Das Management von Cloud-Infrastrukturen gilt im Vergleich zu Client-Server-Topologien als weniger aufwändig und weniger komplex. Müssen allerdings (strenge) regulatorische Bestimmungen eingehalten oder besonders hohe Sicherheitsanforderungen berücksichtigt werden, sieht die Sache anders aus. Dann ist der IT-Dienstleister besonders gefordert. Joachim Astel, Executive Board, Chief Regulatory Officer (CRO) bei der noris network AG, erklärt, was moderne Partner leisten müssen.
Die hybride Cloud vereint das Beste der Public und Private Cloud, heißt es. Läuft die Hybrid Cloud den anderen Modellen den Rang ab?
Grundsätzlich spielt es keine große Rolle, welche Cloud zum Einsatz kommt. Jedes Modell hat seine Vor- und Nachteile. Sobald es aber darum geht, regulatorische Anforderungen und gesetzliche Bestimmungen einhalten zu müssen, wird es aufwändig. Das gilt natürlich in erster Linie für Unternehmen aus dem regulierten Bankenumfeld aber auch für all die Unternehmen, die ihre kritischen Daten sicher verwahren wollen. Dann steht der IT-Dienstleister unter besonderer Beobachtung: Für Organisationen aus finanzfremden Wirtschaftszweigen reicht es mitunter, Bestimmungen für die DSGVO oder Zertifizierungen nach DIN EN ISO/IEC 27001 beziehungsweise BSI-Grundschutz einzuhalten, Banken oder Sparkassen müssen aber ganz genau hinschauen. Die »Bankaufsichtlichen Anforderungen an die IT« (BAIT) beispielsweise fordern von Finanzinstituten, eine nachhaltige IT-Strategie mit konkreten Zielen und Maßnahmen zu deren Umsetzung abzuleiten. Ein wichtiger Punkt dabei: das Risikomanagement. Es umfasst unter anderem die Implementierung von Überwachungs- und Steuerungsprozessen, um die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von zu verarbeiteten Daten sicherstellen zu können. Ähnlich sieht es im Übrigen beim Thema IT-Sicherheit aus.
Joachim Astel,
Executive Board, Chief Regulatory Officer (CRO)
bei der noris network AG
Und zwar?
Es stellt sich zunächst die Frage, wie und wer die IT-Sicherheit kontrolliert, wie sich Compliance-Metriken überprüfen lassen und wie das Audit erfolgen muss, um einer Prüfung standzuhalten. Der Zugriff auf diesen Audit ist bei vielen großen Cloud-Anbietern verbesserungswürdig. Oft kann der Audit gar nicht vollständig überprüft werden. Ein anderes Beispiel sind Sicherheitskomponenten wie das Rollen- und Rechtekonzept. Es kann in der Praxis häufig vom Kunden nicht vollständig nachgepflegt werden, ohne das Risiko einzugehen, regulatorische Vorgaben zu verletzen. Daher muss bei der Wahl häufig auch das Schwachstellenmanagement, der Perimeterschutz, die Netzwerksegmentierung, Penetrationstests, simulierte Angriffe, die Verschlüsselung von Daten in Betracht gezogen werden. Das sind Aufgaben, die unbedingt im Vorfeld der Auswahl eines Cloud-Dienstleisters mit diesem geklärt werden müssen. Schließlich spielen nicht nur die vorgelagerten Themen eine wichtige Rolle, sondern auch das Notfallmanagement. Es setzt nämlich voraus, dass eine Wiederherstellung richtig konfiguriert wird, um die volle Funktion der Geschäftsfortführung für den Notfall abzudecken.
Welche Kriterien sollten bei der Wahl eines IT-Dienstleisters berücksichtigt werden?
Ich kann da nur für uns sprechen. Wir messen uns im Rahmen von internen Audit-/ISO-Zertifizierungen selbst, leiten insbesondere Risiken für Kunden individuell ab und können diese auch beziffern. Dafür haben wir ein integrales Risikomanagementsystem unternehmensweit etabliert. Darin bewerten wir sämtliche Risiken innerhalb der integrierten Anwendungs- und Prozesslandschaft von Kunden und können so deren Strategie kontinuierlich optimieren. Dazu gehören nicht nur aufsichtsrechtliche Entwicklungen in Bezug auf mögliche Risiken, Veränderungen und Chancen. Auch neue Standards sowie ISO-Qualifikationsstufen müssen kontinuierlich überprüft und implementiert werden. Messbare Vorteile bringt auch das von noris network etablierte Business Continuity Management (BCM). Wir stellen unseren Kunden ein nachhaltiges und in sich geschlossenes BCM zur Verfügung. Es umfasst sämtliche IT-Komponenten und Dienstleistungen über die gesamte Wertschöpfung hinweg. Möglich wird das unter anderem auch durch Prozessdefinitionen, die einen dokumentierten Notfallplan umfassen und die sich kontinuierlich weiterentwickeln lassen. Ferner kommen die üblichen technische Voraussetzungen wie maximale Performance, höchste Bandbreiten und stabile Backbones zum Tragen, die noris network zu einem bevorzugten Player im Marktumfeld machen.
Wie steht es um das Thema Redundanz?
Die Redundanz ist eine weitere Grundlage und sollte ohnehin zwingend gegeben sein. Die Verteilung von IT-Leistungen auf mindestens drei redundante und in Deutschland befindliche Rechenzentrumslokationen gewährleistet bei uns höchste Verfügbarkeit. Das gilt selbst dann, wenn ein Datacenter ausfallen sollte, weil dann ein anderes Rechenzentrum einspringt. Im Rahmen des Risikomanagements werden zudem Anforderungen nach dem BSI-Grundschutz, der IT-Sicherheit, Compliance, Governance bis hin zur EU DSGVO umfassend abgeleitet, um den Qualitätsansprüchen unserer Kunden mithilfe aktueller Technik gerecht zu werden. Kunden erhalten ein aussagefähiges Risikobild und eine interne Risk-Heatmap über die Entwicklung, um notwendige Maßnahmen für sich umsetzen zu können. Das Resultat ist eine durchgehende Risiko- und Fehlerkultur mit proaktivem Risiko-Steuerungsprozess, nicht nur bei noris network, sondern auch für Kunden.
noris network wirbt mit SIEM per SOC. Was hat es damit auf sich?
Vielen Unternehmen fehlt das Fachpersonal für Einführung und Betrieb von SIEM. Mit mandantenfähiger SIEM-Software kann noris network nicht nur die IT der Banken und KRITIS-Kunden in ihren zertifizierten Hochsicherheitsrechenzentren überwachen, sondern bietet sein Know-how mit Einführung und Betrieb auch als Managed Service an. Bereits bei der Konzeption eines SIEM bringt die Einbindung externer Experten unmittelbaren Nutzen, wie beispielsweise: kürzere Projektlaufzeiten, weniger Fehlerrisiken und ein kritischer Blick von außen. Hierbei werden zudem per State-of-the-Art-Strukturanalysen die IT-Systeme und Anwendungen erfasst und die daraus resultierenden Schutzbedarfsfeststellungen abgeleitet. Sie können dann für Risikobewertungen angewandt werden. Über die Erstellung von »Use Cases« wird definiert, welche Dienste überwacht werden müssen beziehungsweise wo die Prioritäten bei der SIEM-Einbindung liegen. Im Vulnerability- und Patch-Management werden Anpassungen durchgeführt und neue Anforderungen festlegt. Und das »Playbook« listet nicht nur Notfallpläne für den Umgang mit definierten Security-Vorfällen auf, sondern wirkt proaktiv auf diese ein. SIEM rechnet sich nicht erst, wenn man mit seiner Hilfe einen Angriff schnellstmöglich erkennt und zielgerichtet abwehrt und so Folgekosten und existenzielle Risiken minimiert. Es ist allerdings nur effizient, wenn es wesentlicher Bestandteil im Design/Default-Ansatz ist.