Sicheres IT-Auditing einer Cloud – Konzept zum sicheren IT-Auditing in unsicheren Umgebunge - Prof. Dr. Norbert Pohlmann

N. Pohlmann, A. Wehrhahn-Aklender:,
„Sicheres IT-Auditing einer Cloud – Konzept zum sicheren IT-Auditing in unsicheren Umgebungen zur Erlangung von Vertrauen”,
Industrie 4.0 Management – Gegenwart und Zukunft industrieller Geschäftsprozesse,
GITO mbH Verlag für Industrielle Informationstechnik und Organisation,
34/2018

Immer mehr Unternehmen nutzen Cloud Lösungen oder planen den Einsatz von Cloud Lösungen in den nächsten Jahren. Mittlerweile nutzen über 60 % der deutschen Unternehmen Cloud-Dienste, zusätzlich knapp
20 % planen zukünftig auf die Vorteile von Cloud Lösungen zu setzen. Besonders große und verteilte Unternehmen setzen hierbei Cloud-Lösungen ein, wobei auch die Anzahl an kleineren Unternehmen kontinuierlich steigt. Der Grund des großen Erfolges von Cloud Lösungen liegt hierbei in ihrer hohen Flexibilität, Skalierbarkeit und Verfügbarkeit zu geringen Kosten.

Mit der Cloudtechnologie sind jedoch auch vielfältige Herausforderungen hinsichtlich der IT-Sicherheit verbunden. Im Besonderen die Kontrollabgabe an einen externen Cloud-Anbieter verunsichert viele potenzielle Kunden. Dies führt dazu, dass die IT-Sicherheit von Cloud-Diensten zum zentralen Punkt der Akzeptanz der Cloud-Anbieter wurde. Aktuell wird die IT-Sicherheit einer Cloud primär durch den Cloud-Anbieter realisiert. Dies führt dazu, dass beim Thema sichere Cloud die Unternehmen dem Cloud-Anbieter und dessen Aussagen vertrauen muss. Es stellt sich die berechtigte Frage, wie Unternehmen Vertrauen in die IT-Sicherheit von Cloud-Anbietern aufbauen können. Um das Vertrauen in Cloud-Anbieter zu steigern, könnten verschiedene IT-Sicherheitsmaßnahmen integriert werden. Eine Möglichkeit wäre, sicherheitsrelevante Aspekte an eine externe IT-Sicherheitslösung zu übertragen. Diese externe IT-Sicherheitslösung sollte von einem vertrauenswürdigen Anbieter angeboten werden und in der Kontrolle des Unternehmens verbleiben. Dabei ist zu klären, welche IT-Sicherheitsaspekte durch die externe IT-Sicherheitslösung abdeckbar sind und welche Aufgaben zwangsweise in der Cloud verbleiben müssen. Gerade jene IT-Sicherheitsaspekte, die nicht ausgelagert werden können, weil sie zum Beispiel eng an interne Prozesse gekoppelt sind, sind jedoch besonders relevant, wenn es um Vertrauenswürdigkeit geht. Bei solchen IT-Sicherheitsaspekte können Kon­trollen von unabhängigen externen Auditoren die IT-Sicherheit der Cloud mit Hilfe von Zertifikaten oder Testaten bestätigen. Diese Kontrolle erfolgt oftmals durch hohe personelle Ressourcen, was hohe Kosten und hohen Aufwand bedeutet. Weiterhin kann so keine Echtzeitkontrolle erfolgen. Eine Remote Attestation nach dem Trusted Computing Standard hingegen ermöglicht ein automatisiertes Überprüfen zur Echtzeit. Da Remote Attestation aber oftmals nicht unterstützt wird, muss auf andere IT-Sicherheitslösungen des automatisierten IT-Auditing ausgewichen werden.

In diesem Artikel wird eine IT-Sicherheitslösung vorgestellt, die interne Cloud Prozesse automatisiert protokolliert und überwacht. Diese Überwachung sowie die Sicherstellung der Integrität und Vertraulichkeit der Daten soll durch ein externes IT-Sicherheitssystem erfolgen.  Dieses soll dazu beitragen, dass der Cloud Anbieter IT-Sicherheitsstandards innerhalb seiner internen Prozesse nachweisbar abdeckt und somit gewährleisten, dass IT-Sicherheitsstandards von Cloud Anbietern eingehalten werden. Die IT-Sicherheitslösung soll das Vertrauen in Cloud Anbieter deutlich steigern, da der Kunde eine ganzzeitliche Kontrolle der Cloud Standardkonformität erhält. Diese Kontrolle folgt dem Prinzip des IT-Auditing.

Weitere Informationen zum Thema “Sicheres IT-Auditing einer Cloud – Konzept zum sicheren IT-Auditing”:

Artikel: 
“Vertrauen – ein elementarer Aspekt der digitalen Zukunft”

Informationen über das Lehrbuch: 
„Cyber-Sicherheit“