Cloud-Migration ist kein Sicherheits-Audit

Illustration Absmeier ki copilot

Ein Kommentar von André Dube, Director of Cyber Security Center bei Skaylink

 

Wer Systeme in die Cloud hebt, macht sie schneller, skalierbarer und oft günstiger. Was dabei häufig vergessen wird: schneller, skalierbarer und günstiger gilt auch für Angreifer – wenn die Daten, die migriert wurden, niemand mehr auf dem Schirm hat.

Genau das ist beim Angriff auf One Medical passiert. Ausgerechnet die Bestände von Iora Health steckten im Leak – symptomatisch dafür, was passiert, wenn ein Konzern ein kleineres Unternehmen schluckt, die Altsysteme »erstmal weiterlaufen« – und dann liegen Jahre später Gesundheitsdaten auf einer Plattform, die in keinem aktuellen Sicherheitskonzept mehr auftaucht.

Das Muster ist bekannt und wiederholt sich: Externe Speichersysteme von Drittanbietern, archivierte Datenbestände aus Übernahmen, historisch gewachsene Berechtigungsstrukturen – all das wandert in die Cloud mit, wenn niemand vorher aufräumt. Cloud-Sicherheit ist keine Eigenschaft der Plattform. Sie ist das Ergebnis einer Entscheidung, was in die Cloud darf – und in welchem Zustand. AWS, Azure oder Google Cloud sind so sicher wie die Datenhygiene, die man mitbringt. Wer Altlasten ungeprüft migriert, hat sein Risiko nicht reduziert. Er hat es nur in eine neue Umgebung verschoben.

 

Was im Fall One Medical hätte anders laufen müssen – und was Unternehmen daraus lernen sollten:

 

  • Vollständiges Dateninventar vor der Migration und nach jeder Übernahme:
    Iora Health wurde 2021 übernommen. Spätestens zu diesem Zeitpunkt hätte eine vollständige Bestandsaufnahme aller Datenspeicher erfolgen müssen – inklusive der Systeme externer Dienstleister. Was nicht erfasst ist, kann weder geschützt noch gelöscht werden.
  • Zugriffsrechte neu modellieren, nicht übernehmen:
    Historisch gewachsene Berechtigungsstrukturen eines übernommenen Unternehmens dürfen nicht einfach mitmigriert werden. Jede Übernahme ist die Gelegenheit, Zugriffsrechte nach dem Prinzip der minimalen Berechtigung neu zu definieren – und nicht die Altlasten des Vorgängers fortzuschreiben.
  • Archivdaten aktiv managen:
    Daten, die nicht mehr operativ benötigt werden, sollten gelöscht oder zumindest strikt isoliert werden. Archivierte Gesundheitsdaten von früher sind für Angreifer auch heute noch genauso verwertbar wie aktuelle Daten. Wer sie aufbewahrt, trägt die Verantwortung dafür – unabhängig davon, wie alt sie sind.
  • Drittanbieter-Systeme ins Monitoring einbeziehen:
    Der Angriff erfolgte nicht auf Amazon selbst, sondern auf ein externes Speichersystem. Wer Daten bei Drittanbietern lagert, muss sicherstellen, dass diese Systeme mit denselben Sicherheitsstandards überwacht werden wie die eigene Infrastruktur.

 

Der One-Medical-Angriff ist kein Amazon-Problem. Er ist eine Erinnerung daran, dass Cloud-Migration und Sicherheits-Audit zwei verschiedene Dinge sind – und dass das eine ohne das andere gefährlich wird.

 

8452 Artikel zu „Cloud Sicherheit“

Versa und noris network verkünden Zusammenarbeit für souveräne Cloud-Sicherheit in Deutschland

Vollständig in Deutschland betriebene Sovereign-SASE-Lösung von Versa auf Basis der noris Sovereign Cloud Plattform (nSC) und den modernen IT-Infrastrukturen von noris. Echte digitale Souveränität auf allen vier Ebenen: Daten, Steuerung, Management und rechtliche Zuständigkeit.   Versa bietet ab sofort eine vollständig souveräne SASE-Lösung an, die Weitverkehrsnetzwerke und cloudbasierte Sicherheitslösungen auf einer einzigen, einheitlichen Plattform vereint.…

Cloud-Migration bei IWMS: Warum Sicherheit heute das stärkste Argument für SaaS ist

Die Verlagerung geschäftskritischer Anwendungen in die Cloud ist längst mehr als ein reines Effizienzthema – sie wird zunehmend zu einer Frage der Sicherheit und Resilienz. Gerade im Bereich Integrated Workplace Management Systeme (IWMS), die zentrale Daten und Prozesse rund um Immobilien und Gebäude bündeln, stehen viele Unternehmen vor einer strategischen Entscheidung. Dr. Christopher Brennan, Geschäftsführer…

Verhaltensanalysen für KI-Agenten in Cloud-Umgebungen: Transparenz und Anomalieerkennung als Sicherheitsfaktor

Wie Security-Teams autonome Software-Agenten über den Lebenszyklus hinweg beobachten, Normalverhalten modellieren und Abweichungen frühzeitig erkennen können.   Mit der zunehmenden Verbreitung von KI-Agenten in Unternehmen entsteht eine neue Herausforderung für die IT-Sicherheit: Autonome Systeme handeln eigenständig, interagieren miteinander und greifen auf Daten sowie Dienste zu – häufig bei eingeschränkter Nachvollziehbarkeit von Entscheidungen und Aktionen. Klassische…

NIS2 im Microsoft-365-Umfeld: Wenn Cloud-Produktivität zur Sicherheitsarchitektur wird

Kommentar von Umut Alemdar, Senior Vice President Cybersecurity bei Hornetsecurity by Proofpoint »Ein kompromittiertes Benutzerkonto, das innerhalb weniger Minuten die interne Kommunikation übernimmt. Phishing-Links, die sich über Teams verbreiten. Dokumente, auf die plötzlich niemand mehr zugreifen kann. Solche Vorfälle sind längst kein Ausnahmefall mehr. Sie zeigen vor allem eines: Wie abhängig Geschäftsprozesse heute von cloudbasierten…

Kleine Fehler führen in der Hybrid Cloud zu großen Sicherheitsproblemen

Fast alle Unternehmen mit hybriden Cloud-Umgebungen haben mit Sicherheitsproblemen zu kämpfen. Das geht aus dem aktuellen »The State of Cloud-native Security«-Report von Red Hat hervor [1]. Von den rund 600 befragten IT-Professionals gaben 97 Prozent an, in den vergangenen zwölf Monaten mindestens einen Cloud-nativen Sicherheitsvorfall erlebt zu haben.   Es sind allerdings weniger die ausgefeilten…

Cloudspeicher und KI: Sicherheitsfunktionen zwischen Anspruch und Realität

Cloudspeicher können sich perspektivisch zu intelligenten Assistenzsystemen entwickeln. KI-gestützte Frühwarnmechanismen und automatisierte Sicherheitsfunktionen gelten dann als zentrale Bausteine für Vertrauen und digitale Souveränität.   Plötzlich sind die Daten aus dem Cloudspeicher weg. Das Fotoarchiv ist verschwunden, die Diplomarbeit gelöscht oder die Präsentation für den nächsten Tag nicht aufzufinden. Was ist passiert? Jemand hat es geschafft,…

Sicherheit der Kommunikationssysteme und der Cloud-Telefonie – Maßnahmen zur Risikostreuung

Dr. Christian Stredicke, CEO des Kommunikationsanbieters Vodia, betont die Bedeutung der Sicherheit von Kommunikationssystemen und Cloud-Telefonie in deutschen Unternehmen. Besonders zu beachten sind die Risiken und Herausforderungen, die mit der Nutzung von Cloud-Diensten verbunden sind, was für Multi-Cloud- und Hybrid-Modelle zur Risikostreuung spricht. Zudem warnt er vor der einseitigen Abhängigkeit von großen Cloud-Anbietern und den damit verbundenen Datenschutzrisiken, sowie vor Softphones.

Cloud-Smart-Security: Neue Maßstäbe für die Sicherheit in der Fertigungsindustrie

Die zunehmende Vernetzung von IT- und OT-Systemen bedeutet für die Fertigungsindustrie neue Sicherheitsrisiken. Ein moderner Cloud-Smart-Ansatz verbindet Innovation mit effektiven Sicherheitslösungen, um diesen Herausforderungen gerecht zu werden.   Die industrielle Digitalisierung stellt die Fertigungsindustrie heute vor neue Herausforderungen – insbesondere in puncto Sicherheit. Denn mit der wachsenden Vernetzung von IT- und OT-Systemen steigen nicht nur…

Cloud-Migration im Finanzsektor: Integration von Innovation, Sicherheit und Compliance

Nach Angaben von Global Market Insights wurde der weltweite Markt für Cloud-Migrationsdienste im Jahr 2024 auf 11,2 Milliarden US-Dollar geschätzt und soll zwischen 2025 und 2034 um 26 % pro Jahr wachsen [1]. Die Migration in die Cloud, selbst in eine hybride Lösung, bringt für Unternehmen sowohl neue Möglichkeiten als auch neue Risiken mit sich.…

KI zwingt Unternehmen, Abstriche in Sachen Hybrid-Cloud-Sicherheit zu machen – Public Cloud als größtes Risiko

KI verursacht größeres Netzwerkdatenvolumen und -komplexität und folglich auch das Risiko. Zudem gefährden Kompromisse die Sicherheit der hybriden Cloud-Infrastruktur, weshalb deutsche Sicherheits- und IT-Entscheider ihre Strategie überdenken und sich zunehmend von der Public Cloud entfernen. Gleichzeitig gewinnt die Netzwerksichtbarkeit weiter an Bedeutung.

KI zwingt Abstriche in Sachen Hybrid-Cloud-Sicherheit zu machen

KI verursacht größeres Netzwerkdatenvolumen und -komplexität und folglich auch das Risiko. Zudem gefährden Kompromisse die Sicherheit der hybriden Cloud-Infrastruktur, weshalb deutsche Sicherheits- und IT-Entscheider ihre Strategie überdenken und sich zunehmend von der Public Cloud entfernen. Gleichzeitig gewinnt die Netzwerksichtbarkeit weiter an Bedeutung.   63 Prozent der deutschen Sicherheits- und IT-Entscheider berichten, dass sie im Laufe…

Cloud-Trends 2025: Innovationen, Sicherheit und Nachhaltigkeit im Fokus

  Die Cloud bleibt auch 2025 ein zentraler Treiber der digitalen Transformation. Doch wie sieht die Zukunft der Technologie aus? Welche Trends werden die Branche prägen, und wie können die Potenziale der Cloud optimal ausgeschöpft werden? IONOS wirft einen Blick auf die Cloud-Trends und Entwicklungen im Jahr 2025, dabei im Fokus: Innovationen, Sicherheit und Nachhaltigkeit.…

Sicherheit, KI, Cloud, Effizienz und Kompetenzentwicklung: Herausforderungen der digitalen Transformation

Cybersicherheit, KI und Cloud-Einführung definieren die Rollen von IT-Fachleuten neu, wie die neueste globale Umfrage von Paessler zeigt 77 % der IT-Führungskräfte stufen die Cybersicherheit als ihre größte Herausforderung für die nächsten 2–3 Jahre ein. Die Einführung von KI und Cloud-Diensten verändert die IT-Rollen und treibt die Nachfrage nach neuen Fähigkeiten voran. IT-Teams müssen hybride…

Cloud-Sicherheit: Intelligente Cloud-Sicherheit für moderne Finanzunternehmen

Die zunehmende Digitalisierung im Finanzsektor bringt enorme Chancen, aber auch neue Herausforderungen mit sich. Besonders der Einsatz von Cloud-Diensten und künstlicher Intelligenz (KI) bietet viel Potenzial, erfordert jedoch auch robuste Sicherheitsstrategien. Thomas Wethmar, Regional Director DACH bei Skyhigh Security erläutert, wie moderne SSE-Lösungen Finanzunternehmen dabei unterstützen können, Risiken zu minimieren, die Effizienz zu steigern und…

Mehr Sicherheit für sensible Daten in der Cloud

Wenn Unternehmen in der Cloud geistiges Eigentum oder persönliche Informationen verlieren, drohen ihnen erhebliche Konsequenzen. Mit den richtigen Maßnahmen für Datensicherheit in der Cloud können sie zuverlässig Vorsorge treffen.   Datensicherheit in der Cloud wird für Unternehmen zunehmend zu einem kritischen Bestandteil ihrer IT-Infrastruktur. Sie nutzen immer häufiger Cloud-Dienste für den Betrieb von Anwendungen und…

Warum die IT-Sicherheit für den Weg in die Cloud spricht – Safety First

Die Vorurteile gegenüber Cloud Computing sind so alt wie die Technologie selbst. Hartnäckig hält sich dabei auch die Meinung, Cloud-Lösungen seien besonders anfällig für Datenverluste und Cyberangriffe. Höchste Zeit, diese überholte Sichtweise zu ändern – denn ein genauerer Blick zeigt, dass die Wolke nicht nur widerstandsfähig ist, sondern Anwendern auch entscheidende Vorteile bietet, bei denen On-Premises-Ansätze nicht mithalten können.

Sicherheit Vor-Ort oder in der Cloud – Die Cloud im Kreuzfeuer der Cyberkriminalität

Zum vierten Mal in Folge hat die Thales Group ihren Cloud Security Report veröffentlicht. Eine wichtige Erkenntnis daraus: Unternehmen weltweit äußern Bedenken an der Sicherheit von Cloud-Lösungen. Björn Orth, Geschäftsführer beim Microsoft-Reseller VENDOSOFT, stellt in Anbetracht dessen die Frage: Ist sie dann das Mittel der Wahl?

Sicherheitsstrategie, Sicherheitskonzept und Security-Tools – Cloud-Nutzung? Ja, aber sicher

In immer mehr Unternehmen etablieren sich Cloud-Umgebungen als fester Bestandteil der IT-Infrastruktur. Das erfordert eine Anpassung der Sicherheitslandschaft, besonders wenn Cloud-Systeme parallel zu On-Premises-Umgebungen zum Einsatz kommen. Durch eine identitätsbasierte Sicherheitsstrategie, ein konsolidiertes Sicherheitskonzept und cloud-gestützte Security-Tools gelingt ein sicherer und performanter Betrieb.