IT-Sicherheit in der Cloud

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: , .


Steffen Siguda

Die Konfiguration der Cloud-Dienste ist entscheidend. Nicht immer sind die gewählten Standardeinstellungen wirklich sicher und manchmal kann auch die Komplexität möglicher Varianten zu Sicherheitslöchern führen.“

Interview mit Steffen Siguda, Corporate InfoSec Officer (CISO) bei der Osram GmbH, über Grundregeln beim Cloud-Computing.

Redaktion: Gerhard Walter, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Cloud-Computing hat in den vergangenen Jahren stetig zugenommen. Auch Osram ist mit seiner IT-Infrastruktur in die Cloud umgezogen. Welche Vorteile bietet die Speicherung von Daten in der „Wolke“ statt auf dem eigenen PC für Unternehmen?
Wir sind bereits 2016 komplett in die Cloud gegangen, denn damals mussten wir innerhalb von wenigen Wochen wegen eines Company-Splits unsere komplette Zentralinfrastruktur inklusive SAP Systemen duplizieren, das ging so schnell nur in der Cloud. Zudem glaube ich, dass ein Cloud-Provider immer ein höheres Sicherheitsniveau anbieten kann, als wir im Eigenbetrieb jemals mit den zur Verfügung stehenden Ressourcen erreichen können.

Auf welche Grundregeln müssen Unternehmen beim Cloud-Computing unbedingt achten, um ihre Daten vor kriminellen Attacken zu schützen?
Aus unserer Erfahrung kann ich sagen: Die Konfiguration der Cloud-Dienste ist entscheidend. Nicht immer sind die gewählten Standardeinstellungen wirklich sicher und manchmal kann auch die Komplexität möglicher Varianten zu Sicherheitslöchern führen. Also immer versuchen, von Beginn an die angebotenen Sicherheitsmechanismen zu verstehen und tatsächlich zu aktivieren, nicht erst einmal testen und hinterher schauen wir uns die Security an. Von vielen Unternehmen weiß ich, dass in den Lizenzen enthaltene oder völlig kostenlose Sicherheitsfeatures nicht aktiv sind – das ist verschenkte Sicherheit. Beispiele wären die Mail-Security Settings wie SPF, DMARC, DKIM oder „Conditional Access“ bei Microsoft Office 365.

Welchen Stellenwert haben Cloud-Anbieter für die IT-Sicherheit?
Die Cloud kann helfen, mit großen Datenmengen umzugehen. Da meistens Internetleitungen viel billiger und breitbandiger sind als interne Standleitungen, ist es unter Umständen hilfreich, Logdaten über dezentrale Internet-Verbindungen in einem zentralen Cloud-Datenspeicher zu sammeln. Dort können dann noch Mehrwertdienste wie Machine-Learning auf die Daten angewendet werden, ohne dass selber entsprechende Infrastruktur aufgebaut und betrieben werden muss.

Und wie können Unternehmen prüfen, ob der ausgewählte IT-Dienstleister der richtige Partner ist – also ob vertrauliche Daten bei ihm in der Cloud tatsächlich sicher sind?
Vertrauen ist gut – Kontrolle ist besser! Bei uns werden zum Beispiel auch alle Cloud-Dienste im monatlichen Schwachstellen-Scan mit geprüft, um zu sehen, ob nicht doch irgendwo Lücken auftreten. Auch müssen zugesicherte SLAs immer wieder verifiziert werden, zum Beispiel kann ein System tatsächlich in der geforderten Zeit wiederhergestellt werden oder funktioniert das angebotene DR-Szenario wirklich wie verkauft? Als Grund-Prüfungskriterium verwenden wir immer die technisch-organisatorischen Maßnahmen aus der Datenschutz-Überprüfung. Wenn ein Provider für personenbezogene Daten vertrauenswürdige Prozesse und technische Infrastruktur bereit stellt, dann sollten auch sonstige vertrauliche Firmendaten gut aufgehoben sein.

Erlauben Sie uns noch die abschließende Frage: Nutzen Sie die „Corona-App“ der Bunderegierung?
Na klar, das ist der kleine Teil, den jeder beitragen kann – und auch als Datenschützer habe ich da keine Bedenken. In der Familie hatten wir sogar eine konkrete Warnung über die App. Der Test war zum Glück negativ, aber wir wissen jetzt, dass der Prozess gut funktioniert.

Steffen Siguda ist seit dem Spin-Off der Osram GmbH vom Siemens Konzern im Juli 2013 als Corporate InfoSec Officer (CISO) für die weltweite Informationssicherheit bei Osram verantwortlich. In dieser Funktion führt er eine globale Organisation mit InfoSec-Kontaktpersonen an allen Osram Standorten, seine Gruppe entwirft und überwacht aber auch alle technischen Sicherheitsfunktionen des Unternehmens (Firewall, Virenschutz, Applikationssicherheit). Osram sieht Bedrohungen der Informationssicherheit nicht nur im technischen Bereich, deshalb wird seit Jahren großer Wert auf Schulungen und Awareness gelegt. Insbesondere mit globalen Awarenesstests wurden signifikante Erfolge erzielt, die sich in der regelmäßigen Abwehr von teilweise hochkomplexen Social-Engineering-Angriffen auszahlen. Zur optimalen Integration der Informationssicherheit in die Applikationslandschaft des Unternehmens ist Steffen Siguda auch als Datenschutzbeauftragter der Osram GmbH tätig.Vor dem Engagement im Bereich Informationssicherheit/Datenschutz war Steffen Siguda nach dem Informatik-Studium an der TU München am Aufbau eines unternehmensweiten Netzwerks und dem Einstieg in die SAP CRM Welt beteiligt.