Die Cloud ist schon lange eine fixe Entität im Arbeitsalltag vieler Firmen. Mittlerweile gebrauchen, dem „Cloud-Monitor 2021“ von KPMG zufolge, 82 % der Betriebe in Deutschland Cloud-Services. Gerade große Firmen scheinen äußerst cloudaffin – die Hälfte von diesen verfolgt schon jetzt eine Cloud-First-Strategie, ein Viertel setzt gar auf Cloud-Only.
Gleichzeitig steigt mit der zunehmenden Verbreitung von Cloud-Leistungen ebenso die Anzahl cloudoptimierter Internetangriffe. Mittlerweile ist jeder vierte Betrieb von cloudoptimierten Angriffen betroffen. Das ist auch kein Wunder, denn im Gegensatz zur On-Premise-IT-Infrastruktur, die alle möglichen IT-Systeme, Endpunkte, Geschäftsanwendungen sowie Geschäftsdaten durch mehrere Sicherheitsringe sichert, scheinen die gewinnbringenden Unternehmensressourcen in den Clouds für Internetkriminelle in greifbarer Nähe zu liegen.
Aus diesem Grund gilt: Wer Cloud sagt, muss auch Cloud-Sicherheit sagen.
Die elementare Teildisziplin der Internetsicherheit!
Die Cloud-Sicherheit sei die Teildisziplin der Internetsicherheit. Selbige umfasst eine breitgefächerte Auswahl diverser Protokolle sowie Richtlinien, die jede einzelne Komponente der Cloud-Computing-Umgebung vollständig und effektiv vor cloudoptimierten Angriffstechniken, Datendiebstählen, menschlichem Fehlverhalten oder auch Auswirkungen von Datenkompromittierung oder Systemkompromittierung schützt.
Dabei setzt sich das Sicherheitsökosystem der Cloud-Sicherheit im Kern aus den folgenden Kategorien zusammen:
Identitäts- und Zugriffsmanagement: An dieser Stelle kommen einige Authentifizierungs- und Autorisierungsverfahren zur Anwendung, um die Cloud-Accounts vor dem unbefugten Zugriff zu bewachen.
Strategien zur Prävention, Erkennung und Eindämmung von Bedrohungen: Hier kommen abgesehen von Sicherheitstechnologien, die den gesamten Datenverkehr scannen, um Cloud-Malware und sonstige Bedrohungen zu identifizieren und zu hindern, Richtlinien und Weiterbildungen zum Einsatz, die das Nutzerverhalten verbessern und das Gefahrenbewusstsein für Cloud-Risiken affirmieren.
Mikrosegmentierung: Bei der Mikrosegmentierung wird das Rechenzentrum bis hinunter zur einzelnen Workload-Ebene in unterschiedliche Sicherheitssegmente aufgeteilt. Anschließend können flexible Sicherheitsrichtlinien festgelegt werden, um Auswirkungen von Cloud-Angriffen zu minimieren.
Planung von Datenaufbewahrung und Geschäftskontinuität: An diesem Punkt kommen verschiedene technische Notfallwiederherstellungsmaßnahmen für den Sachverhalt eines Datenverlustes zur Anwendung. Dazu zählen Backups, Systeme zur Prüfung der Gültigkeit von Backups und detaillierte Anordnungen zur Datenwiederherstellung.
Verschlüsselung von Geschäftsdaten: An dieser Stelle kommen Sicherheitstechnologien und Werkzeuge zum Einsatz, die es Cloud-Anbietern und Cloud-Nutzern ermöglichen, Geschäftsdaten zu verschlüsseln und mithilfe eines speziellen Schlüssels zu decodieren.
Gesetzeskonformität: Hier kommen Sicherheitstechnologien und Richtlinien zur Anwendung, die bei der Einhaltung gesetzlicher Richtlinien zur Cloud-Sicherheit und Datensicherheit helfen sollen.
Die größten Gefahren beim Einsatz von Cloud-Infrastrukturen!
Unabhängig davon, in wie weit ein Unternehmen schon einen Cloud-Dienst verwendet oder sich im Moment im Anfangsstadium der Cloud-Migration aufhält, der Betrieb ohne eine geeignete Cloud-Sicherheitsstrategie kann mit großer Wahrscheinlichkeit zu schwerwiegenden Sicherheitsproblemen gelangen.
Dazu zählen unter anderem
inkompatible sowie veraltete IT-Systeme oder die Unterbrechungen von Datenspeicherdiensten Dritter
interne Gefahren durch menschliches Fehlverhalten wie beispielsweise Fehlkonfigurationen von Benutzerzugangskontrollen, schwache Zugangsdaten, unsichere Anwendungsprogrammierschnittstellen
externe Bedrohungen durch Internetkriminelle mithilfe von cloudoptimierter Schadsoftware, OAuth-Phishing sowie Password Spraying
Das größte Sicherheitsrisiko in der Cloud ist allerdings die Absenz eines Perimeters. Deshalb wäre es wichtig, eine ganzheitliche Cloud-Sicherheitsstrategie zu implementieren, die jede einzelne Komponente der Cloud-Computing-Architektur absichert.
Schieben Sie Cloud-Angriffen einen Riegel vor!
Cloud Computing ist das Erfolgsrezept für das „Neue Arbeiten“ in Firmen.
Allerdings sollten Betriebe beim Wechsel in die Cloud vom ersten Tag an bereit sein, eine umfangreiche Cloud-Sicherheitsstrategie zu implementieren.
Abgesehen von den zuvor obige genannten Sicherheitsmaßnahmen und Sicherheitstools, sollen Unternehmen
nachvollziehen können, für welche Aspekte der Cloud-Sicherheit sie mitverantwortlich sind.
die Transparenz der Cloud-Architektur im ganzen Unternehmen sichern.
die Cloud-Architektur genau kennen, um Cloud-Schwachstellen aufgrund von falscher Einstellung zu umgehen.
starke Zugänge benützen oder einen Passwort-Manager gebrauchen, der
für wirklich jede cloudbasierte Anwendung und jeden Cloud-Dienst ein separates Passwort nutzt. Wichtig hierbei ist, den Passwort-Manager ebenso mit einem starken Master-Passwort zu schützen.
regelmäßige Datenbackups machen, mit dem Ziel die Daten bei einem Datenverlust gänzlich wiederherstellen zu können.
anstelle von öffentlichen WLANs auf virtuelle private Netzwerke vertrauen, um auf eigene Geschäftsdaten zuzugreifen.
regelmäßige Cloud-Schwachstellentests und Penetrationstests ausführen, mit dem Ziel etwaige Cloud-Schwachstellen oder Exploits zu erkennen.
Denn nur so können sie sichergehen, dass sowohl die eigenen als auch die gesetzlich benötigten Sicherheitsanforderungen an Verfügbarkeit, Vertraulichkeit und Integrität der Geschäftsdaten effektiv in der Cloud erhalten bleiben.
Möchten auch Sie den Cloud-Sicherheitsstatus mit dauerhaften Cloud-Sicherheitssystemen und Cloud-Sicherheitsverfahren verbessern oder haben Sie weitere Anliegen zum Thema Cloud-Sicherheit? Sprechen Sie uns an!