NTT Security definiert 5 Schritte für eine hohe Datensicherheit in der Cloud

Donnerstag, 17. Januar 2019

Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit zu jeder Zeit und in jedem Detail gewährleistet ist. NTT Security, das auf Sicherheit spezialisierte „Security Center of Excellence“ der NTT Group, hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten.

Wenn Unternehmen komplette Geschäftsprozesse in die Cloud verlagern, lassen sich die erwarteten betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist – bei der die Sicherheit der Daten eine entscheidende Rolle spielt. NTT Security konkretisiert die wichtigsten Aktivitäten in fünf Schritten.

1. Daten identifizieren und klassifizieren.

Zu Beginn müssen Unternehmen ermitteln, welche Applikationen und Daten bei der Migration vom eigenen Rechenzentrum zu einem Cloud-Provider übertragen werden sollen. Dabei ist beispielsweise zu klären, um welche Art von Daten es sich handelt und ob personenbezogene Daten involviert sind, denn dann gelten die strengen Vorschriften der DSGVO. In welchen Applikationen werden die Daten von wem und wie genutzt? Werden sie nur gelesen oder auch weiterverarbeitet? Aufgrund dieser Informationen wird das Security-Modell aufgebaut.

2. Das Schutzniveau für jeden Arbeitsschritt im Workflow festlegen.

Auf Basis der Klassifikation und der Risikobewertung der Daten muss für jeden Arbeitsschritt in der Workload das Schutzniveau und die Schutzklasse festgelegt werden. Wird Verschlüsselung benötigt, und wenn ja wann: während der Übertragung, bei der Speicherung, auf Feldebene? Werden Pseudonymisierung oder Tokens benötigt? Wo sollen die Encryption Keys aufbewahrt werden: on-premise, direkt beim Cloud-Provider oder bei einen separaten Cloud-Provider?

3. Regeln für die Zugriffskontrolle definieren.

Um ein hohes Schutzniveau erzielen zu können, dürfen die Daten zu keinem Zeitpunkt im Verlauf eines Geschäftsprozesses ungeschützt zugängig sein. Zudem muss sichergestellt sein, dass Kopien gespeicherter oder archivierter Daten während der Verarbeitung ebenso geschützt sind wie die Originale und dass diese Kopien, wenn sie nicht mehr benötigt werden, gelöscht werden. Abhängig von Rollen im Unternehmen werden Zugriffsberechtigungen vergeben und deren Einhaltung überwacht, so dass niemand Unbefugtes Daten lesen, kopieren, ändern oder löschen kann.

4. Alle Datenzugriffe in Log-Files aufzeichnen.

Unternehmen müssen Regeln zur Vergabe von Zugriffsberechtigungen mit einem umfassenden Log-Management verknüpfen. Zugriffsprotokolle erfassen und speichern alle Datenaktivitäten. Diese Aufzeichnungen und die Auswertung aller Datenzugriffe sowie anderer sicherheitsrelevanter Ereignisse sind Voraussetzung für ein lückenloses IT-Sicherheits-Monitoring. Die Analyse der Log-File ermöglicht einerseits aussergewöhnliche Ereignisse zu erkennen und deren Ursachen zu ermitteln und sie unterstützt Unternehmen andererseits bei der Nachvollziehbarkeit aller Aktivitäten bei Security-Audits.

5. Lebenszyklus der Daten beachten.

Die Aufbewahrungspflicht von Daten ist in der Finanzdienstleistungs-, Medizintechnik-, chemisch-pharmazeutische und anderen Branchen im Detail reglementiert. Der Schutz personenbezogener Daten über deren gesamten Lebenszyklus ist in der DSGVO geregelt – egal, ob sich die Daten im eigenen Rechenzentrum oder in Cloud befinden. Für Unternehmen bedeutet das: Sie müssen dauerhaft die vollständige Kontrolle über personenbezogene Daten behalten, von der Erfassung über die Verarbeitung bis zur Archivierung. Das gilt für Individual- und Standard-Applikationen, egal, ob sie sich on-premise oder in der Cloud befinden.

„Die Diskussion um den Einsatz von Cloud-Technologien ist mittlerweile nicht mehr von Sicherheitsbedenken geprägt. Heute wollen Unternehmen in erster Linie die damit verbundenen Chancen nutzen, um die Digitale Transformation voranzutreiben“, erläutert Franck Braunstedter, Senior Manager Cyber Defense and Cloud Security bei NTT Security Deutschland. „Unterstützt durch einen erfahrenen IT-Security-Dienstleister sind Unternehmen in der Lage, die Cloud-spezifischen IT-Sicherheitsherausforderungen in allen Phasen einer Migration zu bewältigen.“

 

Über NTT Security

NTT Security ist das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. Mit „Embedded Security“ bietet NTT Security Kunden zuverlässige Lösungen für ihre Anforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten.

 

NTT Security sichert eine effiziente Ressourcennutzung, indem Kunden der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird – unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der grössten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden sich unter www.nttsecurity.com/ch. Informationen zur globalen NTT Group finden sich unter www.ntt-global.com

Bei Rückfragen wenden Sie sich bitte an:

NTT Security

Romy Däweritz
Marketing Manager DACH
Tel: +41 43 477 70 10
[email protected]

 

PR-COM GmbH

Franziska Fricke
Account Management
Tel.: +49 89 59997 707
[email protected]