Wie schützt Kyos seine Daten in einer hybriden Cloud-Umgebung?

Wie die meisten unserer Kunden nutzen wir zunehmend Cloud-Dienste, was sowohl Vorteile als auch Risiken mit sich bringt, insbesondere im Hinblick auf den Datenschutz.

Auch wenn die Migration zu einer hybriden Cloud-Architektur nur langsam vor sich geht, geschieht sie doch schneller, als Sie vielleicht denken. Unsere Lieferanten und Partner drängen uns beispielsweise dazu, immer mehr Cloud-Dienste zu nutzen. So müssen wir zum Beispiel Möglichkeiten im Zusammenhang mit identifizierten Kundenbedürfnissen in Partnerportalen unter Sales Force registrieren, oder bestimmte Lizenzen für Cloud-Lizenzverwaltungsdienste aktivieren, oder Tickets für unsere Kunden auf Online-Ticket-Verwaltungsplattformen erstellen. Darüber hinaus werden wir durch die Automatisierung der Bestellung, Lieferung und Abrechnung von Cloud-Diensten bald gezwungen sein, unsere Systeme mit immer mehr externen Diensten zu verbinden, wenn wir reaktionsschnell und wettbewerbsfähig bleiben wollen. 

Beispielsweise können einige unserer Kundendaten auf Cloud-Plattformen gespeichert werden. Als Unternehmen, das auf IT-Sicherheit und Datenschutz spezialisiert ist, stellt dies gewisse Herausforderungen, insbesondere um unseren Kunden einen optimalen Schutz ihrer Daten zu gewährleisten.

Für jeden Cloud-Service, den wir nutzen, bewerten wir die Risiken und ergreifen Maßnahmen, um sie so weit wie möglich zu mindern. Nach dem Prinzip der Transparenz kommunizieren wir über diese Realität und teilen Ihnen unsere wichtigsten Praktiken mit, aber auch, weil wir wissen, dass Sie vor den gleichen Herausforderungen stehen und dass diese Maßnahmen Sie dazu inspirieren können, diese besser zu bewältigen:

Automatische Dokumentenklassifizierung und Verschlüsselung

Eine gute Praxis zum Schutz der in den Dokumenten enthaltenen Daten ist die Verschlüsselung der Dokumente. Natürlich verschlüsseln wir die Platten, die diese Daten enthalten, systematisch, aber da Dokumente manchmal übertragen werden müssen, haben wir uns für den Schutz mit Azure Information Protection entschieden. Die Verschlüsselung erfolgt auf eine für den Benutzer transparente Art und Weise entsprechend der Klassifizierung des Dokuments. Dies macht es einfach, die Dokumente zu schützen und nur ausgewählten Personen das Lesen oder Schreiben zu erlauben, auch wenn sich das Dokument außerhalb unserer Infrastruktur befindet.

In der Überzeugung, dass die individuelle Verantwortung der Mitarbeiter der Schlüssel ist, haben wir uns dafür entschieden, alle unsere Mitarbeiter zu sensibilisieren und verantwortungsbewusst zu machen, damit sie selbst entscheiden können, ob sie die Einstufung von “vertraulich” in “öffentlich” ändern oder im Gegenteil, ob sie nur auf bestimmte Personen beschränkt werden soll, auch wenn sie außerhalb des Unternehmens stehen.

So sind standardmäßig alle Dokumente, die in der Cloud landen, ob absichtlich oder nicht, durch Verschlüsselung geschützt.

Systematische Nutzung der starken Authentifizierung

Wie bei unseren internen Anwendungen müssen wir uns gegenüber dem Cloud-Service mit Single-Sign-On (SSO) und Multi-Factor Strong Authentication (MFA) authentifizieren. Wann immer der Cloud-Anbieter dies zulässt, verwenden wir unseren eigenen externen Identitätsprovider (IDP), der in unserer Infrastruktur gehostet wird.

Dies ermöglicht uns, die Kontrolle über unsere Identitäten zu behalten und unsere Anmeldedaten (Passwörter) nicht mit Cloud-Diensten zu synchronisieren. Dadurch wird das Risiko stark eingeschränkt, dass unsere Cloud-Sitzungen kompromittiert oder unsere Zugriffe von einer böswilligen dritten Partei genutzt werden.

Passwort Sicherheit

Außerdem müssen wir zwischen unserem Informationssystem, dem unserer Kunden und den Cloud-Plattformen Tausende von Passwörtern verwalten. Wir speichern sie auf einer zentralen und sicheren Plattform für die Passwortverwaltung vor Ort.

Darüber hinaus schulen wir unsere Mitarbeiter im Umgang mit komplexen Passwörtern, die für jeden Dienst unterschiedlich sind und dank des in unsere Plattform integrierten Passwortgenerators zufällig generiert werden.

Diese Best Practices gelten auch für Cloud-Plattformen.

Beschränkung der exponierten Daten und Vereinfachung der Architektur

Der beste Weg, um das Abfließen sensibler Daten in die Cloud zu vermeiden, ist die Vermeidung der Aufnahme sensibler Daten in die Cloud. Dazu gehört es, die Mitarbeiter auf die Art der sensiblen Daten aufmerksam zu machen und sie zu befähigen, die Menge und Art der Daten, die in Cloud-Plattformen eingegeben werden, zu begrenzen.

Unser ERP-Tool ConnectWise beispielsweise wird nur vor Ort in unserer Infrastruktur installiert. Da das ConnectWise Sell Angebotserstellungsmodul jedoch seine Vor-Ort-Version eingestellt hat, waren wir gezwungen, auf die Cloud-Plattform zu migrieren. Wir schätzten dann die Risiken ab, die mit den Arten von Daten verbunden sind, die wir in unsere Angebote aufnehmen, und machten unsere Vertriebsteams darauf aufmerksam, dass sie nur nicht vertrauliche Informationen in unsere Angebote aufnehmen sollten. Für detaillierte Angebote verwenden sie eine Word oder Excel-Vorlage auf Anfrage.

Darüber hinaus sind wir davon überzeugt, dass das Prinzip der Einfachheit weiterhin ein wirksames Mittel ist, um ein gutes Sicherheitsniveau aufrechtzuerhalten. Wir befürworten daher die Implementierung einer einfachen Architektur mit einer Zentralisierung von Daten, Identitäten, Zugangskontrollen usw.. In der Tat, je einfacher die Architektur, desto geringer das Fehlerrisiko.

Anonymisierung / Tokenisierung von Daten

Bislang mussten wir keine Anonymisierung/Tokenisierung von Daten in Cloud-Anwendungen implementieren, da die Daten nicht sensibel sind. Aber diese Lösung ist immer noch eine gute Option, um einen Cloud-Service nutzen zu können und gleichzeitig zu vermeiden, dass die Daten den vom Unternehmen kontrollierten Bereich verlassen.

Unsere Expertenteams auf diesem Gebiet sowie die Instrumente von Thales Vormetric werden uns in die Lage versetzen, diese Art von Problemen an dem Tag zu lösen, an dem wir sie brauchen.

Übereinstimmung mit ISO 27002 und CIS

Um die Risiken zu begrenzen, führen wir regelmäßig Sicherheitskontrollen unserer Infrastrukturen und unserer Organisation im Hinblick auf die Normen ISO 27002 und Critical Security Controls (CIS) durch.

Ebenso verlangen wir von Partnern, mit denen wir sensible Daten austauschen, dass sie die gleichen Standards einhalten. Wir bitten sie daher, uns die eingerichteten Mittel zu zeigen und gegebenenfalls Verträge zu unterzeichnen, in denen sie sich zu ihrer Verantwortung verpflichten.

Darüber hinaus berücksichtigen wir die von SecurityScoreCard angegebene Sicherheitsbewertung ihres Unternehmens, um das mit der Nutzung ihrer Plattform verbundene Risiko zu bewerten.

Sensibilisierung und internes Phishing

Das Risiko des Daten- oder Identitätsdiebstahls kann mit technischen Mitteln zur Filterung und Kontrolle begrenzt werden. Aber der beste Weg ist immer noch, die Mitarbeiter auf diese Risiken aufmerksam zu machen, indem man ihnen die Mittel an die Hand gibt, um ungewöhnliches oder seltsames Verhalten zu erkennen, das z.B. bei Phishing-Angriffen eingesetzt wird.

Deshalb schulen wir alle unsere Mitarbeiter regelmäßig und systematisch mit den gleichen Sensibilisierungskursen, die wir unseren Kunden anbieten. Darüber hinaus nutzen wir die E-Learning-Plattform KnowBe4 und führen regelmäßig interne Phishing-Tests durch.

Selbst wenn ein Phishing-Angriff eine der von uns verwendeten Cloud-Plattformen betrifft, reduzieren wir also das Risiko eines erfolgreichen Eindringens erheblich.

Sicherheit im ständigen Wandel

Selbst für ein auf Infrastruktur spezialisiertes Dienstleistungsunternehmen ist es von Vorteil, Dienstleistungen in Anspruch nehmen zu können, ohne sie betreiben zu müssen. Diese bieten uns oft ein hohes Maß an Flexibilität oder den Zugang zu Funktionen, deren Einsatz in unserer Infrastruktur zu kostspielig wäre, so dass wir unseren Kunden effizientere und hochwertigere Dienstleistungen anbieten können.

Doch mit der Verallgemeinerung der Cloud und der Automatisierung wird sich unser Geschäft in den kommenden Jahren sicherlich stark weiterentwickeln. Deshalb müssen wir diesen Veränderungen vorgreifen, indem wir uns jetzt diesen neuen Herausforderungen stellen. Um in einer sich ständig weiterentwickelnden Cloud-Architektur ein optimales Sicherheitsniveau aufrechtzuerhalten, müssen wir daher die eingeführten Maßnahmen regelmäßig anpassen. Jeden Tag werden neue Bedrohungen identifiziert und neue Sicherheitswerkzeuge entwickelt, um sich vor ihnen zu schützen. Es liegt an uns, uns anzupassen, und das ist es, was unser Geschäft spannend macht.

Keine Maßnahme ist zu 100 % perfekt, wir bemühen uns, das bestmögliche Gleichgewicht zum Schutz Ihrer Daten zu finden, ohne die damit verbundenen Verwaltungskosten und vor allem die Reaktionsfähigkeit, die Sie von unseren Dienstleistungen verlangen, “stark” zu erhöhen. Wenn Sie Fragen oder Bedenken haben, zögern Sie nicht, sich an Ihren Vertriebsmitarbeiter zu wenden.