Ein Bericht von Jupiter One aus dem Jahr 2023 zeigt ein jährliches Wachstum der gefährdeten Cloud-Angriffsfläche um fast 600 %. Genauer gesagt, verzeichneten Organisationen einen Anstieg der Cyber-Assets um 133 % und einen Anstieg der Sicherheitslücken bzw. ungelösten Funde um 589 % im Jahr 2023.

Um Ihr Unternehmen vor kostspieligen Cloud-Sicherheitslücken zu schützen, die zu Datenverletzungen führen könnten, ist es wichtig, dass Sie die Anforderungen der Cloud-Compliance verstehen und einhalten.

Nachfolgend werfen wir einen genaueren Blick darauf, was Cloud-Compliance ist. Dann erörtern wir die Bedeutung der Cloud-Sicherheits-Compliance und geben Tipps zur Stärkung Ihrer Cloud-Sicherheit.

Was ist Cloud-Compliance?

Cloud-Compliance ist der Prozess der Einhaltung von Vorschriften zur Cloud-Nutzung sowie lokaler, nationaler und internationaler Gesetze.

Mit anderen Worten, um Cloud-konform zu sein, müssen die Cloud-Computing-Dienste Ihrer Organisation alle Anforderungen erfüllen, einschließlich:

• Branchenspezifische Standards wie der Payment Card Industry Data Security Standard (PCI DSS) und das Health Insurance Portability and Accountability Act (HIPAA) für Gesundheitsorganisationen
• Gesetze wie die Allgemeine Datenschutzverordnung der EU (GDPR)
• Jegliche internen Governance-Richtlinien, die ein Unternehmen erstellt, um seine Ziele und Vorgaben zu erreichen

Werfen wir nachfolgend einen genaueren Blick auf diese Komponenten.

Komponenten der Cloud-Compliance

Die Anforderungen an die Cloud-Compliance variieren je nach Branche und den Vorschriften, die Ihr Unternehmen leiten.

Im Folgenden gehen wir auf die Komponenten ein, die die allgemeine Cloud-Compliance prägen.

Standards

Bestimmte Branchen geben spezifische Anweisungen für den ordnungsgemäßen Umgang mit Daten in der Cloud vor. Diese werden als Cloud-Sicherheits-Compliance-Standards bezeichnet.

Beispielsweise beinhaltet ISO innerhalb von ISO 27017 und ISO 27018 cloud-spezifische Sicherheitskontrollen. Das bedeutet, dass spezifische Informationssicherheitskontrollen hinsichtlich der Konfiguration Ihrer Cloud-Umgebung implementiert werden müssen.

HIPAA schreibt auch vor, dass ein gedecktes Unternehmen und sein Cloud-Dienstanbieter (CSP) eine Geschäftsassoziationsvereinbarung eingehen müssen, in der der CSP für die Einhaltung der HIPAA-Regeln verantwortlich gemacht wird.

Gesetze und Verordnungen

Gesetze und Verordnungen — auf globaler, nationaler und staatlicher Ebene — tragen ebenfalls zur Gestaltung der Cloud-Compliance-Anforderungen bei.

Es ist wichtig, die Gesetze und Vorschriften Ihres Landes in Bezug auf Cloud-Compliance, Datenschutz, Datensicherheit und Datenlokalisierung sowie Cybersicherheit zu verstehen.

Einige gängige Vorschriften sind HIPAA, PCI DSS und SOX.

Governance

Cloud-Governance-Kontrollen helfen, die Daten eines Unternehmens in der Cloud zu verwalten und klare Sicherheitsrichtlinien für die Nutzung (und die Nichtnutzung) der Cloud bereitzustellen.

Unternehmen sollten Richtlinien für die Organisation, das Teilen und die Verfolgung von Informationen in der Cloud sowie für die Erweiterung der Cloud-Nutzung haben. Diese sollten auch die Eigentümerschaft und Verantwortung für die Cloud-Strategie abdecken.

Warum ist Cloud-Compliance wichtig?

Ab 2022 wurden über 60 Prozent aller Unternehmensdaten in der Cloud gespeichert — doppelt so viel wie 2015.

Laut der 2023 Thales Global Cloud Security Study verlagern Organisationen weiterhin mehr Daten und Arbeitslasten in die Cloud. In diesem Jahr gaben 27% der Organisationen an, dass 60% oder mehr ihrer Arbeitslasten in der Cloud liegen, ein Anstieg von 23% der Organisationen im Jahr 2022.

Mit mehr Daten, die in die Cloud verlagert werden, muss ein Unternehmen seine eigene Rolle und Verantwortung für die Sicherung dieser Daten verstehen, einschließlich der Erreichung und Aufrechterhaltung der Compliance mit den Cloud-Anforderungen. Dies ist nicht nur für den Aufbau des Kundenvertrauens, sondern auch zur Vermeidung kostspieliger Datenverletzungen unerlässlich.

In IBM’s 2023 Cost of a Data Breach waren 82% aller Verstöße mit in der Cloud gespeicherten Daten verbunden — einschließlich der öffentlichen Cloud, der privaten Cloud oder mehrerer Umgebungen. Die Kosten dieser Verstöße waren ebenfalls typischerweise höher als der Durchschnitt. Die durchschnittlichen Kosten für Verstöße mit Daten in mehreren Umgebungen betrugen 4,75 Millionen USD, während die durchschnittlichen Kosten für Verstöße mit Daten in der öffentlichen Cloud 4,57 Millionen USD betrugen, was 6,7% bzw. 2,7% höher war als die durchschnittlichen Kosten aller Datenverletzungen im Jahr 2023.

Kurz gesagt, Cloud-Compliance kann Ihnen helfen, die Vorteile des Cloud-Computing — Kosteneffizienz, Backup und Wiederherstellung von Daten, Skalierbarkeit — zu nutzen und gleichzeitig eine starke Sicherheitslage aufrechtzuerhalten.

Herausforderungen der Cloud-Compliance

Während Cloud-Lösungen eine Vielzahl von Vorteilen bieten, bringen sie auch eine einzigartige Reihe von Herausforderungen mit sich.

Operative Komplexität aufgrund von Multi-Cloud-Umgebungen

Die 2023 Thales Global Cloud Security Study zeigt eine wachsende Anzahl von Unternehmen, die mehr Cloud-Dienstanbieter nutzen. Mehr als drei Viertel (79%) der Befragten in diesem Jahr haben mehr als einen Cloud-Anbieter, wobei die Durchschnittszahl bei 2,3 liegt.

Dies bedeutet, dass Organisationen mit einer erhöhten Angriffsfläche und der Möglichkeit von Betriebsfehlern konfrontiert sind, wenn es darum geht, mehr Plattformen zu sichern. Sie müssen auch sicherstellen, dass ihre zunehmend komplexe Cloud-Umgebung allen geltenden Anforderungen entspricht. Um diese Herausforderungen zu bewältigen, müssen Organisationen möglicherweise separate Teams für jede Plattform einrichten, die sie verwenden, oder ihr Sicherheitsteam erweitern oder weiterbilden, um mehrere Plattformen gleichzeitig sichern und Cloud-Compliance erreichen zu können.

Schatten-IT und Daten

Erhöhter Cloud-Einsatz öffnet auch Tür zu Schatten-IT, wenn Mitarbeiter Cloud-Technologie ohne ausdrückliche Genehmigung verwenden. Dieser Begriff mag beängstigend klingen, aber in der Praxis könnte Schatten-IT so einfach sein wie der Kauf zusätzlichen Cloud-Speichers ohne ordnungsgemäße Genehmigung. Unkontrolliert kann Schatten-IT zu Datenverlust, einer erhöhten Angriffsfläche und Nichtkonformität führen.

Schnelle Einführung von Cloud-Apps und -Diensten erhöht auch das Risiko von Schattendaten, was sich auf sensible Daten bezieht, die nicht verfolgt oder verwaltet werden. Schattendaten erhöhen das Compliance-Risiko, insbesondere in Multi-Cloud-Umgebungen.

Übermäßige Abhängigkeit von der Sicherheit des Cloud-Dienstanbieters

Die Nutzung eines bekannten CSP kann Unternehmen auch ein falsches Gefühl der Datensicherheit vermitteln und zu Compliance-Lücken führen.

Nehmen Sie zum Beispiel die 2021 Azure Cosmos DB Verwundbarkeit. Verwendet von Marken wie Mercedes-Benz und Mars, Incorporated, erlebte die Datenbank eine große Verwundbarkeit, die es einem Benutzer ermöglichte, den Zugangsschlüssel eines anderen zu stehlen. Diese Verwundbarkeit blieb zwei Jahre unentdeckt.

Dies zeigt, dass Microsoft Azure, wie andere bekannte CSPs, Verwundbarkeiten haben kann — selbst wenn sie über eine umfangreiche Liste von Compliance-Zertifizierungen verfügen. Deshalb ist es so wichtig, dass Unternehmen, die CSPs nutzen, großen Wert auf ihr eigenes Sicherheitsmanagement und die Überwachung der Compliance legen.

11 Tipps für eine bessere Cloud-Compliance

Fragen Sie sich, wie Sie Ihre Cloud-Compliance-Praktiken verbessern können? Wir bieten unten acht Tipps an.

1. Vorschriften und Richtlinien identifizieren

Der erste Schritt zur Einhaltung der Cloud-Compliance besteht darin, zu ermitteln, welche Vorschriften und Branchenstandards Ihr Unternehmen einhalten muss.

Gemeinsame Cloud-Compliance-Rahmenwerke umfassen:

• ISO 27001
• ISO/IEC 27017
• ISO/IEC 27018
• SOC 2
• NIST
• HIPAA
• PCI DSS
• Sarbanes-Oxley Act (SOX)
• FedRAMP
• Die CSA Cloud Controls Matrix
• DSGVO
• AWS Foundational Technical Review

2. Verantwortung verstehen

Viele Cloud-Anbieter wie Amazon Web Services (AWS) skizzieren spezifische Verantwortlichkeiten der Cloud-Nutzung. AWS verwendet das Modell der geteilten Verantwortung, das die Verantwortung zwischen AWS und dem Kunden aufteilt.

AWS ist verantwortlich für die Sicherheit der Infrastruktur, die alle Dienste in der AWS-Cloud betreibt. Der Kunde ist verantwortlich für die sichere Konfiguration der genutzten Cloud-Dienste sowie für alle Kundendaten. Letztere können den AWS Foundational Technical Review (FTR) befolgen, ein Rahmenwerk, das einige der Best Practices und Anforderungen zur Minimierung von Risiken in den Bereichen Sicherheit, Zuverlässigkeit und betriebliche Exzellenz umfasst.

Das geteilte Verantwortungsmodell von AWS führt bei vielen Unternehmen zu dem Irrglauben, dass die gesamte Verantwortung für die Einhaltung von Vorschriften bei AWS liege. Das ist nicht der Fall.

Die Verantwortung für die Einhaltung der Vorschriften liegt letztlich bei den Unternehmen, da sie für die Daten, die sie in die Cloud laden, und für die sichere Konfiguration der genutzten Dienste verantwortlich sind.

3. Verstehen Sie die einzigartigen Anforderungen Ihrer Cloud-Umgebung

Neben der gemeinsamen Sicherheitsverantwortung beeinflusst das Dienst- und Bereitstellungsmodell einer Cloud-Umgebung, wer für die Sicherheitsanforderungen zuständig ist. Die gängigsten Dienste sind Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Die häufigsten Bereitstellungsmodelle sind öffentlich, privat und hybrid.

In einer PaaS-Umgebung ist beispielsweise der Administrator für die Anwendungen verantwortlich, während der Cloud-Dienstanbieter (CSP) für die physischen Server, das physische Netzwerk, den Hypervisor und die Betriebssysteme zuständig ist. Wer für die Bestandsaufnahme und Kontrolle der Hardware verantwortlich ist, unterscheidet sich bei hybriden und öffentlichen Cloud-Umgebungen.

Um sicherzustellen, dass Sie den Sicherheits- und Compliance-Bestimmungen folgen, müssen Sie die einzigartigen Risiken und Anforderungen Ihrer Cloud-Umgebung verstehen.

4. Stellen Sie eine angemessene Zugangskontrolle sicher

Genau wie Unternehmen einen Prozess zur Freigabe der Zugangskontrolle für neue Mitarbeiter oder Anbieter haben, benötigen Sie etwas Ähnliches für die Cloud-Sicherheit.

Unternehmen sollten eine Richtlinie für die Beschränkung und Gewährung des Zugriffs auf ihre Cloud-Umgebung, Netzwerke, Instanzen und gespeicherten Daten einführen. Sie können auch bedarfsbasierte Zugriffsregeln und Ablaufdaten einführen, um nachzuverfolgen, wer Zugang hat und wie lange. Die Gewährleistung, wer Zugang zu Ihrem Netzwerk hat und wie der Datenverkehr im Netzwerk fließt, ist entscheidend für eine angemessene Zugangskontrolle und sicherstellt, dass das Prinzip des minimalen Zugriffs und der minimalen Funktionalität umgesetzt wurde.

5. Klassifizieren Sie Ihre Daten.

Beim Speichern von Daten in der Cloud ist es wichtig zu wissen, wo sich die Serverstandorte befinden, da viele Vorschriften verlangen, dass Server in den USA ansässig sind.

Sobald Sie einen Cloud-Anbieter gewählt haben, müssen Sie bestimmen, welche Arten von Daten Sie in der Cloud speichern möchten. Dies können Sie erreichen, indem Sie Ihre Daten klassifizieren.

Datenklassifizierung ist der Prozess der Sortierung von Daten in verschiedene Kategorien. Dies hilft Unternehmen, ihre Daten einfacher zu verwalten, zu sichern und zu speichern.

Als allgemeine Best Practice sollten hochvertrauliche oder sensible Daten in einem internen Netzwerk verbleiben und nicht in die Cloud migriert werden.

6. Verschlüsseln Sie alle sensiblen Daten, die in der Cloud existieren

Laut der Thales Global Cloud Security Studie 2023 verschlüsselt die Mehrheit (60%) der Unternehmen immer noch nicht die Hälfte der sensiblen Daten, die sie in der Cloud speichern, obwohl 39% angaben, dass sie im letzten Jahr einen Datenverstoß in ihrer Cloud-Umgebung erlitten haben.

Obwohl diese Zahl eine Verbesserung gegenüber der Studie des Vorjahres darstellt, die berichtete, dass 83% mehr als die Hälfte ihrer sensiblen Daten in der Cloud nicht verschlüsselten, gibt es noch erheblichen Verbesserungsbedarf - insbesondere wenn man bedenkt, dass nur 2% der Befragten angaben, alle ihre sensiblen Daten in der Cloud zu verschlüsseln.

Die Verschlüsselung, sowohl im Ruhezustand als auch während der Übertragung, ist der Schlüssel zum Schutz sensibler Daten, die in der Cloud existieren müssen. Die Verschlüsselung von Daten hilft Ihnen auch, die meisten Compliance-Anforderungen wie PCI DSS und GDPR zu erfüllen.

Ihr Cloud-Anbieter bietet möglicherweise Verschlüsselungsdienste an, aber denken Sie daran, dass es immer noch die Verantwortung des Unternehmens ist, Daten während der Übertragung und Speicherung zu schützen.

7. Verwenden Sie eine Plattform, die Ihre Compliance-Quelle der Wahrheit sein kann

Die Verwendung einer Plattform, die Transparenz und Kontrolle über alle Ihre Compliance-Daten bietet, selbst wenn diese auf eine hybride Cloud-Umgebung verteilt sind, kann die Cloud-Compliance erheblich vereinfachen. Secureframe beispielsweise kann Daten aus einer Vielzahl von Cloud-basierten Systemen integrieren und sammeln, die relevante Compliance-Daten speichern oder besitzen. Anschließend testet es diese Daten, um zu validieren, dass Kontrollen vorhanden sind und effektiv in Ihrer Umgebung arbeiten. Angenommen, Sie speichern einige Daten in AWS. Mithilfe von Secureframe-Tests können Sie auf einen Blick sehen, ob RDS-Snapshots so konfiguriert sind, dass sie eine Verschlüsselung im Ruhezustand für alle Ihre Datenbanken in AWS ermöglichen, und alle beheben, die nicht bestehen.

Diese Art von Transparenz und Automatisierung ermöglicht es Ihnen, Daten einfacher und schneller zu schützen und Korrekturmaßnahmen zu ergreifen, um Fehlkonfigurationen oder Compliance-Probleme in Datenbanken, Anwendungen und Diensten zu beheben, die in einer hybriden Cloud-Umgebung bereitgestellt werden.

8. Führen Sie regelmäßige interne Audits durch

Eine der besten Möglichkeiten, Sicherheitslücken und Schwachstellen aufzudecken, besteht darin, regelmäßige interne Sicherheitsaudits durchzuführen.

Überprüfen Sie Ihre Cloud-Compliance erneut, um sicherzustellen, dass sie den gesetzlichen Anforderungen entspricht. Es ist auch eine gute Praxis, über Aktualisierungen der gesetzlichen Anforderungen informiert zu bleiben, damit Sie proaktive Anpassungen vornehmen können.

9. Verstehen Sie Ihr Service-Level-Agreement und Ihren rechtlichen Vertrag in- und auswendig

Einfach ausgedrückt legen Service-Level-Agreements (SLAs) die Grundregeln und Erwartungen fest, die ein Unternehmen an den Cloud-Dienstleister stellt, dem es seine Daten anvertraut.

Ein SLA sollte sehr klar die Rollen und Verantwortlichkeiten, die Ausführung der Vorfallreaktion und die Behebung von Datenschutzverletzungen festlegen. Alles im SLA muss den Vorschriften entsprechen, die Ihr Unternehmen regeln.

Ihr SLA sollte auch ein Leitfaden dafür sein, wie Probleme – sowohl erwartete als auch unerwartete – gehandhabt werden sollen.

Ein rechtlicher Vertrag ist ein weiteres wichtiges Element Ihrer Cloud-Sicherheit. Er sollte die Haftung sowie die Offenlegung von Verstößen und die Zeitframes für die Vorfallreaktion hervorheben.

10. Nutzen Sie Automatisierung, um das Potenzial für menschliche Fehler und Fehlkonfigurationen zu verringern

In der Thales Global Cloud Security Study 2023 gaben mehr als die Hälfte (55 %) der Befragten an, dass menschliche Fehler Cloud-Datenverletzungen in ihren Organisationen auslösten. Die Verwendung von KI und automatisierten Workflows, um den Schutz von Daten in der Cloud zu vereinfachen und verwaltbar zu machen, ist eine Möglichkeit, die Herausforderungen menschlicher Fehler und Fehlkonfigurationen anzugehen.

Secureframe’s Comply AI for Remediation beispielsweise hilft Kunden, Cloud-Fehlkonfigurationen schnell und einfach zu beheben. Mit Infrastructure as Code (IaC) generiert Comply AI for Remediation automatisch Anleitungen zur Behebung, die auf die Cloud-Umgebung der Benutzer zugeschnitten sind, sodass diese das zugrunde liegende Problem, das die fehlerhafte Konfiguration in ihrer Umgebung verursacht, problemlos aktualisieren können. Dies beseitigt die manuelle Arbeit der Codeerstellung, reduziert das Risiko menschlicher Fehler und verbessert die Genauigkeit bei der Behebung von Fehlkonfigurationen.

11. Nutzen Sie kontinuierliche Überwachungskapazitäten

Kontinuierliche Überwachungskapazitäten umfassen automatisierte Warnungen für Abweichungen, fehlschlagende Tests und Sicherheitsvorfälle in Ihren Cloud-Umgebungen. Die Verwendung eines Automatisierungstools mit diesen Fähigkeiten kann verhindern, dass Ihre Organisation nicht mehr konform mit den Cloud-Anforderungen ist, selbst wenn sich Vorschriften und Technologien weiterentwickeln.

Cloud-Sicherheitsanbieter und deren Compliance-Angebote

Die großen Cloud-Plattform-Anbieter bieten Tools an, um ihren Kunden zu helfen, Compliance-Anforderungen zu erfüllen und ihre Cloud-Ressourcen zu sichern. Im Folgenden werden wir die Compliance-Angebote der drei führenden CSPs untersuchen, um Ihnen zu helfen, die beste Lösung für Ihr Unternehmen und Ihre Cloud-Compliance-Bedürfnisse zu finden.

AWS Cloud Compliance

Für AWS gilt das Modell der geteilten Verantwortung, bei dem die Kunden für die Sicherheit in der Cloud und AWS für die Sicherheit der Cloud verantwortlich sind. AWS sichert also physische Hosts, Speicher und Netzwerke, während die Kunden ihre eigenen Daten und Anwendungen sichern.

Um Kunden zu helfen, bietet AWS die folgenden Compliance-Angebote an:

• Unterstützt die Sicherheitsstandards und Compliance-Zertifizierungen PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-171 und AWS FTR.
• Bietet den Audit Manager als optionalen Service für AWS-Kunden an, um automatisch zu bewerten, ob Workload-Konfigurationen bestimmten Compliance-Anforderungen wie GDPR und PCI DSS entsprechen.
• Bietet Aktivitätsüberwachungsdienste an, die Konfigurationsänderungen und Sicherheitsereignisse in Ihrem System erkennen

Azure Cloud Compliance

Für Azure ist das Modell der geteilten Verantwortung komplexer. Der Kunde ist immer für Daten, Geräte und Benutzerkonten und -identitäten verantwortlich, während Azure immer für physische Hosts, Speicher und Netzwerke verantwortlich ist. Es gibt jedoch eine weitere Kategorie, die Anwendungen, Netzwerkkontrollen und Betriebssysteme umfasst. Wer für diese Kategorie verantwortlich ist, hängt davon ab, ob der Dienst SaaS, PaaS oder IaaS ist.

Um Kunden zu helfen, bietet Azure die folgenden Compliance-Angebote an:

• Bietet Compliance-Angebote, die auf Schlüsselindustrien wie Gesundheit, Regierung und Medien zugeschnitten sind.
• Bietet eine Reihe von Sicherheitsprüfungs- und Protokollierungsoptionen, um Lücken in Ihren Sicherheitsrichtlinien und Mechanismen zu identifizieren.
• Enthält Azure Blueprints zum Bündeln von Vorlagen, rollenbasierten Zugriffskontrollen und Richtlinien für die Erstellung oder Aktualisierung konformer Umgebungen.

Google Cloud Compliance

Für Google ist das Modell der geteilten Verantwortung noch komplexer, da es im Detail beschreibt, ob der Kunde oder Google für die Sicherung jeder Hauptkategorie, einschließlich Inhalt, Zugriffskontrollen und Hardware, abhängig von ihrem Diensttyp verantwortlich ist.

Um Kunden zu helfen, bietet Google die folgenden Compliance-Angebote an:

• Bietet Assured Workloads an, damit Kunden Sicherheitskontrollen auf ihre Cloud-Umgebung anwenden können, um Compliance-Anforderungen zu unterstützen.
• Beinhaltet Cloud-Audit-Protokolle, um Google Cloud-Daten und -Systeme auf mögliche Schwachstellen oder externen Datenmissbrauch zu überwachen.
• Stellt sichere Blueprints mit den von Google empfohlenen Sicherheitseinstellungen zur Verfügung, um Ihnen zu helfen, sichere Lösungen bereitzustellen und aufrechtzuerhalten.

Wie Secureframe Ihnen helfen kann, die Cloud-Compliance zu überwachen und zu pflegen

Die Verwaltung Ihrer Cloud-Compliance muss nicht kompliziert sein.

Secureframe hilft Ihnen, die Cloud-Compliance zu überwachen und zu pflegen, indem es sich mit Ihrer Cloud-Infrastruktur, einschließlich AWS, Azure und Google Cloud, verbindet. Unsere API- und Datenintegrationen scannen kontinuierlich Ihre Cloud-Umgebung und bieten präzise und maßgeschneiderte Empfehlungen zur Behebung, sodass Sie fehlerhafte Kontrollen schneller beheben und Cloud-Risiken mindern können.

Vereinbaren Sie noch heute eine Demo, um herauszufinden, wie Secureframe Ihnen bei der Verwaltung der Cloud-Compliance helfen kann.

Dieser Beitrag wurde ursprünglich im März 2022 veröffentlicht und wurde für Vollständigkeit aktualisiert.