von "DevSecOps".
Stoßrichtung 1: "Shift left" und "Tool-gestützte Prüfschemen"
Wir empfehlen, bereits in der Cloud-Strategie ein Prüfschema zu nutzen und mit Readiness-Kriterien zu belegen, das die genannten Aspekte zu IT Security berücksichtigt. In der Cloud Governance verankert, hilft das Schema, Einführungsentscheidungen früh zu treffen: also zu erkennen, welche Dienstleiter, welche Anwendungen oder welche Cloud-Lösungen compliant sind und welche nicht.
Ziel ist es, mithilfe der Toolunterstützung die Entscheidung zur Einführung von Cloud-Lösungen vorzubereiten und Risikobewertungen über den gesamten Lebenszyklus der Cloud-Lösungen zu steuern (z. B. bei Änderungen bzw. Erweiterungen von Cloud-Lösungen oder bei geänderten Datenkategorien sowie beim Exit).
Das Gute: Solche Tools mit vorgefertigten Prüflisten gibt es bereits am Markt!
Stoßrichtung 2: Eine zentrale Servicebeschreibung zu IT-Security
Im Sourcing und bei der Beauftragung von (Managed) Service Providern sollte eine eigene, zentrale Servicebeschreibung "IT Security" eingesetzt werden: Diese bündelt alle Themen zu Security an zentraler Stelle und gibt allen Beteiligten Sicherheit.
In einer solchen Servicebeschreibung dürfen unserer Meinung nach die folgenden Punkte nicht fehlen:
- Genauen Definition nach Art, Inhalt und Umfang der Services, z.B.
- SIEM- (Security Information and Event Management) Systems
- Malware Protection Services
- Managed Intrusion Detection (IDS) und Intrusion Prevention Services (IPS)
- Vulnerability Management Services
- Network Detection & Response Services
- Bereitstellung tagesaktueller Threat Intelligence-News Feeds
- Idealerweise die Bereitstellung eines Security Operation Centers (SOC) mit einem dedizierten qualifizierten IT-Sicherheitsteam für das zentrale IT-Sicherheitsmanagement
Somit ist sichergestellt, dass die Serviceaktivitäten nicht einfach nur ein "Patchwork" an Einzellösungen sind, sondern ein ganzheitliches Verfahren bieten. Eine ordentliche Beschreibung der Aufgaben wird immer wichtiger um die Security auf ihrer "Journey" wirklich zu unterstützen und die Themen im Voraus zu denken.
Fazit:
Sicher in die Cloud – das Thema steht nicht nur auf der Agenda, sondern auch in der Budgetplanung- ein guter Ansatz, aber erst der Anfang. Wer sich jetzt frühzeitig mit konkreten Tools und Lösungen befasst und sich nicht in theoretischen Konstrukten verliert, wird seine Digitalisierung weiter voranbringen und die IT-Security als "Lieferhelden" feiern.