V-Hub by Vodafone Business Cloud & Hosting CybersecurityCloud Security Alliance (CSA): Das steckt dahinter

Vor einer symbolhaften Wolke prangt ein geschlossenes Sicherheitsschloss über einer Computerplatine.

Cloud & Hosting

Cloud Security Alliance (CSA): Das steckt dahinter

27.09.2024

7 Min.

2024 liegt der Umsatz auf dem Cloud-Sicherheits-Markt laut Prognosen bei circa 499,7 Millionen Euro – allein in Europa. Es geht um immer größere Mengen an sensiblen Daten in der Cloud. Die Angriffe von Cyberkriminellen nehmen immer mehr zu, ebenso wie die gesetzlichen Sicherheitsvorgaben. Die Sicherheits- und Compliance-Anforderungen an Unternehmen sind also hoch, die Kosten leider auch. Dabei gibt es kostengünstige Wege, um sicherzustellen, dass Ihre Daten in der Unternehmens-Cloud sicher sind: mit der Expertise der Cloud Security Alliance.

Um Cloud-Computing kommt kaum ein Unternehmen herum. Ob Sie ganze Rechenzentren in die Cloud auslagern oder lediglich auf einzelne Ressourcen oder Managed Services setzen: Bereits 2022 nutzten rund 84 Prozent der deutschen Firmen Anwendungen in der Cloud – Tendenz steigend.

Und wahrscheinlich stellen auch Sie sich die Frage: Wie sicher sind Ihre Daten in der Cloud wirklich? Funktioniert die Cloud-Security-Strategie Ihres Cloud-Anbieters? Damit Sie Antworten auf diese Fragen erhalten, bietet die Cloud Security Alliance (CSA) eine Vielzahl an Services an. Wir stellen die CSA vor und zeigen Ihnen, wie Ihr Unternehmen von den Services profitieren kann.

Inhaltsverzeichnis

Was ist die Cloud Security Alliance?Mit CSA STAR den passenden Cloud-Anbieter finden CSA-Fortbildungen und -Zertifizierungen Das Wichtigste zur Cloud Security Alliance in Kürze

Was ist die Cloud Security Alliance?

Die Cloud Security Alliance (CSA) ist eine 2008 gegründete und weltweit agierende Non-Profit-Organisation mit Sitz im US-Bundesstaat Nevada. Das Ziel der CSA ist es, die Sicherheit von Cloud-Technologien, Cloud-Umgebungen und Cloud-Services zu fördern.

Ihre Angebote richten sich an Unternehmen, Cloud-Anbieter und Einzelpersonen. Sie umfassen unter anderem:

Best Practices für die Cloud-Sicherheit
Informationsmaterial in Form von Whitepapers
Die Herausgabe von Richtlinien
Die Entwicklung und Bereitstellung von Tools

Darüber hinaus initiiert die Cloud Security Alliance Forschungen, bietet Schulungen und Zertifikate für ihre Mitglieder an. Führende Mitglieder der CSA sind unter anderem die Tech-Giganten Microsoft, Google, Oracle und IBM. Weltweit umfasst das Netzwerk der Cloud Security Alliance etwa 90.000 Mitglieder, 80 Niederlassungen und 400 Organisationen verschiedener Branchen.

Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Mehr zu Lookout

So unterstützt die CSA Unternehmen

Unternehmen haben die Möglichkeit, eine Mitgliedschaft in der Cloud Security Alliance zu beantragen. Anschließend können Sie die Angebote der CSA in Anspruch nehmen, um mögliche Cloud-Sicherheitsprobleme zu lösen.

Die CSA unterstützt Unternehmen in folgenden Punkten:

Personalmangel oder fehlende Cloud-Security-Expertise im Unternehmen ausgleichen
Kontroll-Rahmenwerke erstellen, um neue Technologien und Gesetze abzudecken
Effektives Risikomanagement implementieren, trotz limitierter Ressourcen
Digitale Transformation mit einer passgenauen Cloud-Security-Strategie vorantreiben
Sicherstellen, dass sich Lieferanten und Geschäftspartner an die Sicherheitsrichtlinien halten
Business-Risiken gegenüber Führungskräften und der Unternehmensspitze kommunizieren

So unterstützt die CSA Cloud-Service-Provider

Anbieter von Cloud-Lösungen und -Serviceprodukten können von einer Mitgliedschaft bei der Cloud Security Alliance profitieren. Cloud-Provider können beispielsweise das CSA-Symbol nutzen, um damit ihre Cybersecurity-Kompetenz zu unterstreichen und mehr Sichtbarkeit im internationalen Wettbewerb zu erlangen.

Die CSA hilft Cloud-Service-Providern unter anderem dabei,

die eigene Marke am globalen Markt zu positionieren und zu präsentieren,
die Herausforderungen für Kunden bezüglich der Cloud zu verstehen,
Netzwerke aufzubauen und Bewusstsein für die eigenen Marke zu schaffen,
Vertrauen zu potenziellen Kunden aufzubauen und
Aufwände im Vertriebskreislauf zu reduzieren.

Mit CSA STAR den passenden Cloud-Anbieter finden

Kernstück der CSA-Services ist die STAR-Plattform. „STAR“ steht für „Security, Trust, Assurance and Risk“ (zu Deutsch: „Sicherheit, Vertrauen, Versicherung und Risiko“). Es handelt sich um eine Datenbank, in die sich Cloud-Anbieter eintragen lassen können. Jeder Eintrag enthält ein oder mehrere Zertifikate über die Datenschutz- und Sicherheitskontrollen des jeweiligen Cloud-Providers.

In der CSA STAR-Datenbank können Sie also herausfinden, welcher Cloud-Anbieter welche Sicherheitsstandards erfüllt – und ob er zu Ihrem Unternehmen passt. Genauso können Sie Ihren bestehenden Cloud-Anbieter in der CSA STAR-Datenbank aufrufen. Hat Ihr Cloud-Provider noch keinen Eintrag in dieser Datenbank, können Sie ihn direkt oder über die CSA-Website darum bitten, das nachzuholen.

Grundlage für die Zertifizierung der Cloud-Anbieter sind zwei Dokumente: die sogenannte Cloud Controls Matrix (CCM) und der Consensus Assessments Initiative Questionnaire (CAIQ). Die CCM ist ein Cybersicherheits-Rahmenwerk für Cloud-Computing. Es besteht aus 197 Kontrollzielen unterteilt in 17 Bereiche, um die gesamte Bandbreite von Cloud-Technologien abzudecken. Die Matrix orientiert sich an der CSA Security Guidance for Cloud Computing. Sie stellt derzeit den Standard für Cloud-Security und Compliance dar.
Der CAIQ ist ein branchenweit akzeptierter Sicherheitsfragebogen für Cloud-Anbieter. Er enthält Fragen rund um die Sicherheit der angebotenen Services. Mit ihren Antworten können Cloud-Anbieter transparent darstellen, welche Sicherheitsmaßnahmen sie ergreifen – und inwiefern diese den Anforderungen der CCM entsprechen.

Ein Mann im roten Shirt blickt lächelnd auf ein Tablet

Secure Access Gateway mit Zscaler

Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.

Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.

Jetzt mehr erfahren

Cloud-Anbieter, die sich in der CSA STAR-Datenbank registrieren, haben die Wahl zwischen drei Leveln der Zertifizierung.

STAR Level 1: Self Assessment

Mit einer kostenlosen Level-1-Registrierung können Cloud-Anbieter den Consensus-Assessments-Initiative-Fragebogen ausfüllen und bei der CSA einreichen. Die ausgefüllten Fragebögen werden geprüft und in das Register aufgenommen. Dort ist die Level-1-Zertifizierung für alle öffentlich zugänglich.

STAR Level 2: Third-Party Audit

Mit Level 2 können Cloud-Anbieter ihre Sicherheitsmaßnahmen durch ein anderes Unternehmen evaluieren lassen. Bei der CSA sind sogenannte Certified STAR Auditors registriert, die genau darauf spezialisiert sind. Solche Sicherheitsaudits sind kostenpflichtig.

Cloud-Provider können Level 2 erst anstreben, wenn sie den Self-Assessment-Fragebogen für Level 1 eingereicht haben und mit dem Level-1-Zertifikat in der CSA STAR-Datenbank gelistet sind. Dann wählen sie einen Certified STAR Auditor aus, der das Sicherheitsaudit durchführt. Schließt der Cloud-Provider das Audit erfolgreich ab, stellt die CSA das entsprechende Level-2-Zertifikat aus. Es ist ebenfalls in der CSA STAR-Datenbank aufrufbar.

STAR Level 3: Continuous Auditing

Mit Level 3 haben Cloud-Anbieter die Möglichkeit, Zertifizierungen auf Basis eines langfristigen Monitorings und kontinuierlicher Prüfungen zu erhalten. So können sie noch mehr Transparenz für ihre Cloud-Sicherheit schaffen. Hierbei durchlaufen Cloud-Provider automatisierte Prüfprozesse, die in Echtzeit kontrollieren, ob alle Sicherheitskontrollen immer zuverlässig greifen.

Noch befindet sich das STAR Level 3 laut CSA im Entstehungsprozess.

Junge Frau am Laptop nutzt Cloud-Services

Whitepaper: Cloud Security

Cloud Security ist eine relativ neue und zentrale Disziplin der IT-Sicherheit – und unerlässlich für die erfolgreiche Nutzung von Cloud-Anwendungen. Sie erhalten in unserem Whitepaper Cloud Security komprimiertes Wissen rund um das Thema Sicherheit in der Datenwolke.

Veränderte Sicherheitsarchitekturen
Neue Verantwortlichkeiten
Studien, Insights und Praxisbeispiele
Zero Trust & Co. als Sicherheitsmodelle

Jetzt downloaden

CSA-Fortbildungen und -Zertifizierungen

Die CSA bietet neben der STAR-Plattform eine Vielzahl an Schulungen und Zertifizierungen für Unternehmen wie auch Einzelpersonen an.

Folgende Zertifikate können Sie bei der CSA erlangen:

Certificate of Cloud Security Knowledge (CCSK)
Certificate of Cloud Auditing Knowledge (CCAK)
Certificate of Competence in Zero Trust (CCZT)

Schulungen der CSA zielen nicht nur auf die Cloud ab, sondern ebenso auf den Umgang mit der STAR-Plattform. Unter anderem können Sie und Ihre Belegschaft folgende Trainings absolvieren:

Zero Trust Trainings (ZTT)
Cloud Infrastructure Security Training
Advanced Cloud Security Practitioner (ACSP) Training
CCSK Train the Trainer
STAR Lead Auditor Training

Spezielle Trainingsangebote richten sich darüber hinaus an ganze Unternehmensteams (Train my entire team) und staatliche Einrichtungen (Training for Government Agencies). Das CSA Knowledge Center gibt einen Überblick über die verfügbaren Schulungen.

Für jedes abgeschlossene Training ist ein digitales Abzeichen erhältlich. Diese Abzeichen können Sie Ihrer E-Mail-Signatur hinzufügen oder auf Ihrer Webseite bzw. Ihren Social-Media-Kanälen platzieren. Die Abzeichen der CSA zielen darauf ab, im Wettbewerbsumfeld Glaubwürdigkeit aufzubauen. Außerdem können Sie so Ihr Engagement in puncto Cloud-Sicherheit sowie Ihre Expertise nach außen hin untermauern.

Wenn Sie sich im Bereich Cloud-Sicherheit weiterbilden und auf dem neuesten Stand bleiben möchten, können Sie auch an den regelmäßig stattfindenden Webinaren der CSA teilnehmen.

Übrigens sollten Sie mit Ihrer Belegschaft ohnehin regelmäßige Security-Awareness-Trainings durchführen – nur so garantieren Sie ein hohes Maß an Cybersicherheit in Ihrem Unternehmen.

Das Wichtigste zur Cloud Security Alliance in Kürze

Die Cloud Security Alliance (CSA) ist eine 2008 gegründete branchenweit anerkannte Non-Profit-Organisation, die es sich zum Ziel gemacht hat, die Cloud-Sicherheit weltweit zu verbessern.
Die CSA bietet Best Practices in Form von Whitepapers, Cloud-Trainings und Zertifikaten an.
Das Kernstück der CSA-Services ist die STAR-Plattform, in der Unternehmen ihre Cloud-Lösungen oder potenzielle neue Cloud-Angebote auf Sicherheit und Compliance überprüfen können.
Mit den Abzeichen und Symbolen der CSA können Unternehmen ihren hohen Standard im Hinblick auf Cybersicherheit verdeutlichen.

Clemens Förster

27.09.2024

# Tags:Cybersecurity Cloud Sicherheit Service

Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor

Incident Response unterstützt Unternehmen, wenn diese Opfer von IT-Angriffen werden und andere datenkritische Ereignisse auftreten. Die digitale Abwehr erkennt in kürzester Zeit relevante Vorfälle, ergreift Gegenmaßnahmen, mindert Schäden und stellt gestörte Abläufe schnell wieder her. Sensible Geschäftsdaten sind zahlreichen Gefahren ausgesetzt – von innen wie von außen. Kommt es deshalb zu Schäden, kann ein Unternehmen viel Zeit, Geld und auch an Ansehen verlieren. Doch das können Sie vermeiden – mit einem schlagkräftigen Incident-Response-Management.

Security

Screenshot mit Programmcode als Bildhintergrund und dem Schriftzug „VIRUS DETECTED“ in der Mitte des Bildes.

Die besten Virenscanner für Unternehmen

Ist Ihr Firmennetz sicher vor Viren und anderen digitalen Eindringlingen? Mit einem Virenscanner speziell für Unternehmen schützen Sie auch große Netzwerke und finden zuverlässig versteckte Schadsoftware. Doch was muss eine gute Antivirensoftware für den professionellen Einsatz können? Reicht in kleinen und mittelständischen Unternehmen vielleicht auch ein günstiges Produkt für den Cyberschutz? Wer einmal wertvolle Unternehmensdaten durch unterlassene Datensicherungen oder unzureichende Virenscans verloren hat, wird nie wieder am Sinn von Sicherheitsprotokollen und regelmäßigen Backups zweifeln. Mehr als 200 Milliarden Euro Schaden für die deutsche Wirtschaft durch Cyberattacken hat der Branchenverband Bitkom allein für das Jahr 2023 ermittelt. Viele Schäden sind vermeidbar, wenn Viren und Ransomware rechtzeitig erkannt werden. Auch in Deutschland wird die Wirtschaft immer digitaler. Selbst Kleinunternehmen brauchen heute zwingend das Internet – und sei es nur für die Online-Steuererklärung oder für die Lohnbuchhaltung. Die große Mehrheit aller deutschen Firmen nutzt inzwischen regelmäßig Cloudlösungen, versendet täglich Daten über das Internet und arbeitet mit räumlich verteilten Arbeitsplätzen, die über unterschiedliche Netzwerke miteinander verbunden sind – oft auch über öffentliche Netzwerke wie das WLAN am Flughafen oder Bahnhof. Dabei unterscheiden sich Unternehmensnetzwerke erheblich von privaten Netzen – und müssen deshalb auch ganz anders vor Cybergefahren geschützt werden. Die Hersteller von Antivirusprogrammen haben längst darauf reagiert und bieten dementsprechend angepasste Lösungen für kleine, mittlere und große Unternehmen an. Erfahren Sie hier, welche Typen von Antivirusprogrammen es für Firmen gibt, was die Software von privat genutzten Virenscannern unterscheidet und welches Produkt am besten zu Ihren Anforderungen passt.

Security

Tastatur, auf der zwei eingeblendete Hände Eingaben vornehmen, im Hintergrund eine stilisierte Platine mit Leiterbahnen, mittig angeordnet im Bild ein dreieckiges Warnschild mit Ausrufezeichen.

Passwort gestohlen: So reagieren Sie bei Datenpannen richtig

2024 wurde der bisher umfangreichste Datensatz mit gehackten Zugangsdaten namens „RocukYou2024“ in Umlauf gebracht. Mit fast 10 Milliarden Einträgen übertrifft diese Datensammlung alle bisherigen. Das zeigt, wie wichtig der Schutz von Passwörtern und Zugangsdaten in Ihrem Unternehmen ist. Eine Datenpanne, auch als Datenleck oder Datenleak (engl. Leak für Leck) bezeichnet, tritt auf, wenn die Sicherheit von Informationen gefährdet ist – etwa, indem ihre Vertraulichkeit, Integrität oder Verfügbarkeit nicht gewährleistet sind. Konkret bedeutet das, dass unbefugte Personen auf sensible Daten zugreifen und diese manipulieren können; oder dass Sie auf wichtige Informationen nicht mehr zugreifen können. Man spricht von einer Datenpanne, wenn eines der folgenden Ereignisse auftritt: Personen können unbefugt auf Daten zugreifen. Datensätze werden ungewollt oder unwissentlich verändert. Informationen sind nicht mehr zugänglich oder wurden ungewollt in den Zugriffsrechten verändert. Daten und Informationen gehen verloren. Der RocukYou2024-Vorfall zwischen 2021 und 2024 ist nur Beispiel von vielen: Insgesamt haben Cyberkrirminelle in diesem Zeitraum über 1,5 Milliarden Zugangsdaten durch neue und alte Datenlecks und Datenpannen gesammelt. Sie verkaufen diese Daten teilweise über einschlägige Foren sowie das Darknet. Dieser negative Trend ließ sich bisher auch nicht durch moderne Sicherungsverfahren wie die Zwei-Faktor-Authentifizierung umkehren. Wir erklären Ihnen, was Sie tun können, wenn auch Ihr Unternehmen von einem Passwortdiebstahl betroffen ist.

Security

Weibliche Hand hält schwarzes Fernglas auf gelbem Hintergrund.

Privacy by Design & Privacy by Default erklärt

Viele sind mit den Datenschutzprinzipien Privacy by Design und Privacy by Default vertraut. Aber oft gibt es bei Unternehmen und Nutzer:innen noch Unklarheiten, was sich dahinter verbirgt. Inwieweit sind diese Prinzipien in Ihrem Betrieb umgesetzt und welche Vorteile bringt es? Eine Bestandsaufnahme anhand einer Checkliste kann sich lohnen. Nach der europäischen Datenschutz-Grundverordnung (DSGVO) sind „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) für den Schutz der Privatsphäre seit 2018 verpflichtend. Da alle Erläuterungen der DSGVO hierzu technologieneutral bleiben müssen, fehlt gerade kleinen und mittleren Unternehmen oft eine Liste konkreter Maßnahmen, die sie Schritt für Schritt abarbeiten können. Die neue Norm ISO 31700 formuliert hierfür erstmals einen weltweiten Standard. Die am 8. Februar 2023 veröffentlichte zweiteilige Norm (ISO 31700-1 und ISO 31700-2) ist als Empfehlung zu verstehen und soll Unternehmen bei der Umsetzung von Privacy by Design und Privacy by Default unterstützen.

Security

Zwei FRITZ!Box-Modelle stehen nebeneinander

Die FRITZ!Box-Firewall: Sicherheit & versteckte Einstellungen

Die Zahl der Schadprogramme und Hackingattacken aus dem Internet nimmt stetig zu. Auch kleine und mittelständische Unternehmen sind vermehrt von Cyberangriffen und damit verbundenen Systemausfällen betroffen. Grund genug, die Firmen-Hardware bestmöglich gegen solche Attacken zu schützen. Wie dies bei der integrierten Firewall der FRITZ!Box geht und welche Schutzfunktionen diese bietet, lesen Sie hier. In Deutschland gehört die FRITZ!Box mit einem Marktanteil von über 50 Prozent zu den beliebtesten Internetroutern. Nicht nur Privatkunden, sondern auch viele kleine und mittlere Unternehmen (KMU) von der Werbeagentur bis zum Architekturbüro setzen am Arbeitsplatz mittlerweile auf die Technik aus Berlin. Mit wenigen Klicks aktivieren auch Sie die Schutzfunktionen Ihrer FRITZ!Box und sichern so Ihr Firmennetz gegen Angriffe von außen.

Vodafone Business

Zur Webseite

Cloud Security Alliance (CSA): Das steckt dahinter

Inhaltsverzeichnis

Was ist die Cloud Security Alliance?

Lookout: Die Sicherheitslösung für mobile Endgeräte

So unterstützt die CSA Unternehmen

So unterstützt die CSA Cloud-Service-Provider

Mit CSA STAR den passenden Cloud-Anbieter finden

Secure Access Gateway mit Zscaler

STAR Level 1: Self Assessment

STAR Level 2: Third-Party Audit

STAR Level 3: Continuous Auditing

Whitepaper: Cloud Security

CSA-Fortbildungen und -Zertifizierungen

Das Wichtigste zur Cloud Security Alliance in Kürze

Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor

Die besten Virenscanner für Unternehmen

Passwort gestohlen: So reagieren Sie bei Datenpannen richtig

Privacy by Design & Privacy by Default erklärt

Die FRITZ!Box-Firewall: Sicherheit & versteckte Einstellungen

Vodafone Business

Newsletter für Business-Kund:innen

Enterprise Plenum