Umsicht ist besser als Nachsicht
Nicht zuletzt hat die COVID-19-Pandemie Remote-Work und damit der Nutzung cloudbasierter Kollaborationstools Auftrieb gegeben. Doch auch wenn Cloud-Lösungen oft sicherer sind als On-Premises-Infrastrukturen, bieten sie Kriminellen einige Angriffspunkte.
Dennoch verlassen sich viele Unternehmen ausschließlich auf die Sicherheitsmaßnahmen der Cloud-Anbieter. Unser Autor erklärt, warum das keine gute Idee ist und welche grundlegenden Schutzvorkehrungen für die Cloud nötig sind.
Laut IBM kosten Datenschutzverletzungen Unternehmen in den USA durchschnittlich 4,85 Millionen US-Dollar. Deutschland landet hinter den USA, dem Nahen Osten, Kanada und Großbritannien auf dem fünften Platz. Doch nicht nur die hohen Kosten sollten Unternehmensverantwortlichen zu denken geben, sondern auch, dass knapp die Hälfte aller Datenschutzverstöße weltweit (45 Prozent) in der Cloud erfolgten.
Dabei ist ein Versprechen der Cloud, dass sie mehr Sicherheit bieten soll als On-Premises-Umgebungen – wie passt das zusammen? Zum einen muss Unternehmensverantwortlichen bewusst sein, dass Cyberangriffe keine Frage des „ob“ sind, sondern des „wann“. Sie müssen damit rechnen, ins Visier von Betrügern zu geraten, unabhängig davon, ob sie in der Cloud oder mit einer lokal gehosteten Infrastruktur arbeiten. Das heißt, die Tatsache, dass fast jeder zweite Angriff in der Cloud stattfand, sagt zunächst wenig über die Sicherheit der Cloud aus.
Stattdessen kommt es viel mehr auf den Reifegrad der Cloud-Sicherheit an. Nicht einmal ein Viertel der Unternehmen (23 Prozent) gibt laut IBM-Studie an, dass sie sich in einem ausgereiften Stadium befinden – sprich, dass sie Sicherheitspraktiken konsequent in allen Bereichen anwenden. Dagegen haben 43 Prozent noch gar nicht damit angefangen oder befinden sich derzeit in der Anfangsphase. Entsprechend höher sind ihre Kosten im Falle eines Datenschutzverstoßes, genau wie die Zeit, die notwendig ist, um diese zu identifizieren und zu beheben. Ein Unternehmen mit hohem Reifegrad benötigt für beides im Durchschnitt 237 Tage, eine Firma ohne Cloud-Sicherheitspraktiken 345 Tage, also über 100 Tage länger.
Die Konsequenz sollte für Unternehmen daher sein, baldmöglichst umfassende Sicherheitsmaßnahmen für ihre Cloud-Umgebungen zu implementieren und sich nicht allein auf die Basisschutzvorkehrungen der Cloud-Anbieter zu verlassen. Denn diese können sich im Fall eines Cyberangriffs schnell als nicht ausreichend erweisen.
Komplex und teuer?
Eine aktuelle GBS-Studie zeigt allerdings, dass die zunehmende Komplexität durch die Einführung neuer Lösungen (40 Prozent) sowie drohende hohe Kosten (23 Prozent) die Unternehmen dabei vor Herausforderungen stellen. Das gilt besonders für kleine und mittlere Unternehmen, die oft über vergleichsweise geringe personelle und finanzielle Ressourcen für IT-Sicherheit verfügen. Doch sie können sich nicht darauf verlassen, dass sich Cyberkriminelle ausschließlich auf Konzerne konzentrieren. Auch kleine und mittlere Unternehmen können bekanntlich ein attraktives Ziel sein.
Dementsprechend sollten Unternehmen jeder Größe ihre Cloud-Sicherheit priorisieren und die notwendigen Ressourcen bereitstellen. Der finanzielle Aufwand mag dabei hoch erscheinen, doch die Kosten im Falle eines erfolgreichen Angriffs und Datenschutzverstoßes sind oft ungleich höher. Und ein möglicher Reputations- und Vertrauensverlust unter Kunden, Mitarbeitenden und Partnern kann ebenfalls schwerwiegende Konsequenzen haben.
Rollen und Zugriffe managen
Welche Maßnahmen aber sind am wichtigsten und schränken die Mitarbeitenden in ihrem Arbeitsalltag nicht zu sehr ein? Beispielsweise verbieten 15 Prozent der von GBS befragten Unternehmen grundsätzlich die Zusammenarbeit mit externen Nutzern auf ihren digitalen Plattformen. Das erschwert den Austausch mit Partnern oder Kunden und Mitarbeitende weichen häufig auf andere Kommunikationswege aus, die schlechter oder gar nicht geschützt sind.
Folglich ist der überwachte Zugang für externe Nutzer zu den internen IT-Strukturen im Grunde sicherer, oft aber mit höherem Kommunikations- und Arbeitsaufwand verbunden. Für solche Unternehmen, in denen mehrere Rollen und Zugriffsarten wichtig sind, ist daher ein Identity-and-Access-Management-(IAM)-System sinnvoll, um zu kontrollieren, was mit Nutzern und Zugängen geschieht.
Ein IAM ermöglicht es, Prozesse, Richtlinien und Systeme einzurichten, um Identitäten nahezu in Echtzeit und automatisch zu verwalten – sowohl für externe (Customer-Identity-and-Access-Management, CIAM) als auch interne Nutzer (IAM). Gleichzeitig können die Verantwortlichen so sicherstellen, dass Rollen und Zugriffsrechte den richtigen Benutzern im richtigen Kontext zugewiesen oder entzogen werden. Damit hat beispielsweise ein Buchhalter nicht dieselben Zugriffsrechte wie ein Vertriebsspezialist, auch wenn sie dieselben Tools verwenden.
Beim IAM müssen sich die Nutzer zunächst authentifizieren, wobei einfache Abfragen von Benutzername und Passwort, aber auch eine Multi-Faktor-Authentifizierung eingesetzt werden können. Die Autorisierung definiert, auf welche Systeme, Anwendungen oder Daten sie zugreifen dürfen. Die entsprechenden Regeln und Rollenkonzepte sind meist in einer Datenbank hinterlegt und können von Administratoren angepasst werden.
Eine gute IAM-Implementierung verbessert sowohl Sicherheitsprozesse als auch Arbeitsabläufe. Gleichzeitig ermöglicht es der IT-Abteilung, flexibel und agil auf Änderungen zu reagieren sowie Sicherheitsrichtlinien und Konformitäten einzuhalten. Auf diese Weise gibt das IAM mehr Kontrolle über die Identitäten in- und außerhalb des Unternehmens, erhöht die Sicherheit und verringert die Arbeitsbelastung der IT-Abteilung.
E-Mails schützen
Da Unternehmen die Cloud aber oft nicht nur als Kollaborationsplattform nutzen, sondern zudem als E-Mail-Server und -Archiv, gilt es auch hierfür Sicherheitsmaßnahmen zu implementieren. Viele verschlüsseln beispielsweise ihre Daten oder überprüfen automatisch importierte Dateien mithilfe des internen Virenscanners des Cloud-Anbieters, um sicherzustellen, dass sie keine Malware enthalten.
Um Lücken einzelner Hersteller auszuschließen, können Unternehmen auch mehrere Anti-Malware-Scanner parallel einsetzen. Zudem lassen sich mithilfe von Spam-Engines als weitere Sicherheitsstufe eingehende E-Mails mit bekannten SpamSignaturen vergleichen. Diese Schritte erfolgen, ohne dass die Mitarbeitenden involviert sind.
Erst wenn (potenziell) risikobehaftete E-Mails entdeckt werden, müssen sie eingreifen: Diese E-Mails werden unter Quarantäne gestellt, damit anschließend die IT-Abteilung oder eben der Adressat selbst entscheidet, ob sie tatsächlich eine Gefahr darstellen.
Sicherheitsbewusstsein schaffen
Neben konkreten Maßnahmen, die die Sicherheit der Cloud erhöhen sollen, müssen Unternehmen aber auch ihre eigenen Mitarbeitenden in den Blick nehmen. Denn Cyberkriminelle machen sich oft deren Unwissenheit, Unsicherheit oder Unbedachtheit zunutze, um sich Zugang zu internen Systemen zu verschaffen. Regelmäßige Trainings sind daher zielführend, um ein Bewusstsein für entsprechende Risiken zu schaffen und dauerhaft hochzuhalten.
Hier zeigt die GBS-Studie Nachholbedarf: Nicht einmal jedes zweite Unternehmen (46 Prozent) führt Schulungen für sicherheitsbewusstes Verhalten durch. Immerhin 55 Prozent setzen (auch) auf eine kontinuierliche Kommunikation zu diesem Thema, doch praktische Beispiele und Übungen können den Lerneffekt deutlich erhöhen. 16 Prozent glauben dagegen, dass sie über technische Maßnahmen bereits ausreichend geschützt sind.
Doch Cyberkriminelle sind immer geschickter darin, ihre Opfer zu manipulieren, sodass diese die technischen Hürden umgehen. Unternehmen sollten sich deshalb nicht allein auf die Technologie verlassen – egal, wie ausgereift diese ist. Ein Höchstmaß an Sicherheit erreichen sie nur, wenn Mensch und Technologie zusammenarbeiten und im gesamten Unternehmen ein großes Bewusstsein für mögliche Vorgehensweisen und Einfallstore der Cyberkriminellen besteht. Nur dann können Angriffe erfolgreich erkannt und schnellstmöglich abgewendet werden.
Thomas Bruse
Dr. Thomas Bruse ist Senior Vice President bei GBS Europa GmbH (Tochterunternehmen von DIGITALL).