Cloud-Sicherheit ist eine Medaille mit zwei Seiten

Autor: Carl-Philipp Müller | Veröffentlicht: 02.10.2019

Fast 92 Prozent der deutschen Unternehmen setzen Mitte 2019 bereits eine Cloud-Lösung ein oder planen es in Kürze. Die Sicherheitserwartungen an die Anbieter sind hoch. Schließlich hat die EU-DSGVO alle CIOs sensibilisiert. Cloud-Dienste wie SAP haben ihre Systeme gestählt und zertifiziert. Sie überzeugen mit ihren kontinuierlich weiterentwickelten Datensicherheitskonzepten. Die Herausforderung liegt aber auch auf der anderen Seite der Medaille. Wenn Sie als IT-Leiter bereits eine Cloud-Lösung einsetzen oder dies planen, brauchen auch Sie eine umfassende Cloud-Security-Strategie.

Die Studie Cloud Security 2019 von IDG Research Services zeigte im Mai, dass kaum noch ein Unternehmen an der Cloud vorbeikommt. Zu groß sind die Vorteile der Technologie. Sicherheitsbedenken haben hingegen deutlich abgenommen. Allerdings halten 90 Prozent der befragten Unternehmen Zertifizierungen und Prüfsiegel ihres Cloud-Dienstleisters für wichtig. Und je mehr ein Unternehmen in Cloud-Dienste investiert, desto wichtiger sind den CIOs auch diese externen Vertrauensbeweise. Umso verwunderlicher ist es aber, dass nur 57 Prozent der von IDG befragten Unternehmen mit einer internen Cloud Policy für Sicherheit sorgen. Bei Unternehmen, die bisher lediglich Office oder Filesharing-Dienste nutzen, haben lediglich 42 beziehungsweise 43 Prozent solche Sicherheitsrichtlinien. Dabei sind diese unerlässlich, weil sich Sicherheitslücken selten in der Cloud selbst zeigen, sondern in der Anwendung und der Verarbeitung der Daten. Wenn Unternehmen ein Enterprise-Resource-Planning System wie SAP S/4HANA in einer Cloud-Edition einführen, brauchen sie deshalb ein ganzheitliches Cloud-Security-Konzept.

SAP S/4HANA bietet bei der Sicherheitsarchitektur State of the Art

Offensichtlich ist die hohe Cloud-Nutzung auch darauf zurückzuführen, dass der Sicherheitsaufwand der Anbieter heute fast schon extrem ist. Vor allem die Nutzer der beiden reinen Public-Cloud-ERP-Varianten SAP S/4HANA Multi Tenant profitieren von SAP-eigenen Datenzentren und der physischen Sicherheit auf dem Stand des heute technisch Machbaren. Alle weltweit verteilten Rechenzentren erfüllen Level 3 des SAP data-center-level rating System und übertreffen die Anforderungen der Hochverfügbarkeits-Qualifikation Tier-4 nach der Klassifikation des amerikanischen Uptime Institute. Ein Tier-4-Rechenzentrum bietet eine Verfügbarkeit von mindestens 99,995 Prozent. Hierbei liegt die Ausfallzeit des Rechenzentrums bei unter einer Stunde pro Jahr. Alle sind nach den Sicherheitsstandards der ISO 27001 zertifiziert. Wichtig für die europäischen Kunden und darüber hinaus für alle, die europäische Daten verarbeiten wollen, ist die Standortdefinition. Die Daten der Kunden lagern und werden nur an vordefinierten Rechenzentrumsstandorten verarbeitet, die zudem alle den EU-DSGVO-Vorgaben entsprechen. Gleichzeitig profitieren international aufgestellte Kunden durch die weltweit verteilten SAP-Rechenzenten von der einzigartigen Performance der In-Memory-Technologie der SAP-S/4HANA-Datenbanken. Die Datenübertragung funktioniert prinzipiell nur mit modernsten Verschlüsselungsverfahren. SAP S/4HANA bietet umfassende Funktionen zum Verschlüsseln von Daten in Ruhe und in Bewegung, einschließlich Datenvolumenverschlüsselung, Protokollverschlüsselung, Sicherungsverschlüsselung, Anwendungsverschlüsselung und Kommunikationsverschlüsselung (SSL/TLS). Für die Verschlüsselungsfunktionen wird die SAP-Standard-Kryptografiebibliothek CommonCryptoLib verwendet, die FIPS-zertifiziert ist. Zudem nutzt SAP ein Datenschutzmanagementsystem, das auf dem weltweit anerkannten British Standard basiert (BS 10012: 2009 Data Protection).

So stimmen Sie Cloud-Lösungen passgenau aufeinander ab

Wer sein ERP-System in die Cloud migriert, kann jede Menge Vorteile abschöpfen. So können etwa Wartungsleistungen an einen Dienstleister übergeben, Anwendungen passend skaliert oder die IT-Ausgaben in weiten Teilen auf die Betriebskosten übertragen und damit hohe Investitionskosten vermieden werden.

Lesen Sie mehr dazu im kostenlosen E-Book: Cloud Orchestrierung – die Transformation der IT-Infrastruktur!

New call-to-action

Rollen- und Rechteverwaltung sowie Identitätsauthentifizierung

Diese Standards der SAP-Rechenzentren für die Datensicherheit von Datenbanken und Anwendungen der ERP-Lösung S/4HANA sind aber nur ein Teil der umfassenden Sicherheitsarchitektur. Denn es liegt in der Natur der Cloud-Technologien, dass die Daten für die Verarbeitung, Auswertung, Anreicherung und Nutzung in Bewegung sind. Auch wenn diese Datenreisen verschlüsselt erfolgen, finden diese Transfers im offenen Internet statt. Deshalb stellt SAP eine Reihe weiterer Sicherheitsmaßnahmen und Tools bereit, die einen Datenverlust, Datendiebstahl oder Sabotage verhindern. Die vielleicht wichtigsten sind Identity and Access Management Tools (IAM). Damit managen die IT-Abteilungen die Berechtigungen und Rollen der Nutzer. Zudem prüfen IAM deren Identität bei jedem Zugriff. SAP hat für unterschiedliche Zielgruppen drei Cloud-basierte Tools: die SAP Cloud Platform Identity Authentication und die SAP Cloud Platform Identity Provisioning Services für IAM-Szenarien, wie sie für Mitarbeiter und Kooperationspartner von Unternehmen notwendig sind. Ergänzend ermöglicht die SAP Customer Identity Solution CIAM-Szenarien unter anderem für Kunden, die beispielsweise Self-Services ausführen. Mit IAM werden Benutzer authentifiziert und ein Single Sign-on für verschiedene Anwendungen ermöglicht. Dadurch wird der sichere Zugriff auf unternehmensinterne Geschäftsanwendungen im internen Unternehmensnetzwerk gewährleistet. Durch Benutzerbereitstellung und Rollenmanagement können die Nutzer nur auf die Ressourcen zugreifen, die sie für die Erfüllung ihrer Aufgaben brauchen. Das vollautomatische IAM erstellt Konten und weist den Zugriff auf Basis von Abteilungsbefugnissen oder Aufgabenbeschreibungen zu und passt diese mit erweiterten Befugnissen an. Zudem stellt eine IAM-Lösung wie SAP Cloud Platform Identity Provisioning dem Benutzer verschiedene Zielsysteme wie Microsoft Active Directory zur Verfügung, um den Zugriff auf das Unternehmensnetzwerk und wichtige Geschäftsprozesse zu ermöglichen. Authentifizierung und Single Sign-on werden mit einer IAM-Lösung wie SAP Cloud Platform Identity Authentication verwaltet. Zu den Authentifizierungstechniken, die bei IAM-Lösungen verwendet werden, gehören Benutzername und Passwort sowie biometrische Authentifizierung und ergänzend auch Geräte-Authentifizierung.

Die zweite Seite der Medaille: Ihre Cloud-Security-Strategie

Wenn Sie als IT-Leiter denken, dass nun alles für die Cloud-Sicherheit getan wäre, stimmt das nur zum Teil. Die SAP-Sicherheitsmaßnahmen enden nämlich bei den Schnittstellen zu Ihrem Netzwerk und den Konfigurationseinstellungen Ihrer SAP-Anwendungen. Und hier stehen bei manchen Unternehmen noch einige Aufgaben auf der To-do-Liste. Im Grunde beginnt außerhalb der SAP-Rechenzentren, der Datenbanken sowie der Cloud-Anwendungen die eigentliche Aufgabe für Sie, mit einer Cloud-Security-Strategie die zweite Seite der Medaille zu gestalten. Dafür steht neben den SAP-Hilfeseiten auch das SAP Cloud Trust Center zur Verfügung. Eine weitere Herausforderung, die vielfach noch unterschätzt wird, ist die Sicherheitsüberwachung im Firmennetzwerk. Und da viele Unternehmen neben einer reinen Public-Cloud-ERP-Lösung auch weiterhin On-Premises- oder gemischte IT-Landschaften unterhalten, sind vor allem die Schnittstellen mit besonderen Maßnahmen zu schützen.

Multi- und hybride Cloud-Landschaften wirksam überwachen

Auf dem Markt gibt es einige meist ebenfalls Cloud-basierte Lösungen, teilweise auch mit Funktionen künstlicher Intelligenz (KI), die sowohl Netzwerk- als auch Nutzer-, Geräte und Anwendungsüberwachung ermöglichen. Das vielleicht wichtigste System ist ein Cloud Access Security Broker (CASB) mit Data-Loss-Prevention‌(DLP)-Funktionen. CASB verbinden sich mit Cloud-Systemen und mit dem Firmennetzwerk und wirken als Oberinstanz für Sicherheit in hybriden und Multi-Cloud-Umgebungen. Sie überwachen den Zugriff auf Cloud-Anwendungen und On-Premises-Systeme. Sie schützen Daten in jeder Bearbeitungsstufe. Kommen Zweifel an dem Datenzugriff einer nicht authentifizierten Person, an ihrem Gerät, wegen einer ungewöhnlichen Geolocation oder an der Integrität einer Datei auf, schützen DLP-Funktionen im CASB automatisch vor einer weiteren Bearbeitung. Dateien werden in Quarantäne geschickt, nicht autorisierte Nutzer oder Endgeräte vom weiteren Zugriff gesperrt. Die IT-Mitarbeiter erhalten dann in einem Dashboard eine Warnung. Erst nach einer Überprüfung geben sie eine Datei oder den Nutzer frei oder leiten Sicherheitsüberprüfungen ein. CASB analysiert also permanent die Informationsströme und arbeitet dabei mit dem IAM der Cloud-Provider Hand in Hand. CASB, die mit Mustererkennung auf Basis von KI-Algorithmen arbeiten, bilden somit eine Art Augmented Cyber Security. Sie sind aber auch immer nur so gut und sicher wie die IT-Leute, die sie überwachen. Absolute Sicherheit bieten sie nur, wenn sie durch menschliche Intelligenz kontrolliert werden.

Fazit: Auch die Anwender müssen für Datensicherheit in der Cloud sorgen

Cloud-Anbieter wie SAP unternehmen das ihnen Mögliche, um die Datensicherheit ihrer Anwendungen stets auf dem aktuellen technischen Entwicklungsstand zu halten. Aber auch die Unternehmen, die die heute evidenten Vorteile der Cloud nutzen, müssen ihre Sicherheitsherausforderungen erfüllen. Ihnen als CIO und Ihren CISOs kommt dabei eine Schlüsselposition zu. Einerseits müssen Sie dafür die aktuellen Technologien für die Netzwerküberwachung und den Datenverkehr einsetzen, andererseits auch das Sicherheitspersonal und die Mitarbeiter im Umgang mit Cloud-Anwendungen schulen. Und dies ist eine permanente Herausforderung.

 

Sind Sie und Ihr Unternehmen bereit für die Cloud? Weiterführende und vertiefende Informationen finden Sie im Allgeier Digi-Check.

 

Zurück zu allen Fachartikeln
ZU UNSEREN SAP CLOUD SERVICES

So stimmen Sie Cloud-Lösungen aufeinander ab

 

Wer sein ERP-System in die Cloud migriert, kann jede Menge Vorteile abschöpfen. So können etwa Wartungsleistungen an einen Dienstleister übergeben, Anwendungen passend skaliert oder die IT-Ausgaben in weiten Teilen auf die Betriebskosten übertragen und damit hohe Investitionskosten vermieden werden.Lesen Sie mehr dazu im kostenlosen E-Book: Cloud Orchestrierung – die Transformation der IT-Infrastruktur!

 

New call-to-action

So stimmen Sie Cloud-Lösungen aufeinander ab

 

Wer sein ERP-System in die Cloud migriert, kann jede Menge Vorteile abschöpfen. So können etwa Wartungsleistungen an einen Dienstleister übergeben, Anwendungen passend skaliert oder die IT-Ausgaben in weiten Teilen auf die Betriebskosten übertragen und damit hohe Investitionskosten vermieden werden.Lesen Sie mehr dazu im kostenlosen E-Book: Cloud Orchestrierung – die Transformation der IT-Infrastruktur!

 

New call-to-action