Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumVorlage
Erstellung einer effektiven Cloud-Sicherheitsrichtlinie: Leitfaden und Vorlage

Erstellung einer effektiven Cloud-Sicherheitsrichtlinie: Leitfaden und Vorlage

Eine robuste Cloud-Sicherheitsrichtlinie ist für jede Organisation unerlässlich, die auf Cloud-Dienste angewiesen ist, um sensible Daten zu speichern und zu verarbeiten. Sie verbessert die Sicherheit, indem sie klare Standards und Verfahren zur Sicherung von Cloud-Ressourcen festlegt, die Rollen, die beim Schutz von Daten beteiligt sind, detailliert beschreibt und eine sicherheitsbewusste Kultur fördert. Darüber hinaus ist eine dokumentierte Cloud-Sicherheitsrichtlinie eine Anforderung einiger Compliance-Regelungen und Audits.

Dieses Dokument bietet eine Anleitung zur Erstellung einer effektiven Cloud-Sicherheitsrichtlinie: Es beschreibt die zu inkludierenden Abschnitte und liefert Beispiele zur Veranschaulichung. Passen Sie es gerne an, um den spezifischen rechtlichen und Compliance-Anforderungen Ihrer Organisation gerecht zu werden.

Beachten Sie, dass Ihre Cloud-Sicherheitsrichtlinie Teil einer umfassenderen Sicherheitsstrategie ist. Sie sollte sich an Ihren anderen Sicherheitsrichtlinien und -praktiken, einschließlich Netzwerksicherheit und Datenschutzrichtlinien, ausrichten und diese ergänzen, um eine robuste Verteidigung gegen Bedrohungen und Schwachstellen zu schaffen.

Vorlage für Cloud-Sicherheitsrichtlinien

  1. Zweck

Die Erstellung einer Cloud-Sicherheitsrichtlinie beginnt mit der Definition ihres erklärten Zwecks, der die übergeordneten Ziele und Absichten umreißt. Dieser erklärte Zweck wird als Grundlage dienen, die die Auswahl spezifischer Sicherheitskontrollen, Verfahren und Strategien leitet, welche die Bedürfnisse und regulatorischen Anforderungen der Organisation erfüllen. Es stellt sicher, dass die Richtlinie fokussiert, relevant und im Einklang mit der übergeordneten Sicherheitsstrategie der Organisation steht und gibt eine klare Richtung für die Entwicklung und Implementierung der Richtlinie vor.

Beispiel

Der Zweck dieser Richtlinie besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen, die über Cloud-Computing-Dienste verarbeitet werden. Sie schafft einen strukturierten Rahmen von Verantwortlichkeiten und Maßnahmen, um die Einhaltung regulatorischer Anforderungen und die Befolgung von Sicherheitsrichtlinien im Bereich des Cloud-Computings zu gewährleisten.

  1. Umfang

Der Umfang einer Cloud-Sicherheitsrichtlinie legt ihren Geltungsbereich fest. Sie spezifiziert die Cloud-Dienste, Daten, Benutzer, geografischen Standorte und Sicherheitskontrollen, auf die sich die Richtlinie innerhalb einer Organisation bezieht.

Beispiel

Diese Richtlinie bezieht sich auf Systeme, die die im Abschnitt "2.1. Informationstypen" dieses Dokuments definierten Daten verwalten und umfasst alle relevanten Cloud-Dienste. Sie gilt für Server, Datenbanken und Geräte, die regelmäßig für E-Mails, Webzugriff oder Arbeitstätigkeiten verwendet werden, und deckt sowohl neue als auch bestehende Installationen ab. Jeder Benutzer, der mit den IT-Diensten des Unternehmens interagiert, unterliegt dieser Richtlinie, und die Anforderungen an die Sicherheitskontrolle sind universell auf alle genehmigten Cloud-Systeme anwendbar.

2.1. Informationstypen

Der Zweck dieses Abschnitts besteht darin, eine umfassende Liste von Informationstypen bereitzustellen, die in den Geltungsbereich der vorgeschlagenen Richtlinie fallen. Sie müssen Ihre gespeicherten und verarbeiteten Daten unter Verwendung der besten Praktiken für die Datenklassifizierung genau kennzeichnen.

Beispiel

Diese Richtlinie gilt für alle Informationen, die gemäß der Netwrix Data Classification-Richtlinie des Unternehmens als sensible Daten eingestuft werden. Die von dieser Richtlinie abgedeckten sensiblen Datentypen umfassen:

Identitäts- und Authentifizierungsdaten

  • Passwörter
  • Kryptographische private Schlüssel
  • Hashtabellen

Finanzdaten

  • Rechnungen
  • Gehaltsdaten
  • Umsatzdaten
  • Daten zu Forderungen aus Lieferungen und Leistungen

Eigentumsdaten

  • Softwaretest und Analyse
  • Forschung und Entwicklung

Personenbezogene Daten der Mitarbeiter

  • Namen und Adressen
  • Sozialversicherungsnummern
  • Führerscheinnummern
  • Ausweisnummern
  • Finanzkontonummern, einschließlich Codes oder Passwörter, die Zugang zum Konto gewähren
  • Medizinische und gesundheitliche Versicherungsinformationen

3. Eigentum und Verantwortlichkeiten

Dieser Abschnitt der Cloud-Sicherheitsrichtlinie ist entscheidend dafür, dass Einzelpersonen und Teams ihre Rollen bei der Sicherung von Cloud-Ressourcen verstehen, klare Verantwortlichkeiten festlegen und Lücken vermeiden, die das Risiko von Sicherheitsvorfällen erhöhen.

Sie sollten alle Rollen auflisten, die mit Cloud-Sicherheitsaktionen und -kontrollen zusammenhängen, und die damit verbundenen Verantwortlichkeiten beschreiben. Wenn Sie nicht sicher sind, wie Sie mit der Erstellung der Liste beginnen sollen, ziehen Sie die folgenden Fragen in Betracht:

  • Welche Personen oder Teams nutzen Cloud-Dienste und müssen über Sicherheitsrichtlinien informiert sein?
  • Wer ist verantwortlich für die Konfiguration und Wartung der Sicherheitseinstellungen in der Cloud-Umgebung?
  • Wer stellt sicher, dass Cloud-Implementierungen mit den relevanten Compliance-Anforderungen und internen Richtlinien übereinstimmen?
  • Wer ist verantwortlich für die Entscheidungsfindung bezüglich der Auswahl von Cloud-Lösungen?

Beispiele

  • Cloud Security Administrator: Verantwortlich für die Konfiguration und Aufrechterhaltung von Sicherheitseinstellungen und -kontrollen innerhalb der Cloud-Umgebung, einschließlich Access Management, Verschlüsselung und Überwachung.
  • Data Owner: Die Person oder das Team, das für die Daten der Organisation verantwortlich ist, die in der Cloud gespeichert sind, einschließlich Netwrix Data Classification, Zugriffskontrolle und Datenhaltungsrichtlinien.

4. Sichere Nutzung von Cloud-Computing-Diensten

Dieser Abschnitt beschreibt die Anforderungen für die akzeptable Nutzung von Cloud-Diensten. Um ihn vorzubereiten, sollten Sie die folgenden Schritte für jeden Cloud-Dienst durchführen:

  • Identifizieren Sie Dienstnutzer, sowohl interne als auch externe.
  • Dokumentieren Sie den Typ des Cloud-Dienstes (SaaS, PaaS, IaaS) mit detaillierten Spezifikationen.
  • Geben Sie die Arten von Daten an, die im Dienst gespeichert werden sollen.
  • Erforderliche Sicherheitslösungen und Konfigurationen im Detail angeben, wie Verschlüsselung, Überwachung und Backups.
  • Erstellen Sie eine Historie vergangener Sicherheitsvorfälle, die den gewählten Cloud-Anbieter betreffen.
  • Fordern Sie Dokumentationen zu verfügbaren Sicherheitszertifizierungen an.
  • Sichern Sie Kopien der Service Level Agreement (SLA) und anderer Vereinbarungen mit dem Cloud-Anbieter.

4.1 Genehmigte Dienste

Geben Sie eine Zusammenfassung Ihrer Cloud-basierten Infrastruktur an, einschließlich eines Katalogs genehmigter Dienste, die den jeweiligen Abteilungen zugeordnet sind. Beschreiben Sie den Prozess für die Genehmigung der Dienstübernahme. Erwägen Sie, eine Liste nicht autorisierter Dienste beizufügen.

Beispiel

Nur die in Abschnitt 4.1 aufgeführten genehmigten Cloud-basierten Lösungen dürfen verwendet werden. Die Installation nicht autorisierter Software auf von der Organisation bereitgestellten Geräten und IT-Infrastrukturkomponenten ist untersagt. Der Cloud-Sicherheitsadministrator muss Drittanbieter-Cloud-Dienste vor der Nutzung autorisieren; jegliche nicht autorisierte Dienste müssen Alarme auslösen und den Zugriff blockieren.

Infrastructure as a Service (IaaS)

  • Amazon Web Services (AWS) — IT-Abteilung
  • Microsoft Azure — IT-Abteilung

Software as a Service (SaaS)

  • Office 365 — Alle Abteilungen
  • Salesforce — Nur für die Abteilungen Vertrieb und Marketing

5. Risikobewertung

Der Abschnitt zur Risikobewertung gibt Parameter und Verantwortlichkeiten vor, die mit der Identifizierung, Bewertung und Priorisierung der Sicherheitsrisiken verbunden sind, die mit Cloud-Diensten assoziiert werden.

Beispiel

Der Cloud Security Administrator und das IT-Sicherheitsteam sind verantwortlich für die Durchführung von Risikobewertungen. Eine Risikobewertung muss durchgeführt werden:

  • Nach der Implementierung eines neuen Cloud-Dienstes
  • Nach bedeutenden Upgrades oder Aktualisierungen eines bestehenden Cloud-Dienstes
  • Nachdem Änderungen an der Konfiguration eines Cloud-Dienstes vorgenommen wurden
  • Als Reaktion auf ein Sicherheitsereignis oder einen Vorfall
  • Quartalsweise für alle bestehenden Cloud-Dienste

Darüber hinaus wird ein externer Risikobewertungsspezialist alle sechs Monate eine Risikobewertung durchführen.

6. Sicherheitskontrollen

Dieser Abschnitt beschreibt sowohl die internen Sicherheitskontrollen der Organisation als auch die vom Cloud-Dienstanbieter bereitgestellten. Beispiele für Sicherheitskontrollen sind Zugriffsrechte für Server, Firewall-Regeln, VLAN-ACLs und Netzwerksegmentierung.

Gruppieren Sie die Kontrollen in logische Kategorien, wie Zugriffskontrolle, Datenschutz, Vorfallreaktion und Compliance. Geben Sie eine klare Beschreibung des Zwecks und des Geltungsbereichs jeder Kontrolle an. Beziehen Sie sich gegebenenfalls auf Vorschriften oder Branchenstandards (z. B. ISO 27001, NIST, GDPR), denen die Kontrollen entsprechen.

Beispiel

Kontrolle 23: Multifaktor-Authentifizierung (MFA)

  • Beschreibung: Implementieren Sie MFA für alle Benutzer, die auf Cloud-Dienste zugreifen, um die Sicherheit zu erhöhen, indem mehrere Formen der Authentifizierung vor dem Gewähren des Zugriffs erforderlich sind.
  • Verantwortungsbereich: IT-Sicherheitsteam
  • Referenz: NIST SP 800-63B, Abschnitt 5.1
  • Anforderungen: Alle Benutzer, die Zugriff auf Cloud-Ressourcen haben, müssen sich vor dem Zugriff im MFA-System der Organisation anmelden. Zulässige MFA-Methoden umfassen SMS-Codes, mobile App-Authentifizierung, Hardware-Token und Biometrie. Schulungen und Richtlinien werden den Benutzern zur Verfügung gestellt, um zu lernen, wie man MFA-Methoden korrekt einrichtet und verwendet. Eine vorübergehende Umgehung von MFA für bestimmte Szenarien wie die Kontowiederherstellung ist erlaubt.

6.1. Bewertung der Sicherheitskontrolle

Stellen Sie die Häufigkeit dar, mit der Sicherheitskontrollen regelmäßigen Bewertungen ihrer Wirksamkeit und Schwachstellen unterzogen werden.

Beispiel

Der Cloud Security Administrator ist dafür verantwortlich, vierteljährlich eine umfassende Bewertung der Sicherheitskontrolleinstellungen durchzuführen. Die Bewertung umfasst die Überprüfung aller Einstellungen und Konfigurationen der Sicherheitskontrollen für alle Cloud-Umgebungen. Sie beinhaltet auch die Untersuchung aller Fälle von fehlgeschlagenen Zugriffsversuchen, um Schwachstellen in den Sicherheitskontrollen zu identifizieren.

7. Wiederherstellung nach Sicherheitsvorfällen

Dieser Abschnitt sollte erläutern, wie Mitarbeiter verdächtige Aktivitäten und Sicherheitsvorfälle melden sollten, einschließlich der Kontaktpersonen und der Kommunikationskanäle.

Es sollte auch darlegen, wie Vorfälle basierend auf Schwere, Auswirkung und Art kategorisiert werden sollten; den Eskalationsprozess bereitstellen; und die Verfahren zum Eindämmen, Untersuchen, Minderung und Wiederherstellung von Sicherheitsvorfällen beschreiben.

Das Incident-Response-Team sollte klar definiert sein, wobei die Rollen und Verantwortlichkeiten jedes Mitglieds genau festgelegt sind. Fügen Sie auch Kontaktinformationen für relevante externe Parteien hinzu, wie Anwälte, Strafverfolgungsbehörden und Cybersicherheitsspezialisten.

Beispiel (Auszug)

Das Incident Response Team (IRT) ist verantwortlich für die Bearbeitung und Minderung von Sicherheitsvorfällen, die Cloud-Umgebungen betreffen. Alle Mitglieder des IRT müssen regelmäßig an Schulungen und Übungen teilnehmen, um die Vorbereitung und Vertrautheit mit dem Incident-Response-Prozess zu gewährleisten.

Der IRT Manager ist Alex Smith (alex.smith@email.com, 212-121-1234). Zuständigkeiten:

  • Überwacht den Incident-Response-Prozess
  • Koordiniert die Kommunikation mit externen Parteien
  • Stellt die Einhaltung regulatorischer Anforderungen sicher

Im Falle eines Sicherheitsvorfalls können die folgenden externen Kontakte hinzugezogen werden:

  • Rechtsberatung: XYZ Law Firm (Kontakt: legal@xyzlawfirm.com)
  • Strafverfolgungsbehörden: Polizeidienststelle vor Ort (Kontakt: 911)
  • Forensikspezialisten: CyberForensics Inc. (Kontakt: info@cyberforensics.com)
  • Cybersicherheitsspezialisten: SecureTech Solutions (Kontakt: info@securetechsolutions.com)

8. Bewusstsein

In diesem Abschnitt legen Sie die Zielgruppe für die Sicherheitsschulung fest, die Häufigkeit und Methoden der Schulungsdurchführung sowie die verantwortliche Person für die Überwachung der Schulung. Beschreiben Sie den Prozess zur Behandlung von Nichteinhaltung und betonen Sie die Verfahren zur Meldung von Vorfällen. Heben Sie die Wichtigkeit der Aktualisierung der Schulung hervor, um sich an die sich entwickelnden Sicherheitsbedrohungen und bewährten Verfahren anzupassen. Zusätzlich erläutern Sie, wie Sie Aufzeichnungen über abgeschlossene Schulungen führen und deren Wirksamkeit messen werden.

Beispiel

  • Zielgruppe: Eine Schulung ist erforderlich für alle Personen mit Zugang zu Cloud-Ressourcen, einschließlich, aber nicht beschränkt auf Mitarbeiter, Auftragnehmer und Drittanbieter.
  • Häufigkeit: Sicherheitsbewusstseinstrainings müssen jährlich für das gesamte Personal sowie bei der Einarbeitung neuer Mitarbeiter durchgeführt werden.
  • Liefermethoden: Die Schulung kann je nach Zielgruppe in einer Kombination aus Online-Kursen, Webinaren und Präsenzveranstaltungen erfolgen.
  • Bewertung: Wirksamkeitsbewertungen, einschließlich periodischer Tests und Umfragen, sollen durchgeführt werden, um den Einfluss des Schulungsprogramms zu bewerten und Bereiche für Verbesserungen zu identifizieren.

9. Durchsetzung

Dieser Abschnitt beschreibt, wie die Sicherheitsrichtlinie durchgesetzt wird, die Konsequenzen bei Nichteinhaltung und die verantwortlichen Parteien, die die Durchsetzungsbemühungen überwachen.

Beispiel

Das IT-Sicherheitsteam wird in Zusammenarbeit mit der Personalabteilung die Sicherheitsrichtlinie durch routinemäßige Bewertungen durchsetzen. Mitarbeiter, die die Richtlinie nicht einhalten oder bei Tests durchfallen, werden ihre Konten gesperrt bekommen und müssen eine Sicherheitsschulung bestehen, damit ihr Konto wieder aktiviert wird.

10. Verwandte Dokumente

Dieser Abschnitt sollte alle weiteren Dokumente auflisten, die für die Sicherheitsrichtlinie relevant sind, einschließlich aller Richtlinien, die Sicherheit, Compliance, Vorfallberichterstattung und Sicherheitsschulungen betreffen. Beispiele können Folgendes umfassen:

  • Passwortrichtlinie
  • Datenschutzrichtlinie
  • Verfahren zur Behandlung von Nichteinhaltung
  • Incident-Response-Plan

11. Versionshistorie

Eine Versionshistorie sorgt für Transparenz und Rechenschaftspflicht, indem sie alle Änderungen oder Aktualisierungen der Richtlinie über die Zeit hinweg dokumentiert. Stellen Sie sicher, dass jede Änderung der Richtlinie und deren Begründung dokumentiert wird.

Beispiel

Version

Revisionsdatum

Autor

Beschreibung

1.0

02/01/2023

Blake Parker, Cloud-Sicherheitsadministrator

Erstversion

1.1

06/01/2023

Blake Parker, Cloud-Sicherheitsadministrator

Aktualisierte Schulungshäufigkeit

Fazit

Diese Vorlage für eine Cloud-Sicherheitsrichtlinie bietet eine solide Grundlage für die Erstellung einer wirksamen Cloud-Sicherheitsrichtlinie, die auf die spezifischen Bedürfnisse Ihrer Organisation zugeschnitten ist. Die Richtlinie sollte Sicherheitsbedenken im Zusammenhang mit Cloud-Computing auf praktische und anpassbare Weise ansprechen, sodass Ihre Organisation ihre sensiblen Daten heute und in Zukunft angemessen schützen kann.

Netwrix Auditor for SharePoint und Teams

Halten Sie Daten in Ihrem SharePoint und Microsoft Teams sicher, ohne die Produktivität zu beeinträchtigen

Eine persönliche Demo anfordern

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management