Warum eine gründliche Dokumentation der IT die Cloud-Sicherheit stärkt

Der vom Bundesamt für wirtschaftliche Landesversorgung (BWL) erlassene ICT-Minimalstandard betont die Bedeutung einer umfassenden Risikoanalyse, die explizit auch Cloud-Dienste einbeziehen sollte. Unternehmen müssen die Risiken sorgfältig identifizieren und bewerten. Im Bereich Datenschutz empfiehlt er die Einführung strenger Datenschutzmassnahmen für in der Cloud gespeicherte Daten, einschliesslich der Verschlüsselung sensibler Daten. Darüber hinaus fordert er robuste Zugriffskontrollen, um unbefugten Zugriff auf Cloud-Ressourcen durch geeignete Authentifizierungs- und Autorisierungsmechanismen zu verhindern.

Unternehmen sollten die Sicherheitsstandards und Compliance-Zertifizierungen ihrer Cloud-Service-Provider genau prüfen und klare Vereinbarungen zu Datenschutz, Sicherheitsmassnahmen und Incident Response festlegen. Im Bereich Kontinuitätsmanagement empfiehlt der ICT-Minimalstandard Notfallpläne, die Störungs- oder Ausfallszenarien in der Cloud abdecken und die Implementierung von Prozessen zur Datensicherung und -wiederherstellung umfassen.

Digitale Zwillinge für mehr Sicherheit 

Die Einhaltung dieser Standards ist in der heutigen komplexen Infrastrukturlandschaft eine Herausforderung. Unternehmen nutzen oftmals Hybrid-Clouds, bewegen sich teilweise wieder im On-Premises-Bereich oder kombinieren beide Welten. Jede Umgebung bringt spezifische Sicherheitsprotokolle und Compliance-Anforderungen mit sich. Diese Vielfalt erfordert eine systematische und lückenlose Erfassung und Dokumentation sämtlicher Elemente der IT-, Rechenzentrums- und Netzwerkinfrastruktur. Die Erfassung und Bündelung der Daten in einem «Single Point of Truth» in Softwarelösungen wie FNT Command erlaubt die zuverlässige Analyse, Planung und Steuerung aller physischen und virtuellen Assets.

Identifizierung von Abhängigkeiten und ­Vulnerabilität

Durch das Aufzeigen von logischen Verknüpfungen können IT-Verantwortliche einsehen, welche kritischen Prozesse über welche Kabel laufen und welche Business-Services von welchen Assets abhängig sind. Dadurch wird klarer, welche Bereiche bei auftretenden Ausfällen und Störungen bedroht sein könnten. Ausfallzeiten können vermieden und die Betriebskontinuität sowie die allgemeine Servicequalität und -zuverlässigkeit verbessert werden.

Mit der umfassenden Dokumentation der IT-Infrastruktur geht auch eine schnelle Schwachstellenerkennung und -behebung einher. Ein lückenloses Datenmodell erkennt schnell die Defizite, Engpässe und vulnerabelsten Bereiche einer Infrastruktur. Die IT-Verantwortlichen können diese Bereiche stärken und Mängel beheben. Tritt dennoch ein kritischer Fehler oder Notfall auf, ermöglicht ihnen die Dokumentation der IT-Infrastruktur eine schnelle Wiederherstellung der IT-Systeme. Organisationen werden somit befähigt, proaktiv Massnahmen zu ergreifen, um negative Auswirkungen auf den Betrieb zu minimieren.

Fazit

Die Dokumentation und systematische Verwaltung aller IT-Assets sind wesentliche Schritte, um Sicherheitslücken zu minimieren, die ICT-Resilienz zu fördern und die Compliance-Anforderungen zu erfüllen. Basis dafür ist ein Single Point of Truth. So lässt sich der Grundstein für weitreichende Massnahmen legen, die IT- und Telekommunikationsinfrastrukturen und damit die Lebensadern eines jeden Unternehmens schützen – denn «man kann nur schützen, was man kennt».