Cloud-Sicherheit: Hohe Datensicherheit in der Wolke!

Die Cloud erfreut sich steigender Popularität. Immer mehr Firmen platzieren mittlerweile einen Teil ihrer Firmentätigkeit oder sogar ihre komplette On-Premise-IT-Infrastruktur in die Cloud – und verschieben somit ihre wesentlichsten und besonders schützenswerten Vermögenswerte ins Web. Damit diese nicht in falsche Hände geraten, brauchen sie durchaus eine Reihe an technischer und strategischer Maßnahmen zur Sicherheit ergreifen. In diesem nachfolgenden Blogbeitrag erfahren Sie, aus welchem Grund mittlerweile eine umfassende und nachhaltige Cloud-Sicherheitsstrategie mit wirksamen Cloud-Sicherheitslösungen, ein bedeutender Teil einer auf sich aufbauenden und tiefergehenden Verteidigungsstrategie zu sein scheint, und mit welchen Maßnahmen Sie ihre Cloud-Sicherheit schrittweise steigern können.

Die Cloud ist schon lange eine feste Größe im Arbeitsalltag zahlreicher Firmen. Inzwischen gebrauchen, dem „Cloud-Monitor 2021“ von KPMG zufolge, 82 Prozent der Firmen in Deutschland Cloud-Dienste. Gerade große Firmen scheinen besonders cloudaffin – 50 Prozent von ihnen hat bereits heute eine Cloud-First-Strategie, ein Viertel schwört sogar auf Cloud-Only.

Parallel steigt mithilfe der zunehmenden Verbreitung von Cloud-Diensten auch die Menge cloudoptimierter Internetangriffe. Inzwischen ist jedes vierte Unternehmen von cloudoptimierten Angriffen betroffen. Dies ist auch kein Rätsel, denn im Unterschied zur On-Premise-IT-Infrastruktur, die sämtliche IT-Systeme, Endpunkte, Geschäftsanwendungen und Geschäftsdaten durch mehrere Sicherheitsringe sichert, scheinen die lukrativen Unternehmensressourcen in den Clouds zum Vorteil von Internetkrimineller in erreichbarer Nähe zu verweilen.

Aus diesem Grund gilt: Wer Cloud sagt, muss auch Cloud-Sicherheit sagen.

Was ist Cloud-Sicherheit überhaupt und wie funktioniert sie?
Die Cloud-Sicherheit gilt als Teildisziplin der Internetsicherheit. Sie hat eine breitgefächerte Palette diverser Protokolle sowie Richtlinien, die wirklich jede bestimmte Komponente einer Cloud-Computing-Umgebung vollständig und effektiv vor cloudoptimierten Angriffen, Datenrauben, menschlichem Fehlverhalten oder auch Auswirkungen von Datenkompromittierung oder Systemkompromittierung sichert.

Dabei setzt sich das Sicherheitsökosystem der Cloud-Sicherheit im Kern aus den folgenden Kategorien zusammen:

• Identitäts- und Zugriffsmanagement: Hier kommen einige Authentifizierungs- und Autorisierungsverfahren zum Einsatz, mit dem Ziel die Cloud-Konten vor dem unerlaubten Zugriff zu schützen.

• Strategien zur Prävention, Erkennung und Eindämmung von Bedrohungen: Hierbei kommen abgesehen von Sicherheitstechnologien, die den kompletten Datenverkehr scannen, um Cloud-Malware und andere Bedrohungen zu erkennen und zu blockieren, Richtlinien und Weiterbildungen zur Anwendung, die das Nutzerverhalten optimieren und das Gefahrenbewusstsein für Cloud-Risiken intensivieren.

• Mikrosegmentierung: Bei der Mikrosegmentierung wird das Rechenzentrum bis hinunter zur einzelnen Workload-Ebene in verschiedene Sicherheitssegmente unterteilt. Anschließend können anpassbare Sicherheitsrichtlinien festgelegt werden, um Auswirkungen von Cloud-Angriffen zu minimieren.

• Planung von Datenaufbewahrung und Geschäftskontinuität: An diesem Punkt kommen mehrere technische Notfallwiederherstellungsmaßnahmen für den Sachverhalt eines Datenverlustes zum Einsatz. Hierzu zählen Backups, Systeme zur Prüfung der Gültigkeit von Backups und umfangreiche Anweisungen zur Datenwiederherstellung.

• Verschlüsselung von Geschäftsdaten: Hier kommen Sicherheitstechnologien und Werkzeuge zur Anwendung, die es Cloud-Anbietern und Cloud-Nutzern möglich machen, Geschäftsdaten zu verschlüsseln und mithilfe eines speziellen Schlüssels zu entschlüsseln.

• Gesetzeskonformität: Hier kommen Sicherheitstechnologien und Richtlinien zur Anwendung, die bei der Erfüllung gesetzlicher Vorgaben zur Cloud-Sicherheit und Datensicherheit helfen sollen.

Mit welchen Sicherheitsrisiken sind Unternehmen in der Cloud konfrontiert?

Unabhängig von der Tatsache, in wie weit ein Betrieb bereits einen Cloud-Dienst verwendet oder sich aktuell im Anfangsstadium der Cloud-Migration bewegt, der Betrieb ohne eine entsprechende Cloud-Sicherheitsstrategie kann mit enormer Wahrscheinlichkeit zu ernsthaften Sicherheitsproblemen kommen.

Dazu gehören zum Beispiel
• inkompatible sowie veraltete IT-Systeme oder die Unterbrechungen von Datenspeicherdiensten Dritter
• interne Gefahren durch menschliches Fehlverhalten wie beispielsweise Fehlkonfigurationen von Benutzerzugangskontrollen, schwache Passwörter, unsichere Anwendungsprogrammierschnittstellen
• externe Gefahren durch Internetkriminelle mithilfe von cloudoptimierter Schadsoftware, OAuth-Phishing und Password Spraying

Das größte Sicherheitsrisiko in der Cloud ist allerdings das Fehlen eines Perimeters. Deshalb ist es bedeutend, eine gesamtheitliche Cloud-Sicherheitsstrategie zu realisieren, die jede bestimmte Komponente der Cloud-Computing-Architektur schützt.

Schieben Sie Cloud-Angriffen einen Riegel vor!

Cloud Computing ist die Erfolgsgarantie für das „Neue Arbeiten“ in Unternehmen.
In der Tat sollten Firmen beim Wechsel in die Cloud vom ersten Tag an willens sein, eine umfangreiche Cloud-Sicherheitsstrategie zu implementieren.

Neben den bereits oberhalb genannten Sicherheitsmaßnahmen und Sicherheitstools, sollten Betriebe
• nachvollziehen können, für welche Aspekte der Cloud-Sicherheit sie verantwortlich sind.
• die Durchsichtigkeit der Cloud-Architektur im gesamten Unternehmen sicherstellen.
• die Cloud-Architektur genau kennen, um Cloud-Schwachstellen im Zuge von falscher Konfiguration zu umgehen.
• starke Passwörter benützen oder einen Passwort-Manager einsetzen, der
für wirklich jede cloudbasierte Anwendung und jeden Cloud-Dienst ein separates Passwort nutzt. Wichtig hierbei wäre, den Passwort-Manager selbst mit einem starken Master-Passwort zu sichern.
• regelmäßige Datenbackups machen, um die Daten bei einem Datenverlust gänzlich rekonstruieren zu können.
• anstelle von öffentlichen WLANs auf virtuelle private Netzwerke vertrauen, um auf eigene Geschäftsdaten zuzugreifen.
• regelmäßige Cloud-Schwachstellentests und Penetrationstests machen, mit dem Ziel mögliche Cloud-Schwachpunkte oder auch Exploits zu ermitteln.

Weil nur so können sie sichergehen, dass sowohl die eigenen und auch die gesetzlich benötigten Sicherheitsanforderungen an Verfügbarkeit, Vertraulichkeit und Zuverlässigkeit der Geschäftsdaten auch in der Cloud bestehen bleiben.

Möchten auch Sie Ihren Cloud-Sicherheitsstatus mit dauerhaften Cloud-Sicherheitssystemen und Cloud-Sicherheitsverfahren verbessern oder haben Sie noch Anliegen zur Angelegenheit der Cloud-Sicherheit? Sprechen Sie uns an!