Illustration: Geralt Absmeier
Unternehmen wissen: Softwarelösungen lassen sich in der Public Cloud schneller und flexibler realisieren, indem sie etwa auf die bestehenden Infrastruktur-Services von AWS aufsetzen. Ein Anbieter für Softwarelösungen hat dieses Potenzial an Geschwindigkeit und Flexibilität der Public Cloud erkannt und nach Wegen gesucht, wie Produkte und Angebote auch mit sensiblen Daten in der Public Cloud sicher arbeiten können. Die Zusammenarbeit mit einer externen Beratung hat schließlich regulatorische und technische Anforderungen geklärt, offene Fragen beantwortet und eine nachhaltige Roadmap für die Prozesse der Zukunft entwickelt.
Die Haufe Group beschäftigt als Anbieter von Software-, Beratungs- oder Weiterbildungslösungen für die Branchen Recht, Steuern und Wirtschaft weltweit 2.000 Mitarbeitende und erzielt einen Jahresumsatz von rund 407 Millionen Euro. Seit 2010 gehört auch der Softwareanbieter Lexware zur Unternehmensgruppe. Mit Lexware bietet die Haufe Group auch Software an, die sich auf kleine und mittlere Unternehmen, Selbstständige und Freiberuflerinnen sowie Freiberufler spezialisiert.
Die Haufe Group war schon früh in die Cloud eingestiegen und stellte seit einigen Jahren verschiedene Anwendungen im Umfeld von Amazon Web Services (AWS) bereit. Diese Anwendungen verarbeiteten zunächst Daten ohne besonderen Schutzbedarf oder Personenbezug. Der Bereich Information and Communications Technology (ICT) schuf dafür die Rahmenstrukturen und bündelte das vorhandene Fachwissen im Unternehmen.
Sensible Daten sicher über US-Cloud-Anbieter verarbeiten
Die Haufe Group plante, neue Produkte in der Cloud anzubieten, wobei die AWS-Cloud auch sensible Daten zeitnah verarbeiten sollte. Doch mit der DSGVO veränderten sich Rahmenbedingungen. Das vorgegebene Governance Framework, das Mitarbeitenden weitgehende Autonomie in ihrer Arbeit ermöglichte, erwies sich als nicht mehr ausreichend, um die Auflagen und Anforderungen zur Verarbeitung sensibler Daten zu erfüllen. Eine Neugestaltung war also nötig, um diesen neuen und auch speziellen Kundenansprüchen gerecht zu werden.
Um eine Anwendung als Beispielprojekt in die AWS-Cloud zu heben, hat die Haufe Group Unterstützung von den 360-Grad-Cloud-Spezialistinnen und –Spezialisten der direkt gruppe erhalten. Auf technischer Seite waren zwar viele Anforderungen und Best Practices der AWS umgesetzt, aber vor allem die Regulatorik und Sicherheitsaspekte stellten noch offene Punkte dar. Insgesamt hatten die Projekt-Stakeholder bei der Haufe Group unterschiedliche Sichtweisen auf die Cloud und wie Datenschutz, Datensicherheit und Kundenakzeptanz umgesetzt werden sollten. Die Haufe Group wollte diese Sichtweisen konsolidieren, um einen gemeinsamen Weg zu entwickeln.
Zentral waren dabei die Risikobewertung und Risikoadressierung; denn AWS konnte spezifische Fragestellungen der Datensicherheit in Bezug auf den amerikanischen Speicherort nicht abschließend auflösen.
Risk Assessment von Applikation und Umgebung
Die direkt gruppe führte eine dedizierte Risikobewertung der Anwendung durch und validierte die bestehende AWS-Umgebung, Prozesse, Dokumentationsstände sowie zentrale Betriebsaspekte, um potenzielle Schwachstellen zu ermitteln. Daraus folgten Empfehlungen und Maßnahmen für eine gemeinsame Roadmap unter Einbindung von Technik, Betrieb und regulatorischen Rollen; aus dieser entstand das neue AWS Framework. Zusätzlich hat die direkt gruppe Kosten und Aufwand sowie Bedarf an internen Ressourcen geschätzt und Workshops für die Projekt-Stakeholder moderiert. In diesen haben auf der einen Seite Produktteams, CTO und ICT, auf der anderen Seite die Verantwortlichen für Datenschutz, IT-Security und Compliance ihre Bedürfnisse, Wahrnehmungen und Anforderungen formuliert.
Die Risikovalidierung fokussierte zunächst auf ein Beispielprodukt, das sensible personenbezogene Daten beinhalten sollte. »Ziel war es, entweder eine akzeptable Risikoannahme zu erreichen oder die Risiken vollständig zu beseitigen«, berichtet Adrian Wnek, Senior Cloud Consultant bei der direkt gruppe. Das Projektteam einigte sich in den moderierten Workshops auf die notwendigen technischen wie organisatorischen Änderungen. »Gerade diese Validierung der Umgebung konnte offene Fragen in Bezug auf das AWS-Framework lösen und allgemein annehmbare Lösungen herausstellen«, so Wnek weiter und betont: »Hier hat unsere branchenübergreifende Erfahrung geholfen, um klar mögliche Lösungen anzubieten und gemeinsam zu bewerten.«
Befähigung zur eigenen Weiterentwicklung der Public Cloud
Wichtig war es dabei, zu technischen wie regulatorischen Themen Entscheidungen zu treffen, die von allen mitgetragen werden konnten. Dazu entwickelten die Teammitglieder auch selbst Lösungen und interpretierten gemeinsam die Regulatorik, um sie in Vorgaben für die Technik zu übersetzen. Dabei kam eine Kombination von Wasserfall-Projektmanagement und Scrum zum Einsatz um einen definierten Rahmen mit festem Enddatum und Projektverantwortlichen aufzustellen. Tandems aus Mitarbeitenden der Haufe Group und Consultants der direkt gruppe stellten den Wissenstransfer sicher. Herausforderungen gab es dabei einige zu meistern, vor allem Zeitdruck aufgrund der Liefernotwendigkeit sowie die Verfügbarkeit von Ressourcen – schließlich waren die Mitarbeiterinnen und Mitarbeiter abseits des Projekts parallel anderweitig eingebunden. Das Ziel stellte ein Haufe-Group-spezifisches Handbuch für die Public Cloud dar, um das spezifische AWS-Framework und die Cloud Governance allgemein selbst weiterentwickeln zu können.
Jede Entscheidung mit Konsens und Dokumentation
Um die Akzeptanz der Entscheidungen zu ermöglichen, erfolgten Beschlüsse in Form von Abstimmungen zu jedem Themengebiet des Zielzustands des AWS-Frameworks. Nicht nur Logmanagement, Benutzerrechte und Verschlüsselung waren daher Gegenstand der Diskussionen. »Auch deren Konzept, Implementierung und Dokumentation sowie die gemeinschaftliche Entscheidung zur Architektur waren wichtig«, ergänzt Wnek und fügt hinzu: »Erst deren gemeinsame Bewertung und der Austausch der Argumente und Anforderungen führte zu einer technischen Implementierung, die von allen Beteiligten abgestimmt wurde und die Anforderungen vollkommen erfüllt. Wichtig war, dass sich die Verantwortlichen mit dieser Implementierung identifizieren und sie wertschätzen.«
Die Implementierung des AWS Frameworks auf der technischen Basis einer AWS LandingZone erfolgte schließlich mit Infrastructure as Code; Konfigurationen wurden in Pipelines hinterlegt. Neue AWS Accounts können seitdem voll automatisiert angelegt werden, was Skalierbarkeit, Wachstum und Sicherheit gewährleistet – denn manuelle Fehler sind damit ausgeschlossen.
Zudem wurde das Zusammenspiel von Cloud-Umgebung (AWS-Framework) und Servicemanagementplattformen (Incident-, Change- und Problemprozesse) orchestriert. Technische Maßnahmen wie Dashboards, Überwachung, Erkennen und Reagieren auf Abweichungen und vorhandene Erfahrungswerte minimieren Risiken weiter. Dazu gehört auch, dass je nach Region, Service und Daten bewusste Limitierungen beim Start neuer Anwendungsentwicklung bereits bestehen.
Die Zusammenarbeit mit der direkt gruppe hat es der Haufe Group ermöglicht, einen gemeinsamen Kenntnisstand und ein gemeinsames Verständnis zur breiteren Nutzung der Public Cloud zu schaffen. Intern können Entwicklerteams, regulatorische Rollen, Architektinnen und Architekten sowie Betriebsverantwortliche eng am gleichen vereinbarten Ziel zusammenarbeiten. Die gemeinsam abgestimmte Roadmap zeigt dabei den Weg zum Onboarding der Kolleginnen und Kollegen, zum Skill-Aufbau im Haus und zur Nutzung der AWS Dienste, die die spezifischen Unternehmensanforderungen und die geplante Skalierung abbildet.
In der AWS LandingZone können die Produktteams nun im gesicherten Rahmen mit klaren Regeln, Verantwortlichkeiten und technischen Limitierungen sensible Daten verarbeiten. Dabei kam das Shared Responsibility Model von AWS zum Einsatz, bei dem AWS die Infrastruktur und genutzten Services bereitstellt und die Haufe Group für Sicherheit und Datenschutz der darauf basierenden Anwendungen verantwortlich ist. Darüber hinaus teilen nun die internen Haufe-AWS Framework Verantwortlichen die ihnen zugewiesene Shared Responsibility des »Customers« mit den Entwicklerteams.
Aufbau eines Cloud Competence Centers
Im Haufe Group Cloud-Team selbst werden nicht nur Fachkenntnisse benötigt, sondern auch ein Enterprise-Verständnis, um das Gesamtbild besser zu verstehen. Die direkt gruppe unterstützt Haufe daher im nächsten Schritt beim Aufbau eines Cloud Competence Centers mit einem Senior Cloud Consultant. Das Competence Center fungiert als fachliche und methodische Begleitung der künftigen Cloudprojekte wie etwa eine weitere Vereinfachung der Governance.
Die vor dem AWS Framework existenten AWS Accounts werden in die neue AWS LandingZone migriert und damit den neuen gemeinsam definierten Spielregeln innerhalb dieser Struktur angepasst. Ziel ist die kontinuierliche Weiterentwicklung des AWS Frameworks. Mit den Erfahrungen aus diesem Projekt, wie in der Cloud Daten sicher verarbeitet werden können, gewinnt die Haufe Group zudem einen weiteren Vorteil: In einem laufenden Projekt für die Microsoft Azure Cloud kann die Haufe Group nun entsprechende Prozesse und technische Umsetzungen mit geringerem Zeitaufwand einführen.
»Gerade der Wissenstransfer von der direkt gruppe zu uns befähigt uns zu dieser Weiterentwicklung. Wir haben jetzt klarere Antworten und sind besser aufgestellt als zu Beginn, um die Cloud Governance zu steuern«, bilanziert Andreas Plaul, Head of ICT-Services. Die direkt gruppe wird die Haufe Group außerdem einem Health Check unterziehen, um neue Bedürfnisse und Weiterentwicklungen festzustellen und um auf diese zu reagieren.
Fazit
In Zusammenarbeit mit der direkt gruppe hat die Haufe Group offene Fragen beim Einsatz des US-amerikanischen Cloud-Dienstleisters AWS beantworten können. Ein Framework und individuelle Best Practices geben einen gesicherten Rahmen für künftige Projekte vor. Damit verfügt die Haufe Group nun über die Expertise und das Prozessverständnis, um standardisiert und mit reduziertem Zeitaufwand weitere Produkte und Services – bestehende aus dem Hosting-Umfeld oder Innovationen – in die Cloud zu bringen.
Nadja Müller, IT-Journalistin für Wordfinder
https://www.haufe.de/
https://www.direkt-gruppe.de/solutionsdirekt/
3078 Artikel zu „Cloud Sicherheit“
NEWS | INDUSTRIE 4.0 | INTERNET DER DINGE | IT-SECURITY
Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit
In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…
NEWS | CLOUD COMPUTING | STRATEGIEN
Cloud-Sicherheit: Unternehmen verlangen skalierbare Elastizität
Wenn Unternehmen ihre Sicherheit in die Cloud verlagern, profitieren Nutzer von einheitlichen Sicherheitsstandards und einer verbesserten Benutzererfahrung. Ein Aspekt ist dabei ähnlich wie bei traditionellen Sicherheitsansätzen. Sowohl für lokale als auch für Cloud-Sicherheitslösungen ist die Kapazitätsplanung von entscheidender Bedeutung, um Verzögerungen oder Störungen im Unternehmen zu vermeiden. Palo Alto Networks erläutert, worauf Unternehmen unter dem…
NEWS | TRENDS SECURITY | TRENDS 2019 | IT-SECURITY
Cloud-Sicherheit durch Insider-Attacken gefährdet
Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar. Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…
NEWS | CLOUD COMPUTING | IT-SECURITY
Sicherheit in der Cloud: Darauf sollten Unternehmen heute achten
Die Cloud bietet zahllose Vorteile, auf die heute kaum mehr ein Unternehmen verzichten kann. Wer sich jedoch für den Schritt in die Cloud entscheidet, sollte sich im Vorfeld vor allem mit einem Thema auseinandersetzen: der Sicherheit. Die meisten denken dabei wohl zuerst an entsprechende Softwarelösungen. Wirkliche Sicherheit in der Cloud lässt sich jedoch nur über…
NEWS | CLOUD COMPUTING | SECURITY SPEZIAL 7-8-2019
Reiseunternehmen Sales-Lentz nutzt die Sophos XG-Firewall aus der Cloud – Sicherheit für Mobilität aus der Cloud
Mobilität ist eines der großen Themen unserer Zeit. Das Reisen von A nach B ist heute ein komplexes Unterfangen, das – digital eingebettet – nicht nur ein Erlebnis für die Reisenden selbst, sondern auch für deren virtuelles -Publikum ist, organisatorische Höchstleistung mit sich bringt und auch bei privaten Reisen zu einem professionellen Maß an Effizienz gelangt ist. Mobilität entwickelt sich in rascher Geschwindigkeit weiter und ist große Aufgabe für Infrastruktur und Sicherheit.
NEWS | TRENDS SECURITY | TRENDS KOMMUNIKATION | TRENDS 2019 | IT-SECURITY | KOMMUNIKATION
Markt für E-Mail-Sicherheit boomt, da sich Cyberangriffe häufen und Unternehmen zunehmend Cloud-Mailboxen nutzen
Für integrierte Lösungen, die mit mehrstufigen, komplexen Angriffen umgehen können, werden erhebliche Wachstumschancen bestehen, so Frost & Sullivan. E-Mail ist zum bevorzugten Medium für die Verbreitung von Malware und Malware-freien Angriffen geworden, und Hacker haben begonnen, Social-Engineering-Techniken für das Vorgeben, jemand anders zu sein, und andere Formen von Täuschung und Betrug einzusetzen. Die ständig wachsende…
NEWS | CLOUD COMPUTING | FAVORITEN DER REDAKTION | IT-SECURITY | RECHENZENTRUM | TIPPS
Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit
Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…
NEWS | IT-SECURITY | PRODUKTMELDUNG
Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud
Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…
NEWS | CLOUD COMPUTING | IT-SECURITY | RECHENZENTRUM | TIPPS
Sicherheit in der Cloud: Herausforderungen bei Cloud-First-Strategie bewältigen
Die heutige vernetzte Welt basiert auf der Datenzugänglichkeit von überall, zu jeder Zeit und auf jedem Gerät. Die Geschwindigkeit und Agilität, die mit Hosting-Diensten und -Anwendungen in der Cloud einhergeht, sind für den Erfolg zentral. Die damit verbundenen Vorteile haben Unternehmen in den letzten Jahren gezwungen, zumindest einige und in manchen Fällen sogar alle ihre…
NEWS | CLOUD COMPUTING | IT-SECURITY | AUSGABE 1-2-2019
IT-Sicherheitsprognosen 2019 – Fokus auf die Cloud
Im Jahr 2019 werden Cyberkriminelle neue innovative Wege beim Ausnutzen von Sicherheitslücken finden. Sie werden weiterhin IoT-Geräte auf ihrem Radar haben und außerdem in der Cloud nach neuen Möglichkeiten suchen, um gefährdete Anwendungen angreifen zu können. Unternehmen sollten daher daran arbeiten, effektivere Sicherheitslösungen einzusetzen, die aber auch ihr Budget nicht überfordern.
NEWS | CLOUD COMPUTING | IT-SECURITY | TIPPS
Datensicherheit in der Cloud: Best Practices gegen Man-in-the-Cloud-Attacken
Das Nutzen von Cloud-Services gehört für die Mehrheit der Unternehmen längst zum festen Bestandteil der IT-Strategie. Die Möglichkeit des Datenzugriffs jederzeit und überall bringt zahlreiche Vorteile mit sich, allen voran verbesserte Flexibilität und erhöhte Produktivität. Die gestiegene Popularität dieser Dienste ist jedoch von böswilligen Akteuren nicht unbemerkt geblieben, was neue Arten von Cyberangriffen hervorgebracht hat.…
NEWS | TRENDS SECURITY | CLOUD COMPUTING | TRENDS SERVICES | TRENDS 2018 | IT-SECURITY | RECHENZENTRUM | SERVICES
Die 5 häufigsten Bedenken hinsichtlich der Public-Cloud-Sicherheit
Wer ist eigentlich für die Sicherheit in der Public Cloud verantwortlich? Keine leichte Frage. Vor allem, weil Sicherheitsverletzungen weitreichende Folgen nach sich ziehen können. Aus Sicht von Rackspace sind dies die 5 häufigsten Bedenken von Unternehmen, wenn es um die Public-Cloud-Sicherheit geht: 1) Schützen Amazon, Microsoft und Google meine Cloud nicht? Die Cloud-Sicherheit besteht…
NEWS | TRENDS SECURITY | TRENDS CLOUD COMPUTING | CLOUD COMPUTING | TRENDS 2018 | IT-SECURITY | SERVICES
Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit
Nutzung von Cloudanwendungen deutlich gestiegen. Office 365 und AWS auf dem Vormarsch. Eine aktuelle Studie liefert einen Überblick zur Nutzung von Cloudanwendungen in Europa [1]. Untersucht wurden dafür 20.000 Unternehmen in Deutschland, Frankreich, den Niederlanden, Italien, Spanien und Großbritannien. Während die Nutzung von Office 365 mit 65 Prozent einen neuen Rekordwert erreicht hat, lässt…