Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing. Группа авторов
Читать онлайн книгу.
3 Wandel der IT-Organisation
3.1 Veränderte Verantwortlichkeiten
Die digitale Transformation und zunehmende Nutzung von innovativen Technologien erfordern von Unternehmen Veränderungen innerhalb ihrer IT-Organisation. Neue Anforderungen für einen agilen und kundenorientierten Ansatz erfordern eine Anpassung in der Zusammenarbeit zwischen der IT und den Fachbereichen. Zusätzliche Fähigkeiten, neue Rollen, neue Methoden, neue Arbeitsmodelle sowie eine andere Kultur in der Zusammenarbeit sind ebenfalls erforderlich. Zukünftig wird es die Ausprägungen der klassischen IT sowie einer agileren IT in Unternehmen geben.
Das klassische Vorgehensmodell erfüllt mit klar definierten Aufgaben und Prozessen die Vorgaben der Fachbereiche. Hierbei wird nach dem starren Wasserfallmodell gearbeitet, welches wenig Flexibilität zulässt. Hierbei stehen Anwendungsstabilität, Sicherheit und Kosteneffizienz im Vordergrund.
Ein agiles Vorgehensmodell erfüllt mit höherer Flexibilität und Innovationsgeschwindigkeit die Anforderungen einer Digitalstrategie des Unternehmens bzw. von Cloud-basierenden Geschäftsmodellen. Der Fokus liegt auf der gemeinsamen Entwicklung von digitalen Anwendungen durch inkrementelle Sprints. Das erste Ziel ist ein Minimal Viable Product (MVP), worin minimale Anforderungen und Eigenschaften enthalten sind. Über Trial- und Error-Ansätze werden schnelle Entwicklungsschritte umgesetzt. Bei diesem Vorgehensmodell werden teilweise strenge Regeln eingehalten.
Als einen ersten Evolutionsschritt für die IT-Organisation in Unternehmen beschreibt Gartner die bimodale Organisationsform. Hierbei koexistieren der Betrieb der stabilen und abgesicherten Kernsysteme (klassische IT) neben einer agilen und experimentellen Entwicklung von Anwendungen für die Kundenschnittstelle, wo eine engere Zusammenarbeit zwischen Fachbereichen und IT ein Standardzustand ist.
Beide Vorgehensmodelle setzen die Digitalstrategie des Unternehmens mit unterschiedlicher Geschwindigkeit um, aber zahlreiche Abhängigkeiten bleiben bestehen. Durch eine traditionelle Architekturplanung wird innerhalb der klassischen IT die Stabilität und Sicherheit der unternehmenskritischen Systeme gewährleistet. Gleichzeitig wird durch diese Organisationsform die agile Anwendungsentwicklung für die Kundenschnittstelle nicht blockiert bzw. gebremst.
Die Entwicklung am Markt der letzten Jahre hat den Bedarf der Flexibilität auch bei den Kernsystemen aufgezeigt. Es wird längerfristig erforderlich sein, dass beide Vorgehensmodelle für die Erreichung der Unternehmensziele koexistieren können. Hierbei steht die geeignete Balance zwischen Effizienz und Innovation bei der Umsetzung von digitalen IT-Projekten im Fokus, welche für jedes Projekt je nach den vorhandenen Rahmenbedingungen gefunden werden muss.
Die Grundlage für den Erfolg der integrierten flexiblen IT-Organisation ist die durchgängige Veränderung der Prozesse. Agile Methoden zur Softwareentwicklung sowie ein neues Betriebsmodell mit DevSecOps-Ansätzen zur Verschmelzung von Softwareentwicklung und IT-Betrieb unter Berücksichtigung der Sicherheitsaspekte sollten zum Einsatz kommen. Neue Technologien wie Cloud Computing bieten die notwendige Flexibilität und Skalierbarkeit.
3.2 Veränderte Governance durch Cloud-Nutzung
Die Governance in der IT-Organisation war bisher eine wichtige Führungsdisziplin. Ohne eine klare Richtlinie im Unternehmen sowie einer Kontrolle zur Einhaltung konnte es in der Vergangenheit innerhalb eines Rechenzentrums auch zu Sicherheitsvorfällen kommen. Dabei konnten auch gesetzliche und regulatorische Vorschriften, welche Unternehmen im Rahmen der IT-Governance einhalten müssen, verletzt werden.
Durch die Nutzung der Cloud sowie die Verwendung von agilen Methoden hat sich einiges verändert. Der IT-Betrieb erfolgt beispielsweise auf mehreren dezentral verteilten Public-Cloud-Plattformen, intern betriebenen Private-Cloud-Plattformen und/oder bei Hosting-Anbietern. Hybride Ansätze können hierbei zum Einsatz kommen. Bestehende Governance-Strukturen oder Service-Management-Prozesse sind aufgrund der neuen verteilten Strukturen nicht mehr ausreichend und der Einsatz eines passenden Cloud Governance Frameworks wird erforderlich.
Folgende Fragestellungen erhalten durch die Nutzung der Cloud eine größere Bedeutung:
• Welche Cloud Provider befinden sich für das Unternehmen bereits im Einsatz?
• Ist ein aktueller Gesamtüberblick zur IT des Unternehmens (inkl. aller Cloud Provider und Rechenzentren) vorhanden?
• Für welche Workloads darf welcher Cloud Provider verwendet werden?
• Aus welchem Land wird welche SaaS-Lösung bereitgestellt?
• Wie wird mit privilegierten Benutzerkonten umgegangen bzw. diese gegen unbefugten Zugriff abgesichert?
• Welche zentralen Architektur- und Namenskonventionen sind vorhanden?
• In welchen Regionen dürfen welche Daten gespeichert und/oder verarbeitet werden?
• Wird die Einhaltung der Sicherheitsrichtlinie des Unternehmens durch automatisierte Einrichtung erzwungen und zusätzlich auch automatisiert überprüft?
• Wie werden einmal allokierte Ressourcen überwacht und deren Freigabe sichergestellt?
• Wer ist für das Lifecycle-Management von Cloud-Ressourcen verantwortlich, das heißt, wer überwacht, ob Ressourcen, die nicht mehr benötigt werden, auch de-allokiert werden?
• Wer hat eine Übersicht der aktuellen und geplanten Kosten?
• Wie können Audits unterstützt werden?
• Was sind die Mindeststandards für Verträge mit Cloud Providern?
Ohne klare Antworten auf die Fragestellungen kann ein Unternehmen die Kontrolle über die Nutzung von Cloud-Diensten verlieren sowie dabei auch die Einhaltung von Sicherheitsrichtlinien des Unternehmens, gesetzliche und regulatorische Vorschriften nicht mehr gewährleisten.
Einige Regelwerke und Frameworks sind vorhanden, um die Umsetzung und Einhaltung von IT-Governance-Vorgaben zu unterstützen. COBIT gilt als eines der wichtigsten Frameworks für die Umsetzung der IT-Governance, welches von der Information Systems Audit and Control Association (ISACA) erstellt wurde. Im Jahr 2019 wurde das COBIT Framework aktualisiert und mit aktuellen Themen wie DevOps, Agilität und Cloud erweitert.
Eine Cloud-Computing-Richtlinie regelt grundsätzlich die Verwendung von Cloud-Diensten im Unternehmen. Hierbei werden die oben beschriebenen Fragestellungen und andere Themen beantwortet und Voraussetzungen für die Nutzung von Cloud-Diensten festgelegt. Alle vorhandenen Risiken und mögliche Konsequenzen werden beschrieben.
3.3 Übersicht zum Ansatz mit „Security by Design“
Vor der Herstellung eines neuen Produkts gehen dem Softwareentwickler viele Fragen durch den Kopf: Wie soll die Benutzerschnittstelle aussehen? Wie leistungsfähig soll die neue Software sein? Ein wichtiger Aspekt fällt dabei jedoch immer noch zu oft unter den Tisch: die Sicherheit.
Aktuell nimmt die Zahl von Cyberangriffen rapide zu, wie aus dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervorgeht. Demnach entdecken die Experten zum Beispiel täglich etwa 380.000 neue Varianten von Schadprogrammen. Große Konzerne verzeichnen schon heute mehrere Tausend Attacken pro Tag. 95 Prozent der erfolgreichen Angriffe basieren auf schlecht programmierter, schlecht gewarteter oder schlecht konfigurierter Software. Dieses Problem ließe sich aber lösen, indem Security zu Beginn des Projektes direkt berücksichtigt wird. Der Fachbegriff dafür lautet: Security by Design.
Werden Sicherheitseigenschaften als Designkriterium durch die Softwareentwicklung berücksichtigt, lassen sich Systemfehler von vornherein vermeiden. Ein Softwareingenieur arbeitet dann auch ganz anders, denn er arbeitet Spezifikationen ab. Ist Security nicht Teil der Anforderungen, werden