The Doppler Quarterly (DEUTSCHE) Sommer 2016 | Page 20

Sicherheit von Anwendungen in der Public Cloud David Linthicum Der Sicherheitsbereich muss sich ständig ändern und weiterentwickeln, um auf sich verändernde Risiken zu reagieren – und das ist nicht mehr nur ein Problem für die IT-Sicherheit und das Infrastrukturteam. Es betrifft jetzt auch die Entwickler. In den letzten 30 Jahren lag bei der IT-Sicherheit der Schwerpunkt auf der Infrastruktur. Sie mussten lediglich Sicherheitsebenen um Ihre Anwendungen und Daten herum platzieren, um alle Probleme zu beseitigen. Aber selbst wenn das jemals funktioniert hat, ist das heute sicherlich nicht mehr der Fall. Da Hacker täglich die Grenzen von Sicherheitssystemen austesten, müssen Entwicklungsteams auch auf Anwendungsebene für mehr Sicherheit sorgen. Und das Verlagern von Anwendungen in die Public Cloud ist ein weiterer neuer Aspekt, der hinzukommt. Die Kosten für die Nicht-Einbindung des Faktors Anwendungssicherheit sind hoch. Home Depot war z. B. von einem Cyberangriff betroffen, der Schlagzeilen gemacht hat und auf die Zahlungsterminals abzielte. Durch den Sicherheitsverstoß wurden die Nummern von rund 56 Millionen Kredit- und Kundenkarten aufgedeckt. Wenn Sie das mit den vom Ponemon Ins- titute geschätzten Kosten in Höhe von 194 US-Dollar pro kompromittiertem Datensatz bei einer durch- schnittlichen Datenschutzverletzung multiplizieren, lässt sich erahnen, wie groß das Risiko ist. Zu diesen Kosten gehören Untersuchungen, Fehlerbehebung, Benachrichtigungen an Einzelpersonen, Korrektur von Identitätsdiebstahl und Kreditüberwachung, behördliche Geldbußen, Störungen im normalen Geschäftsbetrieb, entgangene Umsätze und damit zusammenhängende Rechtsstreitigkeiten. Fazit: Die finanziellen Mittel, die Sie zum Schutz vor Datenschutzverletzun- gen ausgeben, die das gesamte Unternehmen zerstören könnten, sind die bestmögliche Investition in die Sicherheit. 18 | THE DOPPLER | SOMMER 2016 Positiv ist, dass die Verlagerung von Anwendungen in die Public Cloud nicht zwangsläufig bedeutet, dass Sie Abstriche bei der Sicherheit machen müssen. Tat- sächlich sind die Ansätze und Verfahren, die Ent- wicklern und Administratoren in der Public Cloud zur Verfügung stehen, oft besser als die Tools und Metho- den, die Sie im Unternehmen verwenden. In Zusammenhang mit der Cloud muss die Sicherheit jedoch als systemisches Konzept betrachtet werden. Die Zeiten, in denen man einfach einen Schutz um Anwendungen und Daten herum einrichten konnte, um alle Probleme zu lösen, sind längst vorbei. Fragen Sie einfach mal bei Home Depot, Sony, Target und anderen Unternehmen nach, die Opfer von schweren Sicherheitsverstößen wurden, ob traditionelle Ansätze zur Anwendungs- und Datensicherheit aus- gereicht haben. Im Folgenden wird erläutert, welche Maßnahmen wirklich helfen. Die Grundlagen zuerst Entwickler, die Anwendungen zur Ausführung in Public Clouds entwickeln, oder Anwendungen in die Cloud migrieren und überarbeiten, sollten sich auf einige wenige grundlegende Sicherheitskonzepte konzentrieren, z. B. Autorisierung, Überprüfung, Vertraulichkeit und Integrität. Die Autorisierung befasst sich mit der Frage, wozu Sie berechtigt sind. Dieser Prozess regelt die Ressourcen und Abläufe, auf die der authentifizierte Benutzer zugreifen darf. Zu diesen Ressourcen gehören Dateien, Datenbanken, Tabellen, Zeilen usw. Benut- zer können entweder auf die gesamte oder einen Teil der Ressource zugreifen oder überhaupt keinen Zugriff erhalten. Durch Überprüfung und Protokollierung wird sicher- gestellt, dass ein Benutzer eine Prozess nicht zurück- weisen oder eine Transaktion einleiten kann, ohne dass die Aktivität aufgezeichnet wird. Bei Cloud-An- wendungen bedeutet das, dass die Nutzung der Anwendung oder des Datenspeichers aus Compli- ance- oder anderen rechtlichen Gründen protokol-