News | Cloud Computing | IT-Security | Ausgabe 5-6-2022 | Security Spezial 5-6-2022

Cloud Security: Missverständnisse und Lösungsansätze – Auf dem Security-Auge blind

Warum es mehr Dialog und weniger Technikfokus braucht.

39 Prozent der Firmen mit 500 bis 999 Beschäftigten, die cloudbasierte Dienste in Anspruch nehmen, haben 2021 wirtschaftliche Schäden durch Hackerangriffe erlitten. Ebenso betroffen waren 51 Prozent der Unternehmen, die über zehn Millionen jährlich in ihre IT-Infrastruktur investieren. Das hat die IDG-Studie »Cloud Security 2021« ergeben. Zeit also, Cloud Security auf Entscheiderebene zu priorisieren. Oft scheitern Initiativen nicht an der Technik, sondern am fehlenden Dialog zwischen IT und Geschäftsführung.

Unternehmen bemerken eingedrungene Hacker durchschnittlich nach 100 Tagen. Drei Monate, in denen Cyberkriminelle großen Schaden anrichten können. Warum also schützen Unternehmen ihre Systeme, Daten und Geräte in der Cloud nicht? Dass sich die Antworten gleichen, lässt auf grundsätzliche Fehlannahmen schließen, wie die folgenden vier.

  • Cloud Provider kümmern sich um IT-Sicherheit.
    Cloud-basierte Dienste von einem Hyperscaler zu beziehen, entbindet Unternehmen nicht von ihrer Eigenverantwortung. Gemäß Shared-Responsibility-Ansatz haben sie selbst bis zu einem gewissen Grad für den nötigen Schutz zu sorgen: Data Governance sicherstellen, Endgeräte schützen, Zugriffs- und Nutzungsrechte verwalten.
  • Mit Cloud-Lösungen verschwinden IT-Silos.
    Sind Systeme nicht verknüpft, lässt sich das Potenzial der Bestandsdaten nicht erschließen. Das gilt auch dann, wenn einzelne Fachbereiche ihre Systeme in der Cloud betreiben. Nutzt das Marketing eine Plattform, auf der es Assets systemübergreifend konsolidiert und vorhält, erhöht damit nur diese Abteilung ihre Prozesseffizienz. Wenn andere Unternehmensbereiche ihre Systeme nicht mit der Cloud-Plattform integrieren, entstehen neue Datensilos.
  • IT-Experten sind Security-Experten.
    Einen Cloud-Dienst ohne Prüfung auf Security-Risiken zu nutzen, ist ein No-Go. Die Cloud-Adaption ist sehr komplex und unterliegt einem stetigen Wandel. Entsprechend qualifiziert müssen die Mitarbeitenden sein. Manche Firmen nehmen an, ihr IT-Personal kenne sich mit der Bestands-IT und Cloud Security gleichermaßen aus. Diese Unternehmen bilden ihre IT-Fachkräfte oft nicht weiter. Das öffnet Hackern Tür und Tor. Darum ist es ratsam, einen Dienstleister ins Boot zu holen. Er begleitet Firmen auf ihrem Weg in die Cloud und passt die Security-Tools der Hyperscaler an: Er definiert passende Security-Regeln, wählt geeignete Detection-Sensoren aus und erbringt Managed Detection and Response Services (MDR) in einem Security Operations Center (SOC).
  • Mitarbeitende gehen verantwortungsvoll mit Daten um.
    Ein Moment der Unachtsamkeit genügt, und Mitarbeitende geben sensible Informationen preis (Social Engineering). Oder sie laden Daten in einen ungeprüften Cloud-Speicher hoch. Oder kaufen per Firmen-Kreditkarte online ein. Gelangen die Daten auf US-Server, können das ernsthafte Compliance-Verstöße sein. Riskant sind zudem Passwörter wie »123456«. Sind E-Mail-Konten in der Cloud unzureichend gesichert, können Hacker Mail-Adressen erzeugen und mit gängigen Passwörtern kombinieren (Password Spraying). Auch kostenlose Cloud-Dienste können problematisch sein, wie etwa PDF-Converter, bei denen Anbieter die Inhalte auswerten. Darum sollten Unternehmen nur sichere Tools freischalten, die Belegschaft sensibilisieren und sie befähigen, Cloud-Dienste reflektiert zu nutzen (Cloud Governance).

Was ist also zu tun, damit die Cloud-Migration kein Sicherheitsrisiko wird? Es gibt verschiedene Lösungsansätze:

  • Standardlösungen individualisieren.
    Natürlich braucht es passende Technologien. Die Lösungen der Hyperscaler bieten im Standard viele Tools und Konfigurationsmöglichkeiten – von Web Application Firewalls, Vulnerability Management und Cloud Security Posture Management über Extended Detection and Response (XDR) bis hin zu Zero Trust und vielem mehr. Wenn Firmen Lösungen dann an ihren Bedarf anpassen (lassen) oder generell Cloud-Lösungen entwickeln (lassen), ist der Infrastructure-as-Code-Ansatz (IaC) sinnvoll. IaC ermöglicht, Security-relevante Features im Quellcode zu hinterlegen und abgesicherte Infrastruktur-Templates zu duplizieren.
  • Cloud Security als Geschäftsprozess begreifen.
    Zudem sind Assets und Systeme lückenlos zu inventarisieren: Welche Plattformen gibt es? Wer ist Business Owner? Wer administriert welche Plattform? Wo soll ein Patch erfolgen? Welche Daten gelangen auf welche Plattform? Woher kommen sie? Wohin fließen sie? Wie? Und warum? Den Status aller Cloud-Anwendungen zu kennen, ist unabdingbar, um Cloud-Sicherheit als Business-Prozess verstehen zu können, der mit Bedacht modelliert, mit Metriken gesteuert, mit Tools überwacht, kontinuierlich optimiert und regelmäßigen Audits unterzogen sein will. Während dies bei On-Premises-Lösungen üblicherweise jährlich geschieht, ist es möglich, Cloud-Anwendungen täglich oder stündlich zu scannen. So lassen sich Schwachstellen zeitnah identifizieren und effektiv beseitigen (Vulnerability Management).
  • Alles und jeden verifizieren.
    Firmen müssen verstehen, dass ältere Schutzmechanismen wie der Perimeterschutz via Firewall unzureichend sind, wenn Daten und Systeme in der Cloud liegen. Stattdessen sind alle Systeme und Endgeräte abzusichern – insbesondere dann, wenn sich Mitarbeitende außerhalb des Firmennetzwerks aufhalten, etwa im Homeoffice. Zero Trust muss zur gelebten Maxime werden: »Vertraue niemandem außerhalb und innerhalb deiner Organisation. Und verifiziere jeden.« Doch Zero Trust ist keine freischaltbare Lösung, sondern ein individuelles Designprinzip. Erfolgt etwa der Zugriff auf ein E-Mail-Postfach via Firmen-Smartphone, ist das unbedenklich, weil Nutzer und Gerät bekannt sind. Bei einem privaten Mobilgerät ist Vorsicht geboten. Ideal wäre dann ein zweiter Authentifizierungsfaktor.
  • Schutzziele definieren.
    Die Multi-Faktor-Authentifizierung ist eines von vielen Schutzzielen. Für die Bereitstellung von SaaS-Lösungen ist ein zweites Authentifizierungsmerkmal an allen Endpoints zu installieren. Dem Assume-Breach-Paradigma zufolge ist die Frage nicht, ob Unternehmen gehackt werden, sondern wann. Mit einer zweiten Identifizierungsstufe – einer SMS, einer App, einem Anruf oder einem Gerät –, lässt sich das Risiko verringern. Zudem empfiehlt sich bei BYOD-Szenarien (Bring Your Own Device) eine Null-Toleranz-Politik: Erfüllen private Endgeräte die Security-Vorgaben nicht, dürfen sie nicht mit dem Netzwerk verbunden sein. Ebenso ist zu überprüfen, ob das Patch Management im Homeoffice wirkungsvoll ist.

Assets zentral schützen. Diese Maßnahmen verbindet zwei zentrale Fragen: Was darf mit Assets passieren? Und wer darf das tun? Diese Informationen sind auf einem Control Panel personenbezogen zu hinterlegen, um unautorisierte Zugriffe erkennbar zu machen. Wer ist eine Person? Welche authentifizierten Geräte nutzt sie? In welchem Zustand befindet sich ein Device? An welchen Orten hält sich die Person üblicherweise auf? In welchem Status befinden sich Konten und Profile der Person? Ebenso spielt XDR eine große Rolle. XDR ermöglicht, Daten auf mehreren Security-Ebenen wie E-Mails, Geräten, Servern, Cloud-Workloads und Netzwerken automatisch zu erfassen und zu korrelieren. So können Firmen Bedrohungen schneller identifizieren und unmittelbar reagieren.

IT und Management reden aneinander vorbei. Obwohl IT-Abteilungen um diese Aspekte wissen, sind viele Unternehmen auf dem Security-Auge blind. Es scheint, als würde es keinen Dialog zwischen IT und Management geben. Manchmal weiß die Geschäftsführung nicht, wie wichtig Cloud Security für einen reibungslosen Geschäftsbetrieb ist. Und IT-Experten gelingt es zuweilen nicht, die fatalen Auswirkungen von Cyberangriffen zu vermitteln: Dringen Hacker in die IT-Infrastruktur eines Industrieunternehmens ein, stünde die Produktion still. Online-Händler bekämen Probleme mit dem Check-out. Einzelhändler könnten das Kassensystem nicht benutzen. Folgen, die Unternehmen bei ihren gewinnbringenden Kernprozessen treffen.

Echter Dialog. Bei Gesprächen sollte die Technologie zunächst außen vor bleiben. Es geht nicht darum, Software um ihrer selbst willen anzuschaffen, sondern den Möglichkeiten der Cloud und der Komplexität von Cloud Security bewusst zu begegnen. Ist ein Service in die Cloud zu migrieren, stellt sich die Grundsatzfrage: Soll das bisherige On-Premises-Konzept in der Cloud abgebildet werden – einschließlich Wartung und Updates? Oder wäre es nicht sinnvoller, das digitale Produkt als Software-as-a-Service bereitzustellen und adäquat abzusichern? Wichtig ist dabei der Produktionsbezug. Hängt der Erfolg eines Maschinenbauers daran, dass die Gabelstapler fahren, gibt es ein fest definiertes Risikomanagement: Die Firma hat fahrtüchtige Ersatzfahrzeuge, hält Wartungstermine ein und bevorratet genügend Schmierstoff. Diese Prozesse sind auf Cloud Security zu übertragen. Dafür müssen Unternehmen gängige Vorurteile ausräumen. Denn Cloud-Sicherheit ist kein IT-Thema. Sie ist vielmehr in der Unternehmensstrategie zu verankern und erst dann praktisch umzusetzen. Für eine wirkungsvolle Cloud Security müssen alle Fachbereiche an einem Strang ziehen.

 

Andreas Nolte,
Head of Cyber Security
bei Arvato Systems 
www.arvato-systems.de

 

Illustration: © Jef Thompson/shutterstock.com

Zur Startseite →

← Zurück