Sie sind hier: Startseite » Fachartikel » Hintergrund

Vertrauen in die Cloud wächst - oder doch nicht?


Sicherheitsexperten haben wachsendes Vertrauen in die Cloud – nur nicht bei hochsensiblen Daten
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich


Security first – IT-Sicherheit bleibt eine ständige Herausforderung für die IT-Verantwortlichen in den Unternehmen. Dabei spielt die Cloud eine immer wichtigere Rolle, denn einerseits verlagern die Unternehmen mehr und mehr Anwendungen ins Web. Andererseits bleiben Sicherheitsverletzungen ein Hauptziel für Datendiebstahl und DDoS-Attacken.

Reif für die Wolke
Eine Umfrage, die Barracuda unter seinen Kunden weltweit durchführte, zeigt ein beachtliches Vertrauen der 850 befragten Sicherheitsexperten verschiedenster Unternehmensgrößen und -industrien in Public-Cloud-Bereitstellungen. 44 Prozent glauben inzwischen, dass sie genauso sicher seien wie lokale Umgebungen. 21 Prozent meinen, dass sie sogar noch sicherer seien. Und wie schaut es hinter der eigenen Unternehmenstür aus? Deutlich entspannt! Denn 60 Prozent der Befragten stuften die Nutzung der Cloud-Technologie im eigenen Unternehmen als sicher ein.

Cloud-Anbieter betreiben eine modernere und sicherere Infrastruktur, als es viele Unternehmen in-house leisten können. So profitieren Unternehmen von neuester, nach höchsten Sicherheitsstandards zertifizierter Technologie, gegenüber heterogenen, legacy-lastigen Inhouse-Umgebungen. Um Cyberrisiken effektiv zu mindern, sollten einerseits unternehmensrelevante Drittanbieter-Lösungen der Security-Strategie hinzugezogen werden. Andererseits ist es wichtig, das Konzept der geteilten Verantwortung in der Cloud verstanden zu haben.

Konzept der "geteilten Verantwortung" in der Cloud verstehen
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich. Dieses Modell bietet die höchstmögliche Effizienz für den Cloud-Provider und entlastet zugleich den Kunden davon, die Infrastruktur wie ein Rechenzentrum oder die Server-Hardware bereitzustellen. Darüber hinaus profitiert der Kunde von flexibler Skalierbarkeit bei Bedarf.

Die Anbieter geben einem Unternehmen damit die Freiheit, all seine in die Cloud migrierten Daten und Anwendungen auf gewünschte Weise zu sichern. So liegt es in der Verantwortung der Unternehmen, die Sicherheit von Anwendungen, Workloads und Betriebssystemen zu konfigurieren, zu patchen und zu schützen.
Weitere Cloud-Optionen für Backup und Redundanz verringern das Risiko zusätzlich. Indem Public-Cloud-Provider mit Drittanbietern zusammenarbeiten, stellen sie sicher, dass die verfügbaren Security-Lösungen auf ihren Plattformen ordnungsgemäß funktionieren. Partnerschaftsprogramme von AWS, Azure und GCP ermöglichen den Security-Anbietern den Zugang zu den Tools und Spezifikationen, die sie benötigen, um ihre Produkte für eine optimale Performance auf jeder Plattform zu entwickeln. Sobald die Produkte des Anbieters die vom Cloud-Provider festgelegten Standards erfüllen, erteilt dieser eine Zertifizierung.

Sensible Daten doch lieber nicht in die Cloud
So weit, so gut! Zwar hören die Unternehmen die Cloud-Security-Botschaft, doch wenn es um die Sicherung hochsensibler Daten wie Kundeninformationen oder interne Finanzdaten geht, lässt das Vertrauen in die Public Cloud nach. Dieses Misstrauen ist aber eher hausgemacht: Viele IT-Verantwortliche beklagen ein fehlendes Know-how aufgrund des Mangels an Cyber-Security-Fachkräften. Überdies ist sich die Mehrheit nicht sicher, ob ihre Cloud-Einrichtung regelkonform ist.

Viel zu oft vernachlässigt: Patchen und Konfigurieren
Webanwendungen sind ein Hauptziel für Cyberkriminelle, die sensible Daten stehlen und wichtige Geschäftsprozesse unterbrechen wollen. Sich dieser Tatsache bewusst, setzen die befragten Unternehmen durchaus Web Application Firewalls (WAFs) ein, lassen aber häufig einen besorgniserregenden Schlendrian walten, wenn es darum geht, die Systeme aktuell zu halten. Rund 13 Prozent der befragten Sicherheitsexperten in den Unternehmen gaben zu, dass sie in den letzten 12 Monaten ihre Web-App-Frameworks oder Server überhaupt nicht gepatcht haben. Von denen, die es taten, benötigte dafür mehr als ein Drittel (38 Prozent) zwischen sieben und 30 Tage. Ein Fünftel (21 Prozent) ließ sich tatsächlich über einen Monat Zeit.

Ein weiteres potenzielles Risiko bei Webapplikationen ist menschliches Fehlverhalten. So war seinerzeit eine Fehlkonfiguration einer Open-Source-WAF für den massiven Angriff auf die US-Bank Capital One ursächlich, bei dem mehr als 100 Millionen Kundendaten gestohlen wurden. Nun konzentrieren sich Angriffe aber nicht nur auf den Diebstahl sensibler Daten, sondern können auch unternehmenskritische Dienste massiv beeinträchtigen. Und WAFs sind sicherlich keine Wunderwaffe. Aber als Teil eines mehrschichtigen Security-Ansatzes sind sie ein wichtiges Verteidigungswerkzeug im fortwährenden Kampf gegen Sicherheitsrisiken aus dem Web.

Tipps für die Sicherheit in der Cloud
• >> Sicherstellen, dass sämtliche Apps durch WAFs geschützt sind. Jede Applikation kann als Angriffsvektor dienen, auch wenn sie scheinbar kein externes Besucherverhalten aufweist. Einmal entdeckt, werden Angreifer alle gefundenen Schwachstellen nutzen, um Zugang zum Netzwerk zu erhalten.
• >> Web-App-Security ist nicht die Aufgabe des Entwicklerteams, denn Entwickler sind in der Regel keine Sicherheitsexperten.
• >> Implementierung einer Cloud Security Posture Management (CSPM)-Lösung für eine automatisierte Cloud-Sicherheit, um Konfigurationsveränderungen zu vermeiden.

Angreifer konzentrieren sich auch auf Schwachstellen, die in der Vergangenheit ignoriert wurden. Häufig sind sich die Unternehmen nicht bewusst, wie sich solch mehrschichtige Angriffe von einem einzigen Zugangspunkt aus entfalten können. Die Sicherheit von Webanwendungen und die Sicherheit in der Cloud sind wichtige und daher unbedingt notwendige Maßnahmen bei der Realisation der digitalen Transformationen in einer sicheren Cloud. (Barracuda Networks: ra)

eingetragen: 10.02.20
Newsletterlauf: 26.03.20

Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Auf dem Weg zum klimaneutralen Rechenzentrum

    ESRS, CSRD, EnEfG … um die verschiedenen gesetzlichen Nachhaltigkeits-Regularien zu erfüllen, benötigen Betreiber von Rechenzentren mehr Transparenz über den Energieverbrauch und die Treibhausgas-Emissionen ihrer IT-Infrastruktur.

  • Dokumentenmanagement und elektronische Signatur

    Damit Unternehmen nicht nur zeitgemäß, sondern auch zukunftsträchtig arbeiten, ist eine Digitalisierung ihrer Geschäftsprozesse unumgänglich. Viele manuelle und behäbige Abläufe lassen sich mit einem digitalen Dokumentenmanagement optimieren. Es gilt, Aufgaben und Dokumente digital zu organisieren und Abläufe so weit wie möglich zu automatisieren.

  • Daten aus der iCloud extrahieren

    Zwölf Jahre ist es her, seit ElcomSoft erstmals iCloud-Backups direkt von Apple herunterladen und die Daten auslesen konnte. Während die einen sagten, dass es keine große Leistung sei, mit dem richtigen Passwort Daten aus einem Online-Backup zu laden, fühlten sich andere in ihrer Auffassung bestätigt, dass Cloud-Speicher ein unkalkulierbares Sicherheitsrisiko seien. Aber beide Sichtweisen waren damals schon stark vereinfacht und sind heute schlicht falsch.

  • Digital Twin der Lieferkette

    Fällt das Wort Lieferkettensorgfaltspflichtengesetz (LkSG), schießt einem meist zeitgleich der Begriff Transparenz in den Kopf. Denn darum geht es doch, oder? Auch! Aber nur Transparenz über die eigene Lieferkette zu erhalten, bringt erstmal wenig. Der Trick ist, zeitgleich eine flexible, optimierte Lieferkette anzustreben - sowohl operativ als auch strategisch.

  • Was bedeutet IT-Automatisierung?

    Eine neue Anwendung zur unternehmensinternen Kommunikation soll auf den PCs aller Mitarbeitenden installiert werden? Eine Routine-Aufgabe für die IT-Abteilung, die das Personal bei einem mittelständischen Unternehmen mit rund 100 Mitarbeitenden manuell umsetzen könnte. Beim Besuch jeder Kollegin und jedes Kollegen am Schreibtisch oder per Remote-Zugriff auf den PC wäre die Applikation, je nach Personalstärke, innerhalb von Stunden überall installiert.

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

Datenmanagement fördert Compliance Warum Netzwerksichtbarkeit wichtig ist

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen