IT-Security in der Cloud: Worauf Unternehmen achten sollten
Eine der weltweit größten Studien zur Risikoeinschätzung von Business-Entscheidern weltweit sieht unter den Top-3 Geschäftsrisiken für 2022 die Cybersecurity und das Ausfallen betrieblicher Abläufe.
Die Allianz hat gerade ihr jährliches Risk Barometer (1) veröffentlicht, eine der weltweit größten Studien zur Risikoeinschätzung von Business-Entscheidern weltweit. Unter den Top-3 Geschäftsrisiken für 2022: Cybersecurity und das Ausfallen betrieblicher Abläufe. Solche Einschätzungen kommen in Anbetracht der Security-Vorfälle in den vergangenen Monaten nicht von ungefähr: Insbesondere die Rückkehr der Emotet-Malware sowie die im Dezember 2021 bekannt gewordene Zero-Day-Lücke Log4shell lassen Unternehmen aufhorchen. Die Beachtung einiger grundlegender Kriterien kann die Nutzung von Cloud-Angeboten, Datenschutz und Datensicherheit deutlich verbessern.
Ziel jeder Hackerattacke sind Daten, und diese lagern Unternehmen heute zum großen Teil in der Cloud – ob zu 100 Prozent Public oder in hybriden Modellen. Um den Schutz persönlicher Daten zu jeder Zeit sicherzustellen, hat Security bei verantwortungsvollen Cloud Providern oberste Priorität. Immer mehr Unternehmen wechseln deshalb von On-Premises-Infrastrukturen zu spezialisierten Cloud-Anbietern, welche die Sicherheit ihrer Kunden im Auge haben.
Strenge Normen in Deutschland
Viele potenzielle Nutzer haben nach wie vor Bedenken, wenn es um die Sicherheit in der Cloud geht: Daten, die nicht mehr lokal gespeichert werden, sondern überall und zu jeder Zeit abrufbar sind, bilden scheinbar ein erhöhtes Sicherheitsrisiko. Ohne entsprechende Security-Vorkehrungen würde diese Einschätzung sicher stimmen – in der Realität moderner Cloud Provider ist aber tatsächlich das Gegenteil der Fall. Vor allem deutsche Anbieter sind durch gesetzliche Regelungen dazu gezwungen, strenge IT-Security-Vorgaben in der Cloud einzuhalten.
Die Sicherheitsvorkehrungen, um diese Vorgaben zu erfüllen, werden von professionellen IT-Ops-Teams erstellt, überwacht und regelmäßig auf den neuesten Stand gebracht. Damit ist bei etablierten Providern ein Grad an Professionalisierung gegeben, den die meisten Unternehmen (gerade im Mittelstand oft ohne eigenes IT-Ops-Team) im Alltag nicht bieten könnten, würden sie ihre Daten selbst lokal hosten.
Hinzu kommt die DS-GVO-Konformität, die durch das Lagern der Daten auf deutschen Servern gesichert wird. Die größte Gefahr für sicheres Cloud Computing sind daher menschliche
Anwendungsfehler (verlorene Passwörter, mangelnde Resilienz gegenüber Social-Engineering-Versuchen) oder bewusst schädigendes Verhalten.
Risiken und wie man ihnen begegnen kann
Unternehmern sollten sich stets darüber bewusst sein, welche potenziellen Risiken die Speicherung von Daten in der Cloud bietet, damit sie diesen in einem durchdachten Cloud-Security-Konzept adäquat begegnen können und keine bösen Überraschungen befürchten müssen. Die Sicherheit der Daten in der Cloud und der IT-Infrastruktur zu gewährleisten, ist eine essenziell wichtige Aufgabe für Unternehmen, Hosting-Provider und Kunden.
Vier mögliche Risiken von Cloud Computing sind:
- der Verlust von Daten
- Datenleaks, die geschäftskritische Daten Mitbewerbern zugänglich machen
- unbefugter Zugriff auf die Daten
- Systemausfälle, beispielsweise durch schadhafte Angriffe, Software-Fehler oder Hardware-Ausfälle
Die ersten beiden Punkte fallen größtenteils in den Verantwortungsbereich des Cloud Providers. Er muss eine verlässliche Infrastruktur garantieren, in der es nicht zu Datenverlusten kommt (Punkt 1). Diese Herausforderung gilt allerdings genauso für den Bereich physischer, privater Server: Hosten Unternehmen Daten inhouse, müssen sie diese Infrastruktur selbst bereitstellen. Die Verantwortung für die Punkte 3 und 4 teilen sich Cloud Provider und Kunden. Ausführliche Background Checks und regelmäßige Schulungen der Mitarbeiter im Hinblick auf Datensicherheit und vor allem die Sensibilisierung für Social-Engineering-Attacken helfen aktiv und effektiv gegen Datenleaks. Hier ist es besonders wichtig, Informationen und Trainings regelmäßig auf den neuesten Stand zu bringen und den Mitarbeiter, deutlich zu machen, wie entscheidend ihr eigenes Verhalten für die Datensicherheit des Unternehmens ist.
Konkrete Maßnahmen von Cloud Providern für mehr Security
Zuverlässige Cloud Provider bieten eine Reihe von Maßnahmen, die alle möglichen Phasen eines Datenlecks abdecken und mit denen sie die Cybersecurity so lückenlos wie möglich halten:
1. Präventive Maßnahmen stellen sicher, dass Daten gar nicht erst in falsche Hände geraten. Möglich wird das zum Beispiel durch die strenge Trennung der Infrastrukturen bei
direkten Konkurrenten, aber auch durch sichere Authentifizierungsverfahren, die individuell zwischen Hosting Provider und Kunden definiert werden können. Außerdem sollte ein IDS (Intrusion Detecting System) oder IPS (Intrusion Preventing System) aktiv sein.
2. Überwachende Kontrollen bemerken anormales Verhalten im System und lösen automatische Reaktionen aus, bevor ein größerer Schaden entstehen kann. Das IT-Ops-Team des Providers wird über die Unregelmäßigkeiten informiert und kann bei Bedarf entsprechende Maßnahmen ergreifen. Enges Monitoring von System und Netzwerk sind Teil der überwachenden Kontrollmaßnahmen. Einige Cloud Provider setzen hier sogar bereits auf Methoden und Reaktionsmuster aus dem Bereich der künstlichen Intelligenz.
3. Korrektive Kontrollen sind dem nachgelagert, sie korrigieren diagnostizierte Fehler. Sind beispielsweise Daten durch ein Update verloren gegangen, so gehört das Back-up zur korrektiven Kontrolle.
4. Die Post-mortem-Analyse wird aktiv, wenn es aller Sicherheitsmaßnahmen zum Trotz zu einem Vorfall gekommen ist. Cloud Provider, Kunden und alle anderen Beteiligten
analysieren in diesem Schritt gemeinsam und qualitativ, wo der Fehler lag. Ist die potenzielle Schwachstelle dann aufgedeckt, gilt es, sie für die Zukunft zu schließen und so aus dem entstandenen Fehler zu lernen. Eine sorgfältige Post-mortem-Analyse ist also essenziell, um Wiederholungsfehler zu vermeiden und mithilfe des Gelerntem die generelle Sicherheit für die Zukunft verbessern.
Identity Access Management
Ein weiterer Grundpfeiler der Cloud Security ist ein stabiles Identity Management. Dabei werden relevante Daten befugter Personen gesammelt, um deren Identität sicher zu überprüfen und dementsprechend Zugangsberechtigungen zu erteilen – oder eben nicht. IAM basiert immer auf Authentifizierung, und es wäre für Unternehmen, die sensible Daten verwalten, fahrlässig, diese lediglich mit der üblichen Kombination aus Benutzernamen und Passwort zu realisieren. Um die Sicherheitsstufen auch im Authentifizierungsprozess
zu erhöhen, bieten gute Cloud Provider Multi-Faktor-Authentifizierungen oder zumindest Zwei-Faktor-Authentifizierungen an. Als besonders sicher gelten Hardware-Token-Lösungen, die Software zur Authentifizierung mit physisch-technischer Authentifizierung über Hardware verbinden. Das kann zum Beispiel eine Chipkarte oder ein Token-Generator sein. Je nach Arbeitsumfeld kann beim Authentifizierungsprozess auch ein Single Sign-on (SSO) sinnvoll sein, über solch eine Lösung sollte aber immer individuell entschieden werden.
Die genannten Sicherheitsmaßnahmen sind in der Regel Standard für jeden Cloud Provider. Umfang und Schwerpunkte der Cloud-Security-Maßnahmen hängen von der Menge und Art der Daten ab und von dem einzuschätzenden Sicherheitsrisiko. Je sensibler die Daten, desto größer der Schutz.
Generell ist die Cloud heute einer der sichersten Orte, an denen Unternehmen ihre Daten lagern können. Vor allem etablierte deutsche Provider arbeiten professionalisiert und ihre Sicherheitsrichtlinien sind schon aufgrund strenger rechtlicher Regularien permanent auf dem neuesten Stand. Und auch für hochregulierte Branchen, in denen bestimmte kritische Daten nicht in Public Clouds gelagert werden dürfen, bieten Cloud Provider Lösungen wie Hybrid Clouds, die ebenfalls die exklusive (nicht öffentliche) Nutzung physischer Server mit einschließen. So können auch besonders kritische Kundendaten rechtskonform auf lokalen Servern gehostet werden, während sie gleichzeitig über die Security-Standards der Cloud geschützt sind. Das A und O dabei ist die enge Abstimmung zwischen Cloud Provider und Nutzer, um die individuell sicherste Lösung für jeden Anspruch zu finden.
Autor: Henrik Hasenkamp, CEO von Gridscale
Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 1/2022.
Henrik Hasenkamp, Gridscale