Unternehmen müssen ihr bestehendes Risikomanagement auf die Cloud-Umgebung auszuweiten. Die Verantwortlichen müssen sicherstellen, dass sie ihre Risiken kennen. Sie müssen zudem verstehen, welche Sicherheit die Cloud-Plattform bietet, erst dann können sie einen angemessenen Schutz für ihre Daten erzielen – unabhängig von deren Standort.

In den letzten Jahren haben viele Unternehmen Teile ihrer Geschäftsprozesse in die Cloud verlagert. Ein wichtiger Grund für diese Entwicklung ist der Security-Vorteil von Cloud-Services. Bekannte Cloudanbieter wie Amazon, Microsoft und Google legen großen Wert darauf, die Assets und Daten ihrer Kunden abzusichern. Um dies zu gewährleisten und ihre Infrastrukturen vor Cyberkriminellen zu schützen, setzen sie enorme Ressourcen ein. Dies kann die Verantwortlichen in Unternehmen natürlich zu der Annahme verleiten, dass sie sich lediglich auf die Security ihrer On-Premises-Infrastrukturen konzentrieren müssen. Doch ruhen sich Unternehmen mit zusätzlichen Cloud-Lösungen hier in puncto Sicherheit aus, gehen sie ein hohes Risiko ein.

Es gibt eine Vielzahl von Faktoren, die den Cloud-Wandel antreiben. Kosteneinsparungen durch den Wechsel von klassischen Rechenzentren zu Public Clouds sind für viele Unternehmen wahrscheinlich der wichtigste Grund. Ein weiterer Aspekt ist die Flexibilität hinsichtlich Datenhosting und einfacherer Zugriffsmöglichkeiten.

Doch natürlich gelten für die Cloud viele der Risiken, denen auch klassische Infrastrukturen ausgesetzt sind – hinsichtlich Security, Business und Governance – und für die ein Verständnis seitens der Unternehmen erforderlich ist. Um die größten Risiken zu identifizieren, müssen Unternehmen lernen, ihr bestehendes Risikomanagement auf die Cloud-Umgebung auszuweiten.

Sind Cloud-Plattformen von Grund auf sicher? Anbieter von Public Clouds wissen, dass ihre Lösungen von Kunden mit unterschiedlichen gesetzlichen Anforderungen genutzt werden. Daher spielen Sicherheitsfeatures von Beginn an eine zentrale Rolle. Doch damit ist es nicht getan: Auch die Cloud-User müssen diese Sicherheitsfunktionen kennen und wissen, wie sie richtig eingesetzt werden. Darüber hinaus gilt es, sich der vorhandenen Sicherheitslücken bewusst zu werden, um zu wissen, welche zusätzlichen Lösungen sie zur Erfüllung ihrer individuellen Sicherheitsanforderungen einsetzen müssen.

Dennoch gehen weiterhin viele Unternehmen davon aus, es liege in der Verantwortung des Cloud-Betreibers, die erforderliche Sicherheit zu bieten. Doch diese Sorglosigkeit kann zu einer der wichtigsten Waffen von Cyberkriminellen werden.

Ein Beispiel: Infrastructure-as-a-Service-Plattformen (IaaS) ermöglichen es ihren Kunden, vollständig virtuelle Umgebungen mit Servern und anderen Ressourcen aufzubauen. Dies bietet Unternehmen eine große Flexibilität, um beispielsweise einer steigenden Nachfrage gerecht zu werden, Tests durchzuführen oder andere Anforderungen zu erfüllen. Dennoch ist ein virtueller Server wie jeder andere Server: Es gibt viele Möglichkeiten für Fehlkonfigurationen, die zu Schwachstellen führen können, wie zum Beispiel unabsichtlich dem Internet geöffnete Ports und Services. Erstellt ein Systemadministrator ein Image eines falsch konfigurierten Servers, weist jeder weitere aus diesem Image erstellte Server dieselben Schwachstellen auf – wodurch sich das Grundproblem potenziell vervielfacht.

Fehlkonfigurationen sind jedoch nicht nur in IaaS-Infrastrukturen ein Problem. Die ständige Verfügbarkeit vorgefertigter Ressourcen in Platform-as-a-Service-Cloud-Umgebungen (PaaS) können Systemadministratoren dazu verleiten, Konfigurationen und die Sicherheit dieser Ressourcen vorauszusetzen. Doch falsche Annahmen können schnell zu Sicherheitsvorfällen beispielsweise in Betriebssystemen, Datenbanken oder Webservern führen.

Sogar SaaS-Angebote (Software as a Service) wie Microsoft Office 365, die Kunden im Vergleich zu anderen Services relativ wenige Optionen für Fehlkonfigurationen bieten, haben sich als beliebte Ziele für Angreifer herausgestellt. Viele Organisationen verlangen eine Multi-Faktor-Authentifizierung (MFA) für Office-365-Nutzer. Dies sollte inzwischen als Minimum angesehen werden, wenn es um den Schutz geschäftskritischer Office-365-Bereitstellungen geht. Doch einige SaaS-Angebote bieten aus Kompatibilitätsgründen auch eine veraltete Legacy-Authentifizierung, wodurch Angreifern die Möglichkeit geboten wird, die MFA zu umgehen und einen Weg in die Systeme zu finden. Ein Angreifer mit Zugriff auf ein Office-365-Postfach kann dieses beispielsweise als Sprungbrett nutzen, um in andere Teile des Unternehmens zu gelangen.

Sicherheit und Risiken im Blick behalten. Unternehmen können sich nur dann optimal schützen, wenn sie ihre Sicherheitsumgebung kennen. Die wenigsten Unternehmen operieren vollständig in der Cloud oder On-Premises, sondern es herrschen meist hybride Umgebungen. Daher gilt es, jeweils vorhandene Sicherheitstechnologien und -praktiken auch für die neue Umgebung zu übernehmen. Nur wenn die Verantwortlichen sicherstellen, dass sie ihre Risiken kennen und verstehen, welche Sicherheit die Cloud-Plattform bietet, können sie einen angemessenen Schutz für ihre Daten erzielen – unabhängig von deren Standort.

Wie finde ich den richtigen MSSP? Über das Know-how und die zeitlichen Ressourcen zu verfügen, seine Prozesse nicht nur in die Cloud zu verlagern, sondern sie dort auch sicher zu halten, ist für viele Unternehmen jedoch eine Herausforderung. An diesem Punkt können Managed Security Services Provider unterstützen. Der Markt bietet jedoch inzwischen eine große Auswahl von MSSPs, die verschiedene Cloud Security Services anbieten. Um den für sich geeigneten Service-Anbieter zu finden, sollte man auf folgende Kriterien besonders achten:

Langjährige Erfahrung im Security- und Compliance-Bereich und Know-how im Cloud-Umfeld.
Verschiedene Modelle, die sich flexibel an Anforderungen und Gegebenheiten des Unternehmens anpassen lassen.
24×7 Threat Monitoring and Detection, in der Security-Experten die Sicherheit des Unternehmens rund um die Uhr im Blick behalten und analysieren. Dadurch lassen sich Bedrohungen und Schwachstellen schneller erkennen und eine maximale Sichtbarkeit der Infrastruktur erreichen.
Sowohl die Bereitstellung umfassender Services und Lösungen als auch die Möglichkeit, auf bestehenden Sicherheitslösungen aufzubauen.
Eigenes Expertennetzwerk und -team aus Sicherheitsforschern, Penetration-Testern sowie einer Einsatztruppe für den Ernstfall, die beständig mit ihrem umfassenden Know-how zur Seite stehen. Denn Sicherheitsexperten wie das SpiderLabs-Team mit langjähriger Erfahrung setzen die Maßstäbe für ganzheitliche Security Services.
Schnelle Antwort- und Reaktionszeiten, um auf kurzem Weg Untersuchungen oder Tests zu starten.

Fred Tavas,
Country Manager DACH & CEE
bei Trustwave

[1] https://www.trustwave.com/de-de/resources/library/documents/2020-trustwave-global-security-report/

Illustration: © ivector /shutterstock.com

105 Artikel zu „Eigenverantwortung Cloud“

AUSGABE 1-2-2021 | NEWS | BUSINESS | CLOUD COMPUTING | STRATEGIEN

Enterprise Resource Planning – Warum ERP jetzt aus der Cloud kommen sollte

26. Februar 2021

In der Covid-19-Pandemie mit immer wieder neu verhängten Lockdowns ist es inzwischen für viele Mitarbeiter zur Routine geworden, im Home Office zu arbeiten. Unternehmen sind daher gefordert, die besonderen Anforderungen von Remote-Arbeitsplätzen zu erfüllen, denn häufig sind die vorhandenen IT-Systeme dafür (noch) nicht ausgelegt.

Fred Tavas, Country Manager DACH & CEE bei Trustwave

[1] https://www.trustwave.com/de-de/resources/library/documents/2020-trustwave-global-security-report/

105 Artikel zu „Eigenverantwortung Cloud“

Fred Tavas,
Country Manager DACH & CEE
bei Trustwave