Prozessstandardisierung zur Einführung von Cloud-Diensten

Was ist die Hauptproblematik bei der Einführung von Cloud-Diensten?

In jedem Projekt stellt sich die Kernfrage: Was ist Cloud überhaupt? Jedes Unternehmen muss sich mit dieser Frage beschäftigen, weil die Grenze zur einfachen Internetnutzung oft und vor allem für die Anwender, die in der Regel wenig IT-affin sind, nicht sichtbar ist.

Wenn eine neue Cloud-Anwendung wie zum Beispiel ein Übersetzungstool, das über eine bestimmte Web-Schnittstelle genutzt wird, im Unternehmen eingeführt werden soll, dann kann es sein, dass dieses Übersetzungstool schon längst verwendet wird. Die Anwender empfinden es als ganz normal, im Internet zur Verfügung stehende Anwendungen zu benutzen. Vielleicht verwenden die Mitarbeiter eine kostenlose Version dieses Tools oder haben sich an der Beschaffung vorbei eine kostenpflichtige Version organisiert, die in der Abteilung zum Einsatz kommt. Letztendlich kann dieser Wildwuchs an Cloud-Anwendungen, die im Unternehmen genutzt werden, nicht ohne geregelte Prozesse kontrolliert werden. Bei lokaler Software auf einem Client stellt sich diese Problematik nicht, denn dort kann man das Installieren von Software unterbinden. Doch einen Browser hat jeder und über den Browser kann man die meisten aller Cloud-Anwendungen bedienen.

Fällt es im Unternehmen denn nicht auf, wenn die Mitarbeiter Anwendungen verwenden, die sie nicht nutzen sollen?

Wenn im großen Stil SaaS-Anwendungen genutzt werden, die so nicht vorgesehen sind, fällt das schnell in den Bereich der Schatten-IT. Wenn das allerdings nur hier und da passiert, wird es nicht unbedingt bemerkt. Grundsätzlich ist es ja begrüßenswert, dass Tools verwendet werden, die den Mitarbeitern die Arbeit erleichtern. Doch sollten nur die Anwendungen genutzt werden, die das Unternehmen für gut und sicher befindet. Nehmen wir als Beispiel wieder das Übersetzungstool: Benutzt der Mitarbeiter das Programm, weil er grade eine E-Mail schreibt und ihm ein Wort nicht einfällt? Oder werden in das Programm hochsensible Daten des Unternehmens eingegeben, die aus irgendeinem Grund beispielsweise in Englisch vorliegen müssen? Im letzteren Fall kommen wir aus Informationssicherheitssicht in einen sehr kritischen Bereich.

Man sollte also genau festlegen, wofür eine Cloud-Anwendung verwendet wird.

Ja, man muss sich für jede einzelne Anwendung die Fragen stellen: Welche Daten sollen in der Cloud-Anwendung verarbeitet werden? Welchen Schutzbedarf haben sie? Entspricht es der Unternehmensstrategie, dass die Daten in der Cloud verarbeitet werden und wenn ja, welche Sicherheitsanforderungen an den Cloud-Dienst bestehen? Es sollte geprüft werden, ob die Anwendung für den angegebenen Zweck überhaupt geeignet ist und ob es Alternativen gibt, die besser und sicherer sind. So ist auch die Betrachtung des Gesamtkonzepts aus der Perspektive des Informationssicherheitsmanagements ein wichtiger Aspekt. Hat ein Unternehmen Microsoft Teams im Einsatz, sollte beispielsweise in einer einzelnen Abteilung nicht noch zusätzlich eine eigene Cloud-Lösung für Audiotelefonie eingesetzt werden.

Wie können sich Unternehmen einen Überblick über die Cloud-Anwendungen beschaffen, die im Einsatz sind?

Oft muss eine Inventarliste angefertigt oder erweitert werden. Hierzu ist eine enge Abstimmung auch mit anderen Abteilungen als dem IT-Betrieb notwendig. Für den so erfassten Ist-Zustand gilt dann zunächst ein eingeschränkter Bestandsschutz. Es ist im Grunde so wie beim klassischen Asset Management. In Zeiten vor der Cloud klebten an einer Kiste Blech oder dem Headset Zettel mit einer Nummer. Leider ist es wegen der einfachen Verfügbarkeit nicht so leicht, Cloud-Anwendungen zu erfassen, wie Equipment zu inventarisieren, das im Büro liegt.

Warum ist es so schwierig, die Mitarbeiter dafür zu sensibilisieren, dass es wichtig ist, dass jede Cloud-Anwendung im Unternehmen von der IT-Abteilung verwaltet wird?

Wie gesagt sind die Anwender oft wenig IT-versierte Mitarbeiter, die Cloud-Software im Internet sehen und sie sofort nutzen wollen, ohne sich weitere Gedanken darüber zu machen. Sie kennen sich nicht mit IT-Prozessen aus und haben die Vorstellung, IT könne immer alles ganz schnell und ganz einfach. Diesen Mitarbeitern muss verständlich gemacht werden, dass jede Cloud-Lösung mit der nötigen Sorgfalt betrieben werden muss und dass das im Zweifelsfall nicht von der eigenen Fachabteilung geleistet werden kann. Ein klassisches Beispiel dafür ist die Nutzerverwaltung. Kommt bei einer kleinen Cloud-Anwendung ein neuer Nutzer dazu, wird dieser von der Fachabteilung mit seiner E-Mail-Adresse angelegt. Der Nutzer bekommt dann zum Beispiel einen Aktivierungslink und kann sich mit seinem eigenen Passwort anmelden. Grundsätzlich sollte die Registrierung eines neuen Nutzers jedoch über ein zentrales System laufen. In lokalen Netzwerken sind Berechtigungen häufig in Verzeichnissen wie Active Directory festgelegt: Es gibt eine Identität, die vom zentralen IT-Betrieb verantwortet wird und über die sich der Nutzer – automatisch oder nicht – bei jeder Anwendung anmeldet.

Wie unterstützt ComConsult dabei, Prozesse zur sicheren Einführung von Cloud-Diensten zu etablieren?

Im ersten Schritt helfen wir dabei, Schnittstellen zu entwickeln, wenn eine neue Cloud-Anwendung eingeführt werden soll. Als Anfang kann eine solche Schnittstelle erst einmal ein klarer Ansprechpartner bzw. eine dedizierte E-Mail-Adresse sein, an die sich der Mitarbeiter wenden muss, um sein Vorhaben zu melden. Dann müssen die Anforderungen, die er an die Anwendung stellt und seine Vorstellung, wie damit gearbeitet werden soll, erfasst werden. Dazu setzt man sich mit dem Mitarbeiter zusammen oder es gibt ein Template mit vorgefertigten Fragen, das ausgefüllt wird.

Im zweiten Schritt muss die Sicherheitsabteilung beziehungsweise der IT-Betrieb anhand der vorliegenden Angaben bewerten, wie die Anwendung betrieben werden soll, welchen Schutzbedarf sie hat und so weiter. Je nach Fall kann die Sicherheitsbewertung relativ schnell erledigt oder mit größerem Aufwand verbunden sein. Nehmen wir wieder das Übersetzungstool als Beispiel. Werden in dem Tool nur Texte mit öffentlich zugänglichen Informationen verarbeitet, ist das aus Informationssicherheitssicht unproblematisch und die Genehmigung für die Verwendung kann gegebenenfalls relativ schnell „durchgewunken“ werden. Werden in dem Programm allerdings hochvertrauliche Berichte übersetzt, kann es zum Beispiel im Falle eines Hackerangriffs auf den Cloud-Anbieter zu großen Problemen kommen. Deshalb muss die Anwendung genau unter die Lupe genommen werden. Man schaut sich an, wie sicher der Anbieter ist. Am einfachsten lässt sich dies über seine Zertifizierungen prüfen. Zusätzlich oder stattdessen lässt man sich die Sicherheitsmaßnahmen des Anbieters beschreiben und hakt gegebenenfalls nach, wenn man einen Aspekt als zu unsicher einschätzt. Weiterhin hinterfragen wir, wie der Transportweg der Daten zum Anbieter abgesichert ist, ob die Transportverschlüsselung reicht und so weiter. Gerade bei der Frage, wie die Daten zum Anbieter kommen, muss die Sicherheit des kompletten dahinterliegenden fachlichen Prozesses bewertet werden, was sehr komplex werden kann.

Welche technischen Maßnahmen können vorgenommen werden, um Webanbindungen sicherer zu machen?

Zum einen können am Proxy, der als Vermittler zwischen internem Netz und dem Internet fungiert, ganz grobe Filterungsmaßnahmen vorgenommen werden. Wenn also ein bestimmter Cloud-Dienst nicht erlaubt werden soll, kann man das Aufrufen dieser Domäne im Proxy verbieten. In der praktischen Anwendung heißt das, dass die Aufrufe ins Leere laufen und sich die User wundern, dass keine Seite angezeigt wird. Fasst man die Sache mit feineren Handschuhen an, schaut man genau in den Datenverkehr hinein. Die meisten Cloud-Anwendungen laufen ja über eine Transportverschlüsselung, nutzen also https. Diese TLS-Verschlüsselung kann im Proxy aufgebrochen werden. Alle Clients und Browser, die es im Unternehmen gibt, müssen dafür wissen, dass sie mit einem Proxy kommunizieren beziehungsweise diesem vertrauen. Der Proxy wendet sich entsprechend an die Webseiten oder an die Schnittstellen für die Cloud-Anwendungen und liefert die Inhalte an den Browser aus. Wenn man im Proxy also das Aufbrechen der Verschlüsselung einsetzt, kann man sehr genau steuern, welche Funktionen in einer Cloud-Anwendung erlaubt sind und welche nicht. Beispielsweise kann das Empfangen und Sichten von E-Mails in Google Mail erlaubt sein, das Versenden jedoch nicht.

Es ist möglich, im Proxy ein Regelwerk in Form einer Liste mit Zielen beziehungsweise Funktionen, die erlaubt sind, einzubauen. Die Liste der Ausnahmen ist ein guter Überblick beziehungsweise Hebel, um Cloud-Anwendungen zu beschränken.

Was sind zusammenfassend die wesentlichen Aspekte, wenn man die Kontrolle über die benutzten Cloud-Anwendungen im Unternehmen erlangen und behalten möchte?

Man muss immer zwei Seiten betrachten. Zum einen ist es der organisatorische Aspekt, in dem es darum geht, Prozesse zu entwickeln und die Mitarbeiter im Unternehmen für einen sicherheitsbewussten Umgang mit Cloud-Anwendungen dahingehend zu sensibilisieren, dass sie sich frühzeitig an die IT-Abteilung wenden und mit ihr auf der notwendigen Detailtiefe zusammenarbeiten. Zum anderen sind es die technischen Maßnahmen, die getroffen werden sollten, indem man in Bezug auf die Cloud-Anwendungen mindestens Visibilität erreicht oder sogar bestimmte nicht gewünschte Funktionen pauschal verbietet. Beide Aspekte spielen zusammen. Sowohl mithilfe des organisatorischen als auch des technischen Ansatzes entstehen Regelungen und entsprechende mehr oder weniger komplexe Listen. Diese sind dann das gewünschte Ergebnis und gleichzeitig die Basis, auf der die Sicherheit in Zusammenhang mit Cloud-Anwendungen kontinuierlich aufrechterhalten werden kann.