Home » Fachbeiträge » Cloud & Web » Umsicht ist besser als Nachsicht

Umsicht ist besser als Nachsicht

Nicht zuletzt hat die COVID-19-Pandemie Remote-Work und damit der Nutzung cloudbasierter Kollaborationstools Auftrieb gegeben. Doch auch wenn Cloud-Lösungen oft sicherer sind als On-Premises-Infrastrukturen, bieten sie Kriminellen einige Angriffspunkte.

5 Min. Lesezeit
Cloud Security: Hände beschützen die Cloud
Foto: ©AdobeStock/Suphachai

Dennoch verlassen sich viele Unternehmen ausschließlich auf die Sicherheitsmaßnahmen der Cloud-Anbieter. Unser Autor erklärt, warum das keine gute Idee ist und welche grundlegenden Schutzvorkehrungen für die Cloud nötig sind.

Laut IBM kosten Datenschutzverletzungen Unternehmen in den USA durchschnittlich 4,85 Millionen US-Dollar. Deutschland landet hinter den USA, dem Nahen Osten, Kanada und Großbritannien auf dem fünften Platz. Doch nicht nur die hohen Kosten sollten Unternehmensverantwortlichen zu denken geben, sondern auch, dass knapp die Hälfte aller Datenschutzverstöße weltweit (45 Prozent) in der Cloud erfolgten.

Dabei ist ein Versprechen der Cloud, dass sie mehr Sicherheit bieten soll als On-Premises-Umgebungen – wie passt das zusammen? Zum einen muss Unternehmensverantwortlichen bewusst sein, dass Cyberangriffe keine Frage des „ob“ sind, sondern des „wann“. Sie müssen damit rechnen, ins Visier von Betrügern zu geraten, unabhängig davon, ob sie in der Cloud oder mit einer lokal gehosteten Infrastruktur arbeiten. Das heißt, die Tatsache, dass fast jeder zweite Angriff in der Cloud stattfand, sagt zunächst wenig über die Sicherheit der Cloud aus.

Stattdessen kommt es viel mehr auf den Reifegrad der Cloud-Sicherheit an. Nicht einmal ein Viertel der Unternehmen (23 Prozent) gibt laut IBM-Studie an, dass sie sich in einem ausgereiften Stadium befinden – sprich, dass sie Sicherheitspraktiken konsequent in allen Bereichen anwenden. Dagegen haben 43 Prozent noch gar nicht damit angefangen oder befinden sich derzeit in der Anfangsphase. Entsprechend höher sind ihre Kosten im Falle eines Datenschutzverstoßes, genau wie die Zeit, die notwendig ist, um diese zu identifizieren und zu beheben. Ein Unternehmen mit hohem Reifegrad benötigt für beides im Durchschnitt 237 Tage, eine Firma ohne Cloud-Sicherheitspraktiken 345 Tage, also über 100 Tage länger.

Die Konsequenz sollte für Unternehmen daher sein, baldmöglichst umfassende Sicherheitsmaßnahmen für ihre Cloud-Umgebungen zu implementieren und sich nicht allein auf die Basisschutzvorkehrungen der Cloud-Anbieter zu verlassen. Denn diese können sich im Fall eines Cyberangriffs schnell als nicht ausreichend erweisen.

Komplex und teuer?

Eine aktuelle GBS-Studie zeigt allerdings, dass die zunehmende Komplexität durch die Einführung neuer Lösungen (40 Prozent) sowie drohende hohe Kosten (23 Prozent) die Unternehmen dabei vor Herausforderungen stellen. Das gilt besonders für kleine und mittlere Unternehmen, die oft über vergleichsweise geringe personelle und finanzielle Ressourcen für IT-Sicherheit verfügen. Doch sie können sich nicht darauf verlassen, dass sich Cyberkriminelle ausschließlich auf Konzerne konzentrieren. Auch kleine und mittlere Unternehmen können bekanntlich ein attraktives Ziel sein.

Dementsprechend sollten Unternehmen jeder Größe ihre Cloud-Sicherheit priorisieren und die notwendigen Ressourcen bereitstellen. Der finanzielle Aufwand mag dabei hoch erscheinen, doch die Kosten im Falle eines erfolgreichen Angriffs und Datenschutzverstoßes sind oft ungleich höher. Und ein möglicher Reputations- und Vertrauensverlust unter Kunden, Mitarbeitenden und Partnern kann ebenfalls schwerwiegende Konsequenzen haben.

Rollen und Zugriffe managen

Welche Maßnahmen aber sind am wichtigsten und schränken die Mitarbeitenden in ihrem Arbeitsalltag nicht zu sehr ein? Beispielsweise verbieten 15 Prozent der von GBS befragten Unternehmen grundsätzlich die Zusammenarbeit mit externen Nutzern auf ihren digitalen Plattformen. Das erschwert den Austausch mit Partnern oder Kunden und Mitarbeitende weichen häufig auf andere Kommunikationswege aus, die schlechter oder gar nicht geschützt sind.

Folglich ist der überwachte Zugang für externe Nutzer zu den internen IT-Strukturen im Grunde sicherer, oft aber mit höherem Kommunikations- und Arbeitsaufwand verbunden. Für solche Unternehmen, in denen mehrere Rollen und Zugriffsarten wichtig sind, ist daher ein Identity-and-Access-Management-(IAM)-System sinnvoll, um zu kontrollieren, was mit Nutzern und Zugängen geschieht.

Ein IAM ermöglicht es, Prozesse, Richtlinien und Systeme einzurichten, um Identitäten nahezu in Echtzeit und automatisch zu verwalten – sowohl für externe (Customer-Identity-and-Access-Management, CIAM) als auch interne Nutzer (IAM). Gleichzeitig können die Verantwortlichen so sicherstellen, dass Rollen und Zugriffsrechte den richtigen Benutzern im richtigen Kontext zugewiesen oder entzogen werden. Damit hat beispielsweise ein Buchhalter nicht dieselben Zugriffsrechte wie ein Vertriebsspezialist, auch wenn sie dieselben Tools verwenden.

Beim IAM müssen sich die Nutzer zunächst authentifizieren, wobei einfache Abfragen von Benutzername und Passwort, aber auch eine Multi-Faktor-Authentifizierung eingesetzt werden können. Die Autorisierung definiert, auf welche Systeme, Anwendungen oder Daten sie zugreifen dürfen. Die entsprechenden Regeln und Rollenkonzepte sind meist in einer Datenbank hinterlegt und können von Administratoren angepasst werden.

Eine gute IAM-Implementierung verbessert sowohl Sicherheitsprozesse als auch Arbeitsabläufe. Gleichzeitig ermöglicht es der IT-Abteilung, flexibel und agil auf Änderungen zu reagieren sowie Sicherheitsrichtlinien und Konformitäten einzuhalten. Auf diese Weise gibt das IAM mehr Kontrolle über die Identitäten in- und außerhalb des Unternehmens, erhöht die Sicherheit und verringert die Arbeitsbelastung der IT-Abteilung.

E-Mails schützen

Da Unternehmen die Cloud aber oft nicht nur als Kollaborationsplattform nutzen, sondern zudem als E-Mail-Server und -Archiv, gilt es auch hierfür Sicherheitsmaßnahmen zu implementieren. Viele verschlüsseln beispielsweise ihre Daten oder überprüfen automatisch importierte Dateien mithilfe des internen Virenscanners des Cloud-Anbieters, um sicherzustellen, dass sie keine Malware enthalten.

Um Lücken einzelner Hersteller auszuschließen, können Unternehmen auch mehrere Anti-Malware-Scanner parallel einsetzen. Zudem lassen sich mithilfe von Spam-Engines als weitere Sicherheitsstufe eingehende E-Mails mit bekannten SpamSignaturen vergleichen. Diese Schritte erfolgen, ohne dass die Mitarbeitenden involviert sind.

Erst wenn (potenziell) risikobehaftete E-Mails entdeckt werden, müssen sie eingreifen: Diese E-Mails werden unter Quarantäne gestellt, damit anschließend die IT-Abteilung oder eben der Adressat selbst entscheidet, ob sie tatsächlich eine Gefahr darstellen.

Sicherheitsbewusstsein schaffen

Neben konkreten Maßnahmen, die die Sicherheit der Cloud erhöhen sollen, müssen Unternehmen aber auch ihre eigenen Mitarbeitenden in den Blick nehmen. Denn Cyberkriminelle machen sich oft deren Unwissenheit, Unsicherheit oder Unbedachtheit zunutze, um sich Zugang zu internen Systemen zu verschaffen. Regelmäßige Trainings sind daher zielführend, um ein Bewusstsein für entsprechende Risiken zu schaffen und dauerhaft hochzuhalten.

Hier zeigt die GBS-Studie Nachholbedarf: Nicht einmal jedes zweite Unternehmen (46 Prozent) führt Schulungen für sicherheitsbewusstes Verhalten durch. Immerhin 55 Prozent setzen (auch) auf eine kontinuierliche Kommunikation zu diesem Thema, doch praktische Beispiele und Übungen können den Lerneffekt deutlich erhöhen. 16 Prozent glauben dagegen, dass sie über technische Maßnahmen bereits ausreichend geschützt sind.

Doch Cyberkriminelle sind immer geschickter darin, ihre Opfer zu manipulieren, sodass diese die technischen Hürden umgehen. Unternehmen sollten sich deshalb nicht allein auf die Technologie verlassen – egal, wie ausgereift diese ist. Ein Höchstmaß an Sicherheit erreichen sie nur, wenn Mensch und Technologie zusammenarbeiten und im gesamten Unternehmen ein großes Bewusstsein für mögliche Vorgehensweisen und Einfallstore der Cyberkriminellen besteht. Nur dann können Angriffe erfolgreich erkannt und schnellstmöglich abgewendet werden.

 

Thomas Bruse

Dr. Thomas Bruse ist Senior Vice President bei GBS Europa GmbH (Tochterunternehmen von DIGITALL).

Andere interessante Fachbeiträge

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.

Welche Backup-Lösung für Microsoft 365?

Bei der Abwehr von Cyberangriffen spielt die Datensicherung eine zentrale Rolle. Im Fall eines Angriffs müssen Unternehmen schnell reagieren können, indem sie ihre wichtigsten Daten und Anwendungen schützen und wiederherstellen. Unser Autor erklärt, wie Unternehmen ihre Daten in Microsoft-365-Produkten sichern können und worauf sie beim Kauf einer Backup-Lösung für den Dienst achten sollten.