The Doppler Quarterly (DEUTSCHE) Sommer 2016 | Page 20

Sicherheit von Anwendungen
in der Public Cloud
David Linthicum
Der Sicherheitsbereich muss sich ständig ändern und
weiterentwickeln, um auf sich verändernde Risiken
zu reagieren – und das ist nicht mehr nur ein Problem
für die IT-Sicherheit und das Infrastrukturteam. Es
betrifft jetzt auch die Entwickler.
In den letzten 30 Jahren lag bei der IT-Sicherheit der
Schwerpunkt auf der Infrastruktur. Sie mussten
lediglich Sicherheitsebenen um Ihre Anwendungen
und Daten herum platzieren, um alle Probleme zu
beseitigen. Aber selbst wenn das jemals funktioniert
hat, ist das heute sicherlich nicht mehr der Fall. Da
Hacker täglich die Grenzen von Sicherheitssystemen
austesten, müssen Entwicklungsteams auch auf
Anwendungsebene für mehr Sicherheit sorgen. Und
das Verlagern von Anwendungen in die Public Cloud
ist ein weiterer neuer Aspekt, der hinzukommt.
Die Kosten für die Nicht-Einbindung des Faktors
Anwendungssicherheit sind hoch. Home Depot war z.
B. von einem Cyberangriff betroffen, der Schlagzeilen
gemacht hat und auf die Zahlungsterminals abzielte.
Durch den Sicherheitsverstoß wurden die Nummern
von rund 56 Millionen Kredit- und Kundenkarten
aufgedeckt. Wenn Sie das mit den vom Ponemon Ins-
titute geschätzten Kosten in Höhe von 194 US-Dollar
pro kompromittiertem Datensatz bei einer durch-
schnittlichen Datenschutzverletzung multiplizieren,
lässt sich erahnen, wie groß das Risiko ist. Zu diesen
Kosten gehören Untersuchungen, Fehlerbehebung,
Benachrichtigungen an Einzelpersonen, Korrektur
von Identitätsdiebstahl und Kreditüberwachung,
behördliche Geldbußen, Störungen im normalen
Geschäftsbetrieb, entgangene Umsätze und damit
zusammenhängende Rechtsstreitigkeiten. Fazit:
Die finanziellen Mittel, die Sie zum
Schutz vor Datenschutzverletzun-
gen ausgeben, die das gesamte
Unternehmen zerstören könnten,
sind die bestmögliche Investition in
die Sicherheit.
18 | THE DOPPLER | SOMMER 2016
Positiv ist, dass die Verlagerung von Anwendungen in
die Public Cloud nicht zwangsläufig bedeutet, dass
Sie Abstriche bei der Sicherheit machen müssen. Tat-
sächlich sind die Ansätze und Verfahren, die Ent-
wicklern und Administratoren in der Public Cloud zur
Verfügung stehen, oft besser als die Tools und Metho-
den, die Sie im Unternehmen verwenden.
In Zusammenhang mit der Cloud muss die Sicherheit
jedoch als systemisches Konzept betrachtet werden.
Die Zeiten, in denen man einfach einen Schutz um
Anwendungen und Daten herum einrichten konnte,
um alle Probleme zu lösen, sind längst vorbei. Fragen
Sie einfach mal bei Home Depot, Sony, Target und
anderen Unternehmen nach, die Opfer von schweren
Sicherheitsverstößen wurden, ob traditionelle
Ansätze zur Anwendungs- und Datensicherheit aus-
gereicht haben. Im Folgenden wird erläutert, welche
Maßnahmen wirklich helfen.
Die Grundlagen zuerst
Entwickler, die Anwendungen zur Ausführung in
Public Clouds entwickeln, oder Anwendungen in die
Cloud migrieren und überarbeiten, sollten sich auf
einige wenige grundlegende Sicherheitskonzepte
konzentrieren, z. B. Autorisierung, Überprüfung,
Vertraulichkeit und Integrität.
Die Autorisierung befasst sich mit der Frage, wozu Sie
berechtigt sind. Dieser Prozess regelt die Ressourcen
und Abläufe, auf die der authentifizierte Benutzer
zugreifen darf. Zu diesen Ressourcen gehören
Dateien, Datenbanken, Tabellen, Zeilen usw. Benut-
zer können entweder auf die gesamte oder einen Teil
der Ressource zugreifen oder überhaupt keinen
Zugriff erhalten.
Durch Überprüfung und Protokollierung wird sicher-
gestellt, dass ein Benutzer eine Prozess nicht zurück-
weisen oder eine Transaktion einleiten kann, ohne
dass die Aktivität aufgezeichnet wird. Bei Cloud-An-
wendungen bedeutet das, dass die Nutzung der
Anwendung oder des Datenspeichers aus Compli-
ance- oder anderen rechtlichen Gründen protokol-