Was ist ein Framework für die Cloud-Sicherheit?
Frameworks für die Cloud-Sicherheit umfassen Richtlinien, Best Practices und Kontrollen, die Unternehmen zur Gewährleistung der Sicherheit ihrer Daten, Anwendungen und Infrastruktur in Cloud-Computing-Umgebungen einsetzen. Sie liefern einen strukturierten Ansatz zur Identifizierung potenzieller Risiken und Implementierung von Sicherheitsmaßnahmen zur Minderung der Risiken.
Der Fokus von Frameworks für die Cloud-Sicherheit richtet sich auf die Sicherheitsaspekte, die für die Erfüllung von Compliance- und Governance-Anforderungen entscheidend sind. Dabei liegt der Schwerpunkt auf der Sicherheit und nicht auf Compliance und Governance. Einige dieser Frameworks bieten die Sicherheitskontrollen, die erforderlich sind, um die relevanten Sicherheitsstandards und ‑vorschriften zu erfüllen, decken jedoch nicht alle Compliance-Aspekte ab.
Cloud-Compliance vs. Cloud-Governance
Frameworks für die Cloud-Sicherheit, für die Cloud-Compliance und Governance sind einander ähnlich, dienen in Cloud-Computing-Umgebungen jedoch unterschiedlichen Zwecken.
Frameworks für die Cloud-Sicherheit befassen sich mit den speziellen Sicherheitsherausforderungen der Cloud, einschließlich Modelle der gemeinsamen Verantwortung, und erleichtern die Erkennung und Minderung potenzieller Risiken.
Frameworks für die Cloud-Compliance dagegen stellen sicher, dass Unternehmen die gesetzlichen und behördlichen Vorschriften über Cloud-Services einhalten. Ihr Schwerpunkt liegt auf spezifischen Compliance-Vorgaben wie HIPAA, PCI-DSS oder DSGVO. Sie beschreiben die Kontrollen und Maßnahmen, die für die Compliance erforderlich sind.
Governance-Frameworks sind breiter gefasst und befassen sich mit der allgemeinen Verwaltung und Kontrolle von IT-Systemen, einschließlich von Cloud-Umgebungen. Sie definieren Richtlinien, Verfahren und Leitlinien für Entscheidungsfindung, Risikomanagement und Compliance und bieten ein Framework, anhand dessen sichergestellt werden soll, dass IT-Ressourcen effektiv und effizient genutzt werden.
Zwar kann es zwischen den drei Frameworks einige Überschneidungen geben, doch dient jedes einem bestimmten Zweck bei der Verwaltung und Sicherung von Cloud-Umgebungen.
Cloud Risk Report 2023
Erfahren Sie, auf welche Cloud-Sicherheitsbedrohungen Sie im Jahr 2023 achten sollten und wie Sie diese am besten angehen, um auch 2024 geschützt zu bleiben.
Jetzt herunterladenDie gängigsten Cloud-Frameworks
Immer mehr Unternehmen führen Cloud-Computing-Services ein, und damit wächst die Herausforderung, die Sicherheit und Compliance von Daten und Anwendungen zu gewährleisten. Frameworks für die Cloud-Sicherheit bieten Leitlinien und Kontrollen, die Unternehmen dabei helfen, potenzielle Risiken zu erkennen und Sicherheitsmaßnahmen zu ihrer Minderung zu ergreifen.
Nicht alle Frameworks und damit verbundenen Anforderungen sind für jede Branche relevant. Darüber hinaus müssen Unternehmen, die Frameworks zur Einhaltung gesetzlicher Vorschriften einführen, diese Vorgaben auch für Anwendungen in der Cloud erfüllen. In diesem Abschnitt betrachten wir wichtige Frameworks, die Unternehmen dabei helfen können, bei der Nutzung von Cloud-Services verschiedene Sicherheits- und Datenschutzvorschriften zu erfüllen.
Frameworks für die Cloud-Sicherheit
MITRE ATT&CK
Als Framework standardisiert MITRE ATT&CK die verschiedenen Phasen eines Angriffs. Statt sich nur auf Kontrollen zu konzentrieren, zielt es auf Taktiken und Techniken ab, die Hacker in der Cloud einsetzen. Anhand dieses Frameworks können Unternehmen die potenziellen Angriffsvektoren verstehen und ihre Sicherheit in der Cloud durch verbesserte Erkennungs- und Reaktionsfähigkeit stärken.
CIS
Das Center for Internet Security (CIS) ist in der Branche für seine standardisierten Kontrollen und Benchmarks bekannt, die als Compliance-Standard für die Schaffung einer Sicherheitsbasis dienen. Ursprünglich zielten diese Benchmarks auf lokale Systeme ab, sie haben sich jedoch weiterentwickelt und umfassen nun auch Technologien für die wichtigsten Cloud-Anbieter.
Der CIS-Standard ist nicht zuletzt deshalb einzigartig, weil er auf einem Konsens von Praktikern basiert und auf einer vertrauenswürdigen und getesteten Reihe wirksamer Abwehrmaßnahmen in Produktionsumgebungen aufbaut. Dies hat zu effektiveren Kontrollen geführt.
CSA STAR
Das Security Trust Assurance and Risk (STAR) Framework der Cloud Security Alliance (CSA) bietet Best Practices für die Cloud-Sicherheit und validiert den Sicherheitsstatus von Cloud-Serviceanbietern. Das Framework selbst beschreibt die cloudspezifischen Sicherheitskontrollen für Cloud-Anbieter als Teil der Cloud Control Matrix (CCM). Darüber hinaus stellt es Kunden, die Anwendungen in diesen Clouds ausführen, eine Liste mit Fragen zur Bewertung ihrer CCM-Konformität bereit.
ISO/IEC 27017:2015
ISO 27001 umfasst Richtlinien, die Kunden dabei helfen können, ein Framework für die Bewältigung von Risiken im Zusammenhang mit dem Schutz von Daten zu schaffen, die im Besitz von Unternehmen sind oder von ihnen verwaltet werden.
ISO 27017 ist ein cloudspezifisches Framework, das Leitlinien für die Aspekte der Datensicherheit gibt, die speziell für die Cloud gelten. Die in diesem Framework beschriebenen Sicherheitskontrollen ergänzen die Leitlinien der Normen ISO/IEC 27002 und ISO/IEC 27001. Das Framework bietet außerdem separate Sicherheitskontrollen und Implementierungsanleitungen sowohl für Cloud-Serviceanbieter als auch für Anwendungen
Sonstige Frameworks
Cloud-Service-Anbieter haben auch eigene Frameworks veröffentlicht, die Cloud-spezifische Kontrollen aus mehreren Sicherheits- und regulatorischen Frameworks kombinieren. Dazu gehören Frameworks wie AWS Foundation Security Best Practices Standard und Microsoft Cloud Security Benchmarks.
Frameworks zur Einhaltung von gesetzlichen Vorgaben und Standards
- Datenschutz-Grundverordnung (DSGVO)
- FedRAMP
- ISO 27001
- Payment Card Industry Data Security Standard (PCI-DSS)
- HIPAA und HITECH
- Sarbanes-Oxley (SOX)
- California Consumer Privacy Act (CCPA)
- Federal Information Security Modernization Act (FISMA)
- NERC CIP
- NIST CSF
- System and Organization Controls 2 (SOC 2)
- Cybersecurity Maturity Model Certification 2.0 (CMMC 2.0)
- Allgemeine Frameworks
Datenschutz-Grundverordnung (DSGVO)
Bei der DSGVO handelt es sich um ein umfassendes Regelwerk von Datenschutzbestimmungen, an die sich Unternehmen halten müssen, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung enthält spezifische Vorschriften zu Sicherheit und Datenschutz im Zusammenhang mit der Nutzung von Cloud-Services.
Zu diesen Kontrollen gehören Datenschutz-Folgenabschätzungen (DSFA), die Wahrung der Rechte betroffener Personen an ihren Daten, Sicherheitskontrollen zum Schutz von Daten und Schutzmaßnahmen in Bezug auf die Übermittlung von Daten aus der EU.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP ist eine sehr wichtige Komponente von Frameworks für die Cloud-Sicherheit, insbesondere für Cloud-Serviceanbieter, die Geschäfte mit US-Regierungsbehörden tätigen möchten. Sie standardisiert die Art und Weise, wie Nichtregierungsorganisationen Sicherheitskontrollen implementieren, um sicherzustellen, dass sie den Standards der Regierung für die Bewertung, Autorisierung und Überwachung in der Cloud entsprechen.
ISO 27001
ISO 27001 der Internationalen Organisation für Normung (ISO) ist eine weltweit anerkannte internationale Norm zur Standardisierung des gesamten Lebenszyklus von Informationssicherheits-Managementsystemen (ISMS). Sie stellt sicher, dass Unternehmen über einen strukturierten Ansatz für die Verwaltung sensibler Informationen verfügen.
ISO 27001 beschreibt spezifische Überlegungen zu Sicherheit und Datenschutz für Unternehmen in Bezug auf Cloud Computing, wie z. B. die Durchführung von Risikobewertungen, die Implementierung von Sicherheitskontrollen und die kontinuierliche Verbesserung von Sicherheitsmaßnahmen.
Payment Card Industry Data Security Standard (PCI-DSS)
PCI DSS wird im Gegensatz zu den meisten anderen Standards von der Zahlungskartenbranche und nicht von einer staatlichen Stelle vorgegeben. Der Standard schafft eine Basis für den sicheren Umgang von Händlern und Dienstleistern mit Kreditkartendaten und legt ausdrücklich dar, welche Sicherheitskontrollen zum Schutz vor Datenkompromittierungen erforderlich sind. Der Standard umfasst mehrere wichtige Komponenten: Festlegung des Geltungsbereichs, Sicherheitskontrollen, Verwaltung von Drittanbieter-Services und Compliance-Validierung.
Health Insurance Portability and Accountability Act (HIPAA)/Health Information Technology for Economic and Clinical Health Act (HITECH Act)
HIPAA und HITECH sind Bundesgesetze der Vereinigten Staaten, die Sicherheits- und Datenschutzstandards zum Schutz der elektronischen geschützten Gesundheitsdaten (ePHI) von Patienten festlegen. Die Einhaltung dieser Gesetze ist für Gesundheitsunternehmen außerordentlich wichtig, damit die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI vor Ort und in der Cloud gewährleistet ist. Dabei wird eine Kombination aus Risikobewertungen, Sicherheitskontrollen, Datenschutzkontrollen, Vereinbarungen mit Geschäftspartnern und Compliance-Validierung angewendet.
Sarbanes-Oxley (SOX)
SOX ist ein Bundesgesetz in den USA, das Anforderungen an die Finanzberichterstattung und Corporate Governance festlegt. Es soll die Richtigkeit und Vollständigkeit der Finanzinformationen von Unternehmen gewährleisten und verlangt von diesen, angemessene interne Kontrollen für die Finanzberichterstattung einzurichten und aufrechtzuerhalten.
Die wichtigsten SOX-Bestimmungen, die Unternehmen einhalten müssen, beziehen sich auf Risikobewertungen, kontinuierliche Kontrollen, die Sicherung vertraulicher Kommunikation und die Überwachung interner Kontrollen der Finanzberichterstattung. Diese Komponenten stellen sicher, dass Unternehmen über geeignete Maßnahmen verfügen, um Betrug, falsche Angaben und andere finanzielle Verfehlungen, die dem Ruf des Unternehmens, seiner finanziellen Stabilität und dem allgemeinen öffentlichen Vertrauen schaden könnten, zu erkennen und zu verhindern.
California Consumer Privacy Act (CCPA).
CCPA ist ein Datenschutzgesetz, das der DSGVO ähnelt, jedoch dem Schutz der personenbezogenen Daten der Einwohner Kaliforniens dient. Es verpflichtet Unternehmen, angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen. Das Gesetz verlangt die Dateninventur und -zuordnung, Risikobewertungen, robuste Sicherheitskontrollen, Pläne zur Reaktion auf Zwischenfälle und die Pflege von Prüfprotokollen über die Einhaltung von Richtlinien.
Federal Information Security Modernization Act (FISMA)
FISMA ist ein Gesetz in den USA über die Erstellung von Informationssicherheitsprogrammen, das sich an US-Bundesbehörden richtet. FISMA verfolgt einen risikobasierten Ansatz beim Datenschutz und legt Mindest-Sicherheitsstandards fest, an die sich die Behörden halten müssen. FISMA soll die Daten- und Informationssysteme des US-Bundes durch fünf kritische Komponenten schützen: Sicherheitskategorisierung, Risikobewertung, Sicherheitskontrollen, kontinuierliche Überwachung und Compliance-Validierung.
North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP)
Die NERC CIP-Standards sollen das nordamerikanische Stromnetz vor Cyberangriffen schützen. Sie gelten für alle Unternehmen, die für das Bulk Electric System (BES) verantwortlich sind, einschließlich Stromerzeugungsanlage, Übertragungs- und Verteilsysteme und Energieversorger. Zu den Kernkomponenten gehören Risikomanagement, Sicherheitskontrollen, Programme zur Reaktion auf Zwischenfälle und Compliance-Validierung.
Cybersicherheits-Framework des National Institute of Standards and Technology (NIST CSF)
NIST CSF ist eine umfassende Sammlung von Richtlinien und Best Practices für die Sicherung cloudbasierter Systeme. Diese helfen Unternehmen dabei, die mit Cloud-Computing verbundenen Sicherheitsrisiken zu bewerten und zu verwalten, und beruhen auf den Kernfunktionen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Im Rahmen dieser Funktionen gibt es zahlreiche Kontrollen für das effektive Management von Cybersicherheitsrisiken in einer Cloud-Umgebung.
System and Organization Controls 2 (SOC 2)
Das SOC 2-Framework enthält Richtlinien des American Institute of Certified Public Accountants (AICPA) zur Bewertung von Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Schutz der Privatsphäre bei Cloud-Service-Anbietern.
Die Einhaltung von SOC 2 umfasst eine unabhängige Prüfung der Systeme und Kontrollen von Cloud-Service-Anbietern, damit gewährleistet ist, dass sie die Anforderungen von SOC 2 in Bezug auf Richtlinien und Verfahren, Risikobewertung, Sicherheitskontrollen und unabhängige Prüfungen erfüllen.
Cybersecurity Maturity Model Certification 2.0 (CMMC 2.0)
Das CMMC-Modell wurde vom US-Verteidigungsministerium (DoD) erstellt, um sicherzustellen, dass Auftragnehmer und Lieferanten des DoD über angemessene Cybersicherheitsmaßnahmen verfügen. Dieses Framework umfasst mehrere Ebenen, die auf dem Umfang der von Lieferanten implementierten, unabhängig geprüften Sicherheitskontrollen basieren. Anhand dieser Ebenen kann das DoD Unternehmen von Ausschreibungen ausschließen, wenn sie die beschriebenen Mindestanforderungen nicht erfüllen.
CMMC 2.0 enthält spezifische Anforderungen an die Cloud-Sicherheit in Bezug auf Cloud-Sicherheitskontrollen, Validierung der Kontrollen durch Dritte, Überwachung und Compliance-Zertifizierung.
Allgemeine Frameworks
Es gibt noch weitere Frameworks, wie COBIT 5 und COSO, die Sicherheitsleitlinien enthalten, sich jedoch nicht speziell auf die Cloud beziehen. Da diese Frameworks allgemeiner sind, müssen die darin enthaltenen Ratschläge für die Umsetzung in Cloud-Umgebungen möglicherweise etwas modifiziert werden. Die Frameworks befassen sich mit dem gemeinsamen Thema der Risiko- und Schwachstellenbewertung und beschreiben grundlegende Kontrollmaßnahmen zur Erfüllung der Compliance-Anforderungen.
Fallstudie: BPG Designs
Kleine und mittlere Unternehmen (KMUs) sind mit vielen der gleichen Cybersicherheits-Bedrohungen konfrontiert wie große, verfügen jedoch nicht immer über die gleichen Mittel zu ihrer Bekämpfung.Erfahren Sie, wie CrowdStrike BPG Designs, einem seiner vielen KMU-Kunden, bei der Bewältigung dieser Herausforderung geholfen hat.
Jetzt herunterladenBest Practices
Bei der Wahl eines Frameworks für die Cloud-Sicherheit, das zu den Anforderungen eines Unternehmens passt, muss sichergestellt werden, dass die geeigneten Kontrollen zur Erfüllung der gesetzlichen Anforderungen vorhanden sind. Auch wenn die verschiedenen Frameworks unterschiedliche Methoden zur Sicherung von Cloud-Ressourcen vorsehen, gibt es einige Standard-Best-Practices, an die sich alle Unternehmen halten müssen:
- Festlegung einer Risikobewertungsstrategie, die darauf ausgerichtet ist, potenzielle Bedrohungen und Schwachstellen zu identifizieren, Reaktionsmaßnahmen zur priorisieren und geeignete Sicherheitskontrollen zum Schutz vor Gefahren einzurichten
- Durchsetzung von Richtlinien und Verfahren zur Minderung von Risiken und kontinuierlichen Einhaltung der gesetzlichen Vorschriften
- Implementierung von Überwachungsmaßnahmen zur rechtzeitigen Erkennung von und schnellen Reaktion auf Bedrohungen sowie zur Eindämmung von Angriffen und Minimierung ihrer Auswirkungen
Unternehmen müssen ihre Compliance-Praktiken immer wieder überprüfen, damit sie stets den aktuellen Vorschriften und Sicherheitsbedrohungen in ihrer Branche entsprechen. Durch Implementierung dieser Best Practices können Unternehmen ein robustes Sicherheits- und Datenschutz-Framework aufbauen, um ihre Cloud-Umgebung zu sichern und Compliance-Anforderungen zu erfüllen.
CrowdStrike hilft bei der Erfüllung regulatorischer Anforderungen
CrowdStrike weiß, dass Compliance- und Zertifizierungs-Frameworks für jedes Unternehmen eine entscheidende Rolle spielen. CrowdStrike kann dabei helfen, geltende Anforderungen zu erfüllen, damit Kunden sich auf einen sicheren und reibungslosen Betrieb verlassen können. Externe Validierung und Akkreditierung ist außerordentlich wichtig für Unternehmen, die die Funktionen und die Technologie von CrowdStrike nutzen, um ihre Daten entsprechend den gesetzlichen Anforderungen abzusichern.
Nur CrowdStrike kann die weltweit umfassendste Erkennung und Reaktion für die Cloud bieten. Damit lassen sich der Sicherheitsstatus und die Compliance gemäß den für verschiedene Branchen spezifischen Anforderungen und Vorschriften durchsetzen. CrowdStrike Falcon® Cloud Security liegt bei der MITRE ATT&CK-Erkennungsabdeckung mit an der Spitze mit 99 % für Cloud-Workloads, Container und serverlose Umgebungen und bietet eine Rund-um-die-Uhr Lösung für verwaltete Erkennung und Reaktion (MDR) und Bedrohungssuche in der Cloud, die für Workloads und Container entwickelt wurde. Die CNAPP-Funktionen bieten Image-Scanning vor der Laufzeit sowie einen Laufzeitschutz, der mit den Daten von der Kontrollebene vollständig integriert ist. Sie erhalten auch vollständig integrierte, marktführende Bedrohungsanalysen, die eine Erkennung und Reaktion in Echtzeit ermöglichen.
CrowdStrike Falcon® Cloud Security ist die einzige cloudnative Plattform für Anwendungsschutz (CNAPP, Cloud-Native Application Protection Platform) der Branche, die eine einheitliche Transparenz und Sicherheit für Multi-Cloud- und Hybrid-Umgebungen mit einer einzigen Plattform und Bereitstellung auf einen Klick bietet. Sie liefert einheitliche Sicherheitsrichtlinien und hilft dabei, die Compliance in lokalen, Hybrid- und Multi-Cloud-Umgebungen zu gewährleisten.
Vereinbaren Sie eine kostenlose und unverbindliche Bewertung der Cloud-Sicherheitsrisiken von CrowdStrike für Ihre Cloud-Infrastruktur und Cloud-Anwendungsumgebung, um Erkenntnisse über Ihren Bedarf in Bezug auf die Sicherheit und Compliance Ihrer spezifischen Anwendung zu gewinnen.