Security Governance & Risk Management im Cloud-Kontext

Wie gelingt regulierten Unternehmen die sichere Reise in die Cloud?

Die Cloudstrategie steht: Mithilfe von Clouddiensten will das Unternehmen Schritt für Schritt agiler und wettbewerbsfähiger werden, Prozesse optimieren, Kosten sparen und die digitale Transformation vorantreiben. Aber nur ein strukturiertes Vorgehen kann gewährleisten, dass die Reise in die Cloud ein Erfolg wird – vor allem auch in Bezug auf Security Governance und Risk Management. Als erfahrene Reisebegleiter zeigen Swisscom und itnetX dabei den richtigen Weg.

Text: Michael Richter, 01. September 2021

Gerade für Unternehmen in regulierten Branchen ist die umfassende Absicherung ihrer IT-Systeme Teil ihrer täglichen Arbeit. Denn sie sind in besonderer Weise verpflichtet, sensible Daten wie zum Beispiel Patienten- oder Bankkundeninformationen vor dem Zugriff Unbefugter zu schützen, Transparenz zu gewährleisten oder die Verfügbarkeit kritischer Systeme sicherzustellen. Mit dem Gang in die Cloud ändert sich hier weit mehr als nur ein Bereitstellungsmodell: Wie können Unternehmen regulatorische Anforderungen erfüllen und ihre Daten und Systeme zuverlässig schützen, wenn diese nicht mehr im eigenen Rechenzentrum, sondern bei einem Cloudanbieter liegen?

Sorgfältige Anbieter-Auswahl minimiert das Risiko

«Cloud-Sicherheit steht und fällt mit einer strukturierten Methodik», erklärt Christoph Schweizer, Customer Care Executive beim IT- und Cloud-Spezialisten itnetX, einer Swisscom Tochter. «Für regulierte Unternehmen empfehlen Experten beim Gang in die Cloud ein risikobasiertes Vorgehen.»

Risikominimierung beginnt bereits bei der Auswahl eines geeigneten Cloudanbieters. Hier sind neben Leistungsspektrum, Kompetenzen und Erfahrungen des Anbieters zahlreiche weitere Aspekte relevant, darunter wirtschaftliche Stabilität, Data-Center-Standorte oder die zuständige Jurisdiktion. Ist die Wahl getroffen, müssen angemessene technische und organisatorische Massnahmen zur Umsetzung von Security- und Compliance-Vorgaben festgelegt und vertraglich vereinbart werden.

Dabei gilt ein «Shared-Responsibility»-Modell, bei dem Sicherheitsmassnahmen zwischen Kunde und Anbieter aufgeteilt werden. Dennoch liegt die Compliance-Verantwortung weiterhin beim Kunden: Cloudanbieter fungieren im zukünftigen revidierten DSG und der europäischen DSGVO als «Auftragsverarbeiter»; Unternehmen müssen auf geeignete Weise deren Sicherheitsstandards und Massnahmen überprüfen und überwachen.

«Die Überprüfung von Cloudanbietern ist schwierig und aufwendig, gerade in Multi-Cloud-Umgebungen», sagt Christoph Schweizer von itnetX. «Unternehmen können aber dabei auf Zertifikate und Audits unabhängiger Prüfinstanzen zurückgreifen. Auch itnetX und Swisscom können Unternehmen hier unterstützen, denn sie arbeiten im Rahmen ihres Partner-Ökosystems eng mit führenden Public-Cloud-Anbietern wie Microsoft oder Amazon Web Services (AWS) zusammen. Zudem ermöglicht das Private-Cloud-Angebot von Swisscom auch hybride Szenarien. Swisscom fungiert als zentraler Cloud-Ansprechpartner für die Kunden, führt sie durch den Auswahlprozess, dokumentiert den ‹Audit Trail› und unterstützt bei der Migration und der Absicherung von Anwendungen und Daten.»

Risikobasierte Security- und Compliance-Massnahmen

Bei der Festlegung konkreter Massnahmen muss geprüft werden, was geeignet und angemessen ist, um relevante Risiken zu begrenzen, beispielsweise das Risiko des Zugriffs auf sensible Daten durch Unbefugte. Auch hier empfiehlt sich ein Vorgehen, bei dem Best Practices auf die Kundensituation angewandt und in strukturierter Weise umgesetzt werden.

Bei der Absicherung ihrer Cloud-Anwendungen können sich Unternehmen an bewährten Security-Frameworks orientieren, beispielsweise den Standards des Center for Internet Security (CIS), dem NIST Cybersecurity Framework oder den Guidelines der Cloud-Provider, etwa Microsoft Security Best Practices (früher Security Compass) oder die Security Best Practices von AWS.

Ausserdem ist es empfehlenswert, die Hilfe von erfahrenen Experten wie itnetX und Swisscom in Anspruch zu nehmen. «Die digitale Transformation wird häufig als Reise beschrieben, die in noch unbekanntes Terrain führt», sagt Christoph Schweizer von itnetX. «Da ist es natürlich besonders wichtig, eine ortskundige Begleitung zu haben, die die Richtung kennt, hilft Hindernisse zu umgehen und auch die eine oder andere Abkürzung weiss.»

Swisscom und itnetX kennen den Weg

Swisscom hat bereits zahlreiche Unternehmen erfolgreich auf ihrem Weg in die Public Cloud begleitet, darunter auch viele aus hochregulierten Branchen. Weil gerade bei diesen Unternehmen Sicherheit und Datenschutz zentrale Anforderungen sind, hat Swisscom dafür ein spezielles Vorgehen für die Umsetzung von Best Practices für Public Clouds entwickelt.

«Wir haben diesen Blueprint auf besonders hohe Security- und Compliance-Anforderungen ausgerichtet», erklärt Andrea Meier, Head of Public Clouds B2B bei Swisscom. «Damit haben wir eine umfassende Basis, um die individuellen Anforderungen regulierter Unternehmen wie Banken, Medizintechnik-Hersteller, Kliniken oder Versorger sicher umzusetzen.»

Diese Methodik kommt auch bei Swisscom selbst zum Einsatz. «Als wir bei Swisscom vor sechs Jahren die Migration in unsere private Swisscom Enterprise Service Cloud starteten, haben wir uns auf unser eigenes bewährtes Security-Framework gestützt, das an unsere Anforderungen als regulierter Telekommunikationsanbieter und Betreiber kritischer Infrastrukturen angepasst ist», berichtet Andrea Meier. «Zudem sind wir kürzlich mit AWS eine strategische Partnerschaft eingegangen, um ausgewählte Applikationen Schritt für Schritt in die Public Cloud von AWS umzuziehen. Dafür wurde unter anderem ein Prozess ausgearbeitet, der sicherstellt, dass nur solche Daten die Swisscom Rechenzentren verlassen, die dafür explizit freigegeben wurden. So haben wir erfolgreich eine Methodik etabliert, um kontinuierlich Security und Compliance auch in verschiedenen Cloud-Szenarien zu gewährleisten.»