Fragen zur Cloud-Sicherheit, die Unternehmen stellen sollten

In den letzten Jahren migrieren auch immer mehr Enterprise-Organisationen ihre Software von klassischen Server-Systemen in die Cloud – und selbst in manchen Konzernen wird nicht mehr nach dem Ob, sondern eher nach dem Wann gefragt.

Einige Anwendungsfälle wie Messaging, Videomeetings und Kalender werden schon länger (und ohne größere Sicherheitsbedenken) in der Cloud abgebildet. Die Auslagerung sensiblerer Prozesse bereitet jedoch insbesondere den IT- und Compliance-Teams in den Unternehmen nach wie vor Bauchschmerzen.

Atlassian hat vor kurzem sein Geschäftsmodell neu aufgestellt und sieht sich mittlerweile auch in der offiziellen Kommunikation als Cloud-first-Unternehmen. Und an einen solchen Anbieter haben große Organisationen eine ganze Reihe von Fragen zur Cloud-Sicherheit, auf die der Hersteller gute Antworten haben sollte, damit Konzernkunden Vertrauen in seine Cloud-Lösungen gewinnen.

Atlassian Cloud-Sicherheit

Welcher Sicherheitsphilosophie folgt der Anbieter?

Weitsichtige Software-Unternehmen haben verstanden, dass Sicherheit mehr ist als das Abhaken einer Anforderungsliste. Neue Bedrohungen entwickeln sich schneller denn je und die Reduktion von Risiken erfordert einen ganzheitlichen Ansatz. Organisationen, die selbstverwaltete Workflows und Prozesse in die Cloud migrieren, sollten nach Technologiepartnern mit einer klaren Sicherheitsphilosophie suchen, die über Industriezertifizierungen hinausgeht.

Wie sichert der Hersteller seine interne Umgebung?

Einer der wichtigsten Faktoren beim Aufbau einer sicheren Technologie besteht darin, die Umgebung abzusichern, in der sie entwickelt und betrieben wird. Verwundbarkeiten der Umgebung führen dazu, dass Verwundbarkeiten schließlich auch im Produkt auftreten.

Wie wird der Betrieb im Tagesgeschäft gesichert?

Der Sicherheitsgedanke sollte allen Aspekten der täglichen Prozesse innewohnen, die es bei einem Anbieter von Cloud-Technologien gibt. Wenn Sicherheitspraktiken als Anhängsel betrachtet und gehandhabt werden, sinkt die Wahrscheinlichkeit, dass sie adaptiert und ausreichend tief implementiert werden. Der Hersteller muss sich umfassend um die Resilienz der Produkte sorgen. Dazu gehört die Implementierung von Prozessen, um für den Fall von Störungen vorzusorgen und sie so zu behandeln, dass sie möglichst minimale Auswirkungen auf die Kunden haben, falls sie denn tatsächlich einmal auftreten.

Wie sichert der Anbieter Kundendaten?

Was vielleicht noch wichtiger als die Sicherheit der Software an sich, ist die Sicherheit der Daten, die die Software erzeugt und speichert. Ein Angriff gegen das Tool führt vielleicht dazu, dass dieses Tool für ein, zwei Tage außer Betrieb sind. Aber wenn böswillige Akteure Zugriff auf Kundendaten erhalten, wird das wahrscheinlich weitreichende Folgen für die Kunden und das Unternehmen haben.

Wie sorgt der Hersteller für Sicherheit im Hinblick auf die eigenen Mitarbeiter?

Niemand möchte das schwache Glied in der Kette sein, das seine Organisation einer Sicherheitsbedrohung aussetzt, aber manchmal braucht es mehr als gute Intentionen, um eine größtmögliche Sicherheit im Hinblick auf die eigenen Mitarbeiter zu gewährleisten, die die Technologie entwickeln und betreuen. Ein Anbieter von Enterprise-Technologien sollte Programme implementiert haben, um seine Angestellten nicht nur zu schützen, sondern auch um sie zu schulen, wie sie sich selbst vor Bedrohungen wie Phishing und Betrug bewahren.

Wie gewährleistet das Unternehmen, dass die Software sicher entwickelt wird?

Das ist die erste Frage, die viele Enterprise-Organisationen Technologieanbietern stellen. Wenn eine Applikation nicht sicher ist, ist das für Konzernkunden ein No-go. Ein sicheres Produkt erfordert stringente Maßnahmen während des Entwicklungszyklus, ein Verständnis von Security als kontinuierlichem Prozess sowie häufige Wartungsarbeiten und Aktualisierungen.

Wie werden Sicherheitsbedrohungen identifiziert und erwidert?

Es spielt keine Rolle, wie hieb- und stichfest die Sicherheitsmaßnahmen eines Technologieanbieters sein mögen – es besteht immer das Risiko, dass externe Kräfte die Resilienz der Organisation testen werden. Hersteller können nicht voraussetzen, dass ihre passiven Sicherheitsmaßnahmen immerfort effektiv sein werden; sie müssen proaktiv nach potenziellen Bedrohungen suchen und schnell auf sie reagieren, um Risiken zu minimieren.

Wie sicher sind das Ökosystem und die Technologie von Partnern?

In den Enterprise-Technologie-Umgebungen unserer Zeit kommt es selten vor, dass eine Anwendung in einem Vakuum existiert. Nahezu jedes Stück Software steht in Verbindung mit anderen Technologien und viele Kunden erweitern ihre Produkte um zusätzliche Use-Cases aus dem Partner-Ökosystem des Anbieters. Das führt zu einem signifikanten Anstieg der Komplexität und kann potenzielle Bedrohungen erzeugen, falls die Entwickler und Partner des Ökosystems sicherheitstechnisch nicht integriert sind.

Wie werden Compliance-Verpflichtungen adressiert?

Die meisten Enterprise-Unternehmen räumen Sicherheitsfragen nicht allein aus intrinsischem Antrieb eine so hohe Priorität ein. Oft gibt es zusätzliche externe Anforderungen, die sie erfüllen müssen, um in ihren Geschäftsbereichen agieren zu können. Technologieanbieter müssen eine starke Compliance-Strategie haben, wenn sie Konzerne in regulierten Branchen als Kunden ansprechen.

Fragen zur Cloud-Sicherheit, die ein Hersteller beantworten muss

In jedem Enterprise-Unternehmen, das die Sicherheitsaspekte eines Cloud-Anbieters evaluiert, sollten diese Fragen auf dem Zettel stehen. Es lohnt sich, sie mit neuen, aber auch mit bestehenden Technologiepartnern zu besprechen.

Atlassian hat Antworten zu all diesen Themen öffentlich publiziert und im eigenen Trust Center aufbereitet. Dort finden Sie viele Details über die Sicherheitsprogramme rund um Atlassian Cloud sowie zur Roadmap für kommende Maßnahmen und Verbesserungen. Und falls Sie weitere Informationswünsche haben, unterhalten wir uns gerne mit Ihnen über Sicherheit, Resilienz und Compliance im Hinblick auf Atlassian Cloud.

Ihr Partner für Atlassian-Software

Haben Sie Fragen zu Atlassian Cloud und den Deployment-Optionen für Jira, Confluence und Bitbucket? Gerne helfen wir Ihnen, Ihren Bedarf objektiv zu beurteilen: Als Atlassian Platinum Solution Partner mit Erfahrungen aus tausenden Atlassian-Projekten beraten wir Sie bei der Evaluation eines für Sie optimalen Lizenz- und Betriebsmodells, kümmern uns um sämtliche Details Ihres Lizenz-Setups und unterstützen Sie bei allen Aspekten der Skalierung Ihrer Atlassian-Produkte.

Weiterführende Infos

Warum immer mehr Unternehmen auf Atlassian Cloud setzen
Mögliche Voraussetzungen für eine DSGVO-konforme Ausgestaltung von Cloud-Lösungen und Atlassian Cloud
Wie Atlassian Cloud Unternehmen schneller und performanter macht
Linchpin Cloud – Aktueller Entwicklungsstand und Release der Web- und Mobile-App