Sie sind hier: Startseite » Fachartikel » Hintergrund

Compliance vs. oder sogar mit IT-Sicherheit?


Anforderungen an die Absicherung von Cloud-Infrastrukturen
Einhaltung von Cloud-Sicherheitsstandards - Cloud Security Posture Management: Cloud-Infrastrukturen bei KMU absichern


Dr. Muhammad Sukmana, Co-Gründer & CPO bei Mitigant

Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden. Besonders KMU sind anfällig für zahlreiche Cloud-Angriffe und Sicherheitsvorfälle, die viele Aspekte der Cloud-Infrastrukturen und Unternehmen und ihrer Geschäfte bedrohen. So könnten beispielsweise vertrauliche Unternehmensdaten und personenbezogene Daten von Kunden an die Öffentlichkeit gelangen oder mit Ransomware verschlüsselt werden.

Darüber hinaus könnten die Dienste des Unternehmens aufgrund von Denial-of-Service-Angriffen (DoS) für die Kunden nicht verfügbar sein, oder schlimmer noch, die Cloud-Infrastruktur könnte von Hackern gekapert werden, was das gesamte Unternehmen in den Bankrott treiben könnte. Laut den Informationen der Bundesnetzagentur liegt der Anteil der KMU, die Cloud-Services nutzen bei 41 Prozent. Viele Organisationen müssen den Schritt in die Cloud also noch gehen und entsprechend absichern.

KMU müssen ihre Cloud-Infrastruktur im Rahmen des von den Anbietern öffentlicher Clouds durchgesetzten Modells der gemeinsamen Verantwortung sicher verwalten. Dies bedeutet, dass die Cloud-Ressourcen korrekt und sicher konfiguriert werden müssen, um zusätzliche Sicherheitsebenen zum Schutz der gespeicherten Daten und der in der Cloud-Infrastruktur laufenden Dienste zu schaffen, wie die Verschlüsselung der Daten und die Aktivierung der Backups. Außerdem wird sichergestellt, dass die Cloud-Ressourcen nur für autorisierte Nutzer zugänglich sind. Je nach Größe und Branche der Organisation gibt es möglicherweise zusätzliche Sicherheitsanforderungen, die die Organisation für ihre Cloud-Infrastrukturen erfüllen muss, wie etwa die Einhaltung von Cloud-Sicherheitsstandards.

Die Sicherheitsanforderungen der KMU in der Cloud können für jedes Unternehmen aufgrund verschiedener Faktoren wie der Einrichtung der Cloud-Umgebung und der geschäftlichen Anforderungen unterschiedlich sein. Diese Anforderungen bestimmen dann, welche Art von Cloud-Sicherheitslösungen die Organisationen haben sollten, um die Sicherheit ihrer Cloud zu gewährleisten. Es ist von entscheidender Bedeutung, welche Art von Cloud-Sicherheitslösung für das Unternehmen geeignet ist, da dies den Unterschied ausmachen kann, ob das Unternehmen sicher ist oder gehackt wird.

Compliance und IT-Sicherheit ergänzen sich beim Cloud Computing gegenseitig. Cloud Compliance bedeutet, dass Unternehmen die Cloud-Standards und Best Practices aus vielen Gründen einhalten müssen, z. B. aus rechtlichen Gründen oder um das Vertrauen der Kunden zu stärken. Die Cloud-Standards und bewährten Praktiken sind für verschiedene Organisationstypen verfügbar und anwendbar, um Organisationen bei der Konfiguration ihrer Cloud-Infrastruktur zu helfen, damit diese funktioniert und sicher ist, was unter Umständen noch detaillierter sein muss. Jede Organisation hat möglicherweise unterschiedliche Sicherheitsanforderungen an ihre Cloud-Infrastrukturen, die Erfüllung dieser Anforderungen kann dazu beitragen, die Cloud-Infrastruktur abzusichern. Je nach den Prioritäten des Unternehmens können die Organisationen wählen, ob sie zuerst die Einhaltung der Vorschriften oder die IT-Sicherheit umsetzen wollen.

Was ist Cloud Security Posture Management?
Die Cloud-Sicherheit ist ein weites Feld, das viele Komponenten umfasst, z. B. die Anwendung oder die Dienste, die in der Cloud laufen, die Verbindung zwischen der Cloud und den Anforderern und vieles mehr. Leider gibt es noch keine Lösung aus einer Hand, die alle Cloud-Sicherheitsfragen für die verschiedenen Anforderungen von Unternehmen lösen kann. So hilft beispielsweise CASB (Cloud Access Security Broker) bei der Verwaltung und Durchsetzung von Datensicherheitsrichtlinien und -praktiken zwischen der Cloud und dem Benutzer.

Ein weiteres Beispiel ist CWPP (Cloud Workload Protection Platform), das die Arbeitslasten in Cloud-Computing-Ressourcen wie physischen Servern, virtuellen Maschinen, Containern und Serverless schützt. Lösungen für das Cloud Security Posture Management (CSPM) tragen dazu bei, dass die Cloud-Infrastruktur eine gute Sicherheitslage aufweist. Die Lösungen helfen dabei, Fehlkonfigurationen und Sicherheitsschwachstellen in der Cloud-Infrastruktur zu erkennen und zu beheben, die Angreifer für Cloud-Angriffe ausnutzen könnten. CSPM kann auch dazu beitragen, die Cloud-Infrastruktur von KMU sicher zu verwalten, z. B. durch die Überwachung der Einhaltung bewährter Cloud-Sicherheitsverfahren und -standards.

Fazit
KMU müssen ihre Cloud-Infrastruktur im Rahmen des von den Anbietern öffentlicher Clouds durchgesetzten Modells der gemeinsamen Verantwortung sicher verwalten. Dies bedeutet, dass die Cloud-Ressourcen korrekt und sicher konfiguriert werden müssen, um zusätzliche Sicherheitsebenen zum Schutz der gespeicherten Daten und der in der Cloud-Infrastruktur laufenden Dienste zu schaffen, wie die Verschlüsselung der Daten und die Aktivierung der Backups. Außerdem wird sichergestellt, dass die Cloud-Ressourcen nur für autorisierte Nutzer zugänglich sind.

Je nach Größe und Branche der Organisation gibt es möglicherweise zusätzliche Sicherheitsanforderungen, die die Organisation für ihre Cloud-Infrastrukturen erfüllen muss, wie etwa die Einhaltung von Cloud-Sicherheitsstandards. KMU müssen so früh wie möglich die mit der Cloud und dem Unternehmen verbundenen Assets und Interessengruppen identifizieren, um den aktuellen Zustand zu verstehen, bevor sie Strategien zur Sicherung der Cloud entwickeln. (Mitigant: ra)

eingetragen: 14.03.23
Newsletterlauf: 22.05.23

Mitigant: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

  • Den richtigen Cloud-Service-Anbieter auswählen

    Vorschriften zur Datenhoheit, wie der Data Governance Act in Europa, können für Unternehmen eine Herausforderung darstellen. Eine der Hauptschwierigkeiten besteht darin, den Überblick darüber zu behalten, wo Daten gespeichert sind. Zudem müssen Unternehmen sicherstellen, dass die Speicherung mit den lokalen Datenschutzbestimmungen übereinstimmt.

  • Compliance vs. oder sogar mit IT-Sicherheit?

    Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things.

  • Mit richtiger Unterstützung zum MSSP-Erfolg

    Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und finanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke.

  • Keine Bestnoten für Deutschlands Rechenzentren

    Rechenzentren werden geplant, gebaut, in Betrieb genommen und dann viele Jahre lang mehr oder minder unverändert genutzt. Doch die Anforderungen der betreibenden Unternehmen, die technologischen Möglichkeiten und die gesetzlichen Rahmenbedingungen ändern sich im Laufe der Zeit. Um böse Überraschungen zu verhindern, Kosten zu sparen und Risiken zu vermeiden, ist es notwendig, Defizite in Bestandsrechenzentren zu entfernen und Optimierungspotentiale zu nutzen. Hierzu sollten Rechenzentren regelmäßig einer ganzheitlichen Betrachtung unterzogen werden.

Den richtigen Cloud-Service-Anbieter auswählen Data Act könnte schon 2024 in Kraft treten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen