Wie man die Unternehmens-Security für den cloud-getriebenen Daten-Tsunami fit macht

Ist der Geist erst aus der Flasche, ist es sinnlos, sich zu wünschen, man bekäme ihn wieder hinein. Wenn man am exorbitanten Datenwachstum nichts ändern kann, muss man wenigstens dafür sorgen, den Überblick zu behalten und sich eine unternehmensweite Datenübersicht zu verschaffen.

Nach wie vor verläuft das Datenwachstum sowohl innerhalb als auch außerhalb des Unternehmens exponentiell. Sicherheitsverantwortliche sind gut beraten, sich zeitnah Gedanken darüber zu machen, wie man diese Datenfluten angemessen sichert. 

Eines der großen Versprechen, die mit dem Cloud Computing einhergingen, lautete, dass alles rund um das Thema Security einfacher würde. Die Organisationen sollten sich nicht länger Gedanken über die Sicherung ihrer Infrastruktur machen müssen, da das ja ab sofort von den Anbietern der Cloud-Dienste übernommen würde. Das Versprechen bestand darin, dass die Anbieter von Enterprise-Cloud-Services den Unternehmen Rechenpower, Speicherplatz, Datenbanken und Netzwerkinfrastruktur-Dienste zur Verfügung stellen – und zwar hervorragend verwaltet und gesichert. Firmen sollten so in der Lage sein, die Zeit, die sie vormals dafür aufgewendet hatten, ihre Infrastruktur abzusichern, jetzt besser dafür einzusetzen, ihre Daten und Anwendungen zu schützen. 

Soviel zur Verheißung der schönen neuen Welt des Cloud Computing – allein, ganz so ist es leider nicht gekommen. Die Cloud hat die Datensicherheit nicht vereinfacht, zumindest nicht für die meisten mittelständischen und größeren Unternehmen. Tatsächlich hat die Cloud in vielerlei Hinsicht die Verantwortungsbereiche Management und Security nur noch komplexer gemacht. Das liegt durchaus nicht daran, dass die Cloud-Anbieter ihre Versprechen nicht gehalten hätten. Das haben sie nämlich zum größten Teil durchaus getan: Die überwiegende Mehrheit der Cloud-Service-Anbieter liefert hochverfügbare und sichere Services. Nein, vielmehr die andere Seite muss aufholen: Es ist an der Zeit, dass die Unternehmen ihrerseits einen größeren Beitrag zu beiden Themenbereichen leisten. 

Die Herausforderung besteht im phänomenalen Erfolg der Cloud. In der Tat rührt die Herausforderung, vor der heute viele Unternehmen stehen, gerade eben vom phänomenalen Erfolg des Cloud Computing her. Die Cloud ist so einfach und kostengünstig, dass jeder gewerbliche Nutzer ein Shared Cloud Storage oder eine kollaborative Plattform für sich selbst oder ganze Teams aufsetzen kann. Jeder, der über eine Kreditkarte oder ein Aufwandskonto verfügt, kann sich seine eigenen Dienste beschaffen – die dann vollkommen unsichtbar für das Unternehmen sind. Das bedeutet nichts anderes, als dass Daten, die früher im Datenzentrum oder auf den Endgeräten der Computernutzer gespeichert waren, jetzt auf dutzende von Cloud-Services verstreut, um nicht zu sagen, »übergewuchert«, sein können. Folglich haben die Sicherheitsteams im Unternehmen keinen Überblick – oder Kontrolle darüber – wo sich Daten befinden und wer letztlich Zugang dazu hat. 

In den letzten zehn Jahren wurden wir Zeugen einer wahren Daten-Supernova, bei der sich die unternehmenseigenen Daten von Datenzentren und Endpoints zu neuen Speicherorten wie Dropbox, Box, Microsoft Office365, Azure, Slack, und einem Dutzend weiterer verbreiteter Cloud-Anwendungen, -Services und -Plattformen verbreitet haben. Und obwohl sich die Unternehmen dieser Datenexplosion durchaus bewusst waren, waren sie bislang aus irgendwelchen Gründen dennoch nicht in der Lage, diese »Datenwucherungen« angemessen zu kontrollieren. 

Die vielleicht größte Herausforderung, der sich Organisationen angesichts der Daten-Supernova gegenüber sehen, ist der Kontrollverlust über die eigenen Daten: Wohin wandern die Daten, wenn sie erst einmal die Datenzentren und Endpoints der Unternehmen verlassen haben? Man könnte auch sagen, was Daten angeht, haben viele Organisationen schlicht und einfach den Überblick verloren. Interessanterweise ist den meisten Unternehmen noch nicht einmal bewusst, dass sie ein Problem bezüglich der Dateneinsicht haben. Im Data Exposure Report von 2018 fand Code42 heraus, dass 75 Prozent der Security- und IT-Verantwortlichen für sich beanspruchen, volle Dateneinsicht bezüglich der gesamten im Unternehmen vorhandenen Daten zu haben, während immerhin 20 Prozent zugaben, dass sie keine derartige Einsicht hätten [1]. Die nüchterne Wahrheit ist, dass die meisten Organisationen tatsächlich gutsitzende Scheuklappen tragen, wenn es um die Datenvisibilität geht. 

Der Pfad zur Erkenntnis über die Daten. Im Grunde aber ist den Unternehmen bewusst, dass sie unbedingt Einsicht in ihre Daten brauchen. Der Data Exposure Report ergab, dass 80 Prozent der Befragten der Aussage zustimmten, dass man nicht schützen kann, was man nicht sieht, und immerhin noch 74 Prozent der Geschäftsführer glauben, dass die Abteilungen, die für die IT und Sicherheit verantwortlich zeichnen, volle Einsicht in die über das ganze Unternehmen verteilten Daten haben sollten. Wenn das Bewusstsein also vorhanden ist – wie gewinnen die Firmen den vollständigen Überblick über ihre Datenbestände zurück?

Es gibt im Grunde nur eine begrenzte Anzahl von Auswahlmöglichkeiten. Während viele Unternehmen gerne die Gesetze der Physik aushebeln möchten – was in etwa dem Ansinnen, die Schwerkraft zu ändern, entspricht – und ihre Daten zurück in ihre Datenzentren und auf die Endgeräte holen würden, wird genau das nie passieren. Aber natürlich gibt es Mittel und Wege, etwas zu unternehmen, und ebenso selbstverständlich gibt es eine Reihe von Aktionen, die sie in diesem Zusammenhang besser gar nicht erst versuchen sollten. 

Nichts desto trotz wurde eine Herangehensweise, die Unternehmen tunlichst nicht anwenden sollten, schon sehr häufig probiert: Sie besteht darin, zu versuchen, die Nutzer davon abzuhalten, sich Cloud-Services ihrer Wahl zuzuwenden. Das sieht dann oft so aus, dass die Security- und IT-Abteilungen eine Liste mit genehmigten Cloud-Diensten herausgeben und anordnen, dass nur diese Services genutzt werden dürfen. 

Das geht in der Regel nicht ohne Widerstände ab und wird ohnehin üblicherweise unterlaufen, um nicht zu sagen, ignoriert. Sicher, die Unternehmen können versuchen zu überwachen, welchen Services die Nutzer sich zuwenden und jedes Mal, wenn ein nicht genehmigter Service »aufpoppt« diesen sofort abschießen – aber unter dem Strich wird diese Methode auf ein endloses Hase-und-Igel-Wettrennen hinauslaufen. Ein Rennen, das die IT- und Sicherheitsabteilungen letztendlich verlieren werden, soviel ist sicher. Nach einer langfristigen und tragfähigen Strategie hört sich das ganz und gar nicht an. 

Aber es gibt noch eine weitere Option: Eine Organisation kann auch improvisieren, indem sie den Nutzern erlaubt zu tun, was sie möchten, und darauf vertrauen, dass sowohl die Anwender als auch der Cloud-Anbieter die Daten angemessen sichern. Das ist natürlich eine Schnapsidee – schließlich sind Daten das »neue Öl« und für das Unternehmen entsprechend wichtig und wertvoll. Und niemand kann ernsthaft wollen, dass Hacker oder Wettbewerber Zugriff auf die eigenen Daten erhalten; Daten, von denen einige möglicherweise unter gesetzliche oder regulatorische Mandate fallen und deren Missbrauch oder Diebstahl ernsthafte rechtliche Konsequenzen nach sich ziehen kann. 

Technologisch umfassende Dateneinsicht. Bleibt noch die Suche nach technologischen Lösungen. Die erste Möglichkeit besteht darin, diejenigen Cloud-Services zu identifizieren, die die Angestellten unerlaubterweise verwenden. Wenn diese Services erst einmal erkannt sind, haben die IT- und Sicherheitsverantwortlichen die Chance, diese Dienste angemessen zu verwalten und in ihre Sicherheitsstrategie einzubeziehen. Darunter fallen dann auch wichtige Maßnahmen wie Zugangskontrolle, Configuration Management, Monitoring, Backup und Recovery und was auch immer sinnvoll erscheint, wenn es um Cloud-Anwendungen und ihre regelkonforme Nutzung geht. Jeder Ansatz und jede Lösung für den Schutz vor Datenverlust im Unternehmen sollte also sinnvollerweise immer auch einen Überblick darüber geben, wie und wo Daten von ihren Endpunkten zu ihren Cloud-Diensten fließen.

Die Unternehmen können nachverfolgen wer Zugang zu jeder einzelnen Datei hat und wo diese Daten hinübertragen werden und greifen ein, wo immer eine verdächtige Aktion es rechtfertigt. 

Unternehmen brauchen nicht nur eine umfassende Sicht auf jedwede mit Daten verknüpfte Aktion sowohl auf den Endgeräten im Unternehmen als auch bei den Cloud Services, sondern sie müssen auch durchgängig jede Veränderung im Datenbestand des ganzen Unternehmens beobachten und bereit sein, sofort einzuschreiten, wenn Bedrohungen auftauchen. Nicht zuletzt müssen sie dafür Sorge tragen, dass die Daten vollumfänglich wiederherstellbar sind, sollte der Cloud Service einmal nicht mehr erreichbar sein. 

Schließlich und endlich geht es darum, dass eine umfassende Dateneinsicht sicherstellt, dass Compliance-Vorgaben, seien es von Seiten der Industrie oder vom Gesetzgeber, wie zum Beispiel DSGVO, vorgegeben, revisionssicher eingehalten werden können. 

Während sich die Unternehmen also womöglich wünschen, dass die Datensupernova nie über sie hereingebrochen wäre, führt dennoch kein Weg dahin, die Daten, die bis in die Cloud Services gewuchert sind, wieder in die Datenzentren und die Endgeräte der Anwender zurückzuholen. Es gibt keine Macht, die diese Datenberge »wieder einfangen« wird. Und ebenso wenig gibt es eine wirksame Handhabe, mit der die Angestellten davon abgehalten werden können, Cloud Services ihrer Wahl einzusetzen. Die einzige Option, die Unternehmen im Grunde haben, um diese Problemlage sinnvoll zu lösen, ist, die Kontrolle zu behalten, indem die Visibilität durch gezieltes Monitoring erhöht wird – und damit ein rundes Security-Maßnahmenpaket geschnürt wird, das Daten und Anwendungen gleichermaßen erfasst. 


Rob Juncker,
Senior Vice President of Research,
Development and Operations
bei Code42

 

 

[1] https://on.code42.com/wp-content/uploads/2018/07/Code42-Data-Exposure-Report-2-v11.pdf

 

Illustration: © Bellavskii Igor /shutterstock.com

 

3093 Artikel zu „Cloud Daten“

Datenmanagement in Multi-Cloud-Umgebungen: Unternehmensdaten unter Kontrolle

Der Schutz und die Integrität seiner Daten hat für ein Unternehmen höchste Priorität. Das gilt auch dann, wenn solche Informationen auf mehreren Public-Cloud-Plattformen gespeichert werden. Wer die volle Kontrolle über solche Daten behalten möchte, benötigt eine Lösung, die Multi-Cloud-Services mit einem effektiven Datenmanagement verbindet. Cloud Computing – ja gerne. Aber geschäftskritische Daten sollten dennoch unter…

Drei zentrale Triebfedern für das KI-Zeitalter – Stream Processing kombiniert mit Datenanalytik und Hybrid-Cloud

Der Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) wächst in rasantem Tempo, wenn auch oft noch in Test-Umgebungen. Unternehmen entwickeln parallel dazu ihre Dateninfrastruktur konsequent weiter, um von den aktuellen technologischen Entwicklungen zu profitieren und um im Wettbewerb, der von der Digitalisierung angeheizt wird, zu bestehen.   Die Verlagerung der Dateninfrastruktur und der…

D2D2T hat ausgedient: Flash-to-Flash-to-Cloud ist das neue Datensicherungsmodell

Auch wenn in den Köpfen vieler IT-Verantwortlicher aktuell noch Disk und Tape die dominierenden Medien rund um die Datensicherung – also unter anderem Backup – sind, so erwartet Pure Storage für die Zukunft hier einen Wandel hin zu neuen Speichermedien und Modellen. Konkret bedeutet dies: Flash und Cloud.   »In den letzten zehn Jahren gab…

Europäische Unternehmen ignorieren beim Daten-Backup die Cloud

Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432…

Cloud und Virtualisierung: Datenverschlüsselung bleibt fundamentaler Bestandteil der IT-Security

»Die Wolke« ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu.…

Datensicherheit in der Cloud: Best Practices gegen Man-in-the-Cloud-Attacken

Das Nutzen von Cloud-Services gehört für die Mehrheit der Unternehmen längst zum festen Bestandteil der IT-Strategie. Die Möglichkeit des Datenzugriffs jederzeit und überall bringt zahlreiche Vorteile mit sich, allen voran verbesserte Flexibilität und erhöhte Produktivität. Die gestiegene Popularität dieser Dienste ist jedoch von böswilligen Akteuren nicht unbemerkt geblieben, was neue Arten von Cyberangriffen hervorgebracht hat.…

Cloud Data Management in 2019 – das Jahr der Datenmanagement-Revolution

Daten stehen im Mittelpunkt der digitalen Transformation, die in 2019 an Geschwindigkeit zulegen wird. Davon ist Rubrik, Experten für Cloud Data Management, überzeugt. Unternehmen bewegen sich von monolithischen Legacy-Infrastrukturen hin zu modernen verteilten hybriden Cloud-Infrastrukturen. Dies bedeutet, dass der Schutz und die Verwaltung von Daten einen Wandel und eine Weiterentwicklung durchlaufen müssen. Dies beinhaltet vielerorts…

Trends 2019: Datenvirtualisierung, KI und Cloud

Maschinelles Lernen wird für Unternehmen ein Muss. Interaktive Datenkataloge um nach relevanten Datenbeständen zu suchen. Datenvirtualisierung spielt bei Multi-Location-Cloud-Architekturen eine zunehmend wichtige Rolle.   Denodo, ein Unternehmen im Bereich der Datenvirtualisierung, hat für das Jahr 2019 drei Top-Tech-Trends identifiziert. Neben künstlicher Intelligenz und modernen Datenvirtualisierungs-Tools wird sich auch die Cloud neu erfinden. Maschinelles Lernen für…

Edge Computing: Latenzfreie Datenverarbeitung am Rande der Cloud

So bringt Edge Computing den entscheidenden Vorteil für zeitkritische Datenverarbeitung. Der Großteil der Datenverarbeitungsprozesse in Unternehmen findet mittlerweile in der Cloud statt. Hier ist es möglich, passgenau zugeschnittene Angebote eines Cloudanbieters in Anspruch zu nehmen und so komplett auf eigene, betriebsinterne Server verzichten zu können. Die Vorteile liegen auf der Hand: Die Speicherkapazität ist leicht…

Das Maß für Hybrid- und Multi-Cloud-Fähigkeit: Hochverfügbare und frei fließende Daten

Spielen Datenmanagement, Speicherbetriebssystem und Flash perfekt zusammen, produziert eine Hybrid- oder Multi-Cloud Mehrwerte. Nötig ist es, den Datenstrom aus lokalen Speicherorten und verschiedenen Clouds hochverfügbar zu machen. Wie das gelingt, zeigen die Lösungen von NetApp.