Anzeige

Cloud Panoramablick

Die Mehrheit deutscher IT-Leiter assoziieren den Umstieg auf Cloud Computing mit einem automatisch ansteigenden Sicherheitsniveau – dies ergab eine Umfrage, die das Cyber-Sicherheitsunternehmen McAfee im Oktober 2019 durchführte. Doch: Wer ist eigentlich für die Sicherheit in der Cloud verantwortlich?

r Cloud verantwortlich?

Liegt sie wirklich gänzlich bei den Providern? Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, hat die Antworten und erklärt, worum es sich beim „360° Shared Responsibility Model“ handelt und warum sowohl Unternehmen als auch Cloud-Nutzer einen gewissen Grad an Sicherheitsverantwortung übernehmen müssen.

Eine Gartner-Prognose für 2023 spricht Bände: 99 Prozent aller Sicherheitslücken im Rahmen der Cloud-Nutzung entstehen auf Seiten der Kunden. Damit es nicht dazu kommt, sorgt das von Nigel Hawthorn, Experte für Datensicherheit bei McAfee entwickelte „360° Shared Responsibility Model“ für eine Aufteilung der Verantwortung in Sachen Cloud-Sicherheit. Dadurch erhalten alle Akteure, die Cloud-Technologie nutzen, eine bestimmte Rolle im Sicherheitsgeflecht – von den Providern über die Kunden bis zum Endnutzer. Diese Rollenverteilung soll für einen Rundumschutz der Cloud und sämtlicher Dienste und Daten sorgen, damit sich Unternehmen die Vorzüge der Cloud-IT in vollem Umfang zunutze machen können.

Wo gehobelt wird, fallen auch Späne: So sicher ist die Cloud

Cloud Computing ist mittlerweile zu einer gewinnbringenden Alternative (oder Ergänzung) zu traditionellen On-Premises in der Unternehmens-IT avanciert. Der McAfee-Umfrage zufolge präsentieren 90 Prozent der befragten IT-Leiter ihr Unternehmen als „Cloud-first“. Durch einen solchen cloud-fokussierten Ansatz verzeichnen Betriebe eine höhere Mitarbeiterproduktivität, gesteigerte Effizienz und eine engere Zusammenarbeit im Team. Darüber hinaus zeigen sie sich offener der Expansion in neue Märkte und können ihre Produkteinführungszeit reduzieren.

Dass die befragten IT-Leiter die Migration mit einem höheren Sicherheitsgrad verbinden, ist nicht verwunderlich: Cloud Service Provider (CSP) bieten vorab eine gewisse Sicherheitsgrundlage ihrer Cloud-Infrastruktur an. Diese schließt unter anderem den Schutz der Rechenzentren, der Server-Hardware, der Netzwerk-Konnektivität sowie die Absicherung vor cyberkriminellen Einflüssen von außen (beispielsweise in Form von DDoS-Attacken) mit ein. Doch deckt diese Grundsicherheit nicht alle Elemente und Komponenten in der Cloud ab. Bleiben diese Schwachstellen unbeaufsichtigt, steigt das Risiko von Sicherheits- und Compliance-Verstößen. 

Immerhin befinden sich im Unternehmensnetzwerk – irrelevant, ob Cloud oder On-Prem – ein Großteil der unternehmenskritischen und sensiblen Daten. Laut dem McAfee Cloud Adoption and Risk Report machen 21 Prozent den Anteil aller Inhalte dieser Kategorien in der Cloud aus. Und auch die aktuelle Umfrage bestätigt: Die Mehrheit der IT-Leiter geht davon aus, dass sich mindestens die Hälfte der sensiblen Daten und Dokumente im Cloud-Netzwerk ihres Unternehmens befindet. 96 Prozent beabsichtigen sogar, zukünftig noch mehr dieser Daten in die Cloud zu verlagern. Cyber-Kriminelle und Saboteure wissen das und kennen die Schlupflöcher im Netzwerk, durch die sie sich Zugang verschaffen können. Diese reichen von infizierten E-Mail-Anhängen bis hin zur lückenhaften Schatten-IT, die unter dem Radar der IT-Abteilung fällt und somit nicht entsprechend abgesichert werden kann.

Shared Responsibility: Leitfaden für umfassende Sicherheit

Da Provider für diese und weitere Aspekte keine umfassende Sicherheit gewährleisten können, müssen Kunden und Nutzer selbst die Verantwortung über den Schutz ihrer IT-Landschaft übernehmen. Um dies erfolgreich umsetzen zu können, funktioniert das Shared-Responsibility-Modell als Leitfaden und verschafft Unternehmen einen Überblick über die Zuordnung der drei Hauptakteure zu den verschiedenen Verantwortlichkeitsbereichen.

Cloud Service Provider

Der Schutz sowohl sämtlicher physischer Komponenten des Netzwerks sowie der Hosting-Infrastruktur liegt in der Verantwortung der Provider. Internationale Standards – wie ISO 27001 und SOC 2 – schreiben vor, dass Provider Server, Verkabelungen oder Datenspeicher vor Schäden, die durch äußere Einwirkungen oder gefährliche Eingriffe Dritter bedingt sind, besonders schützen müssen. Können Provider nicht für eine einwandfreie und sichere Kommunikation zwischen einzelnen Cloud-Diensten sorgen, steigt das Risiko, schädlichen Angriffen anheimzufallen, die die Infrastruktur lahmlegen.

Kunden

Wenn es um die sichere Funktionalität einzelner Anwendungen geht, sind die Übergänge fließend: Provider und Kunden teilen sich hier – je nach Servicemodell – die Verantwortung auf. Sobald es auf die Ebene des Identity und Access Managements (IAM) übergeht, muss primär der Kunde für Sicherheit sorgen. Wer besitzt welche Privilegien, um bestimmte Cloud-Dienste oder Daten herunterzuladen, zu editieren, in die Cloud zu laden und zu versenden? Hierbei helfen Tools, mit denen die IT-Abteilung Nutzeridentitäten sowie Nutzungsbefugnisse vergeben und identifizieren können. Außerdem müssen Unternehmen mit den richtigen Monitoring- und Geräteverwaltungslösungen dafür sorgen, dass sämtliche Zugänge zum Unternehmensnetzwerk – vor allem aus dem privaten Haushalt – abgesichert werden. 

Endnutzer

Endnutzer – also die Mitarbeiter – und ihr Arbeitgeber teilen sich die Verantwortung im Rahmen der Device- und Datensicherheit. Da Mitarbeiter die Daten aus der Cloud auf ihre PCs und Mobile Devices herunterladen, um mit ihnen zu arbeiten, und sich dadurch ein gewisses Gefahrenpotenzial bildet, muss ihren Geräten eine ebenso hohe Aufmerksamkeit zukommen. Darüber hinaus tragen einzelne Mitarbeiter die Verantwortung darüber, aufmerksam mit Daten umzugehen und sie nicht an unautorisierten Orten zu verbreiten.

Fazit

Das „360° Shared Responsibility Model“ deckt sämtliche Cloud-Dienste ab und etabliert ein höheres Sicherheitsbewusstsein auf allen Ebenen der Cloud-Nutzung. Jeder, der mit Cloud-Technologie arbeitet, trägt einen gewissen Teil an Verantwortung, damit sich alle Akteure in der Cloud sicher fühlen können. Sobald auch nur eine Partei nicht mehr ihrer Verantwortung nachgeht, entstehen gefährliche Lücken. Mit der „geteilten Verantwortung“ soll dem Entstehen solcher Schwachstellen vorgebeugt werden.

Rolf Haas, Enterprise Technology Specialist EMEA
Rolf Haas
Enterprise Technology Specialist EMEA, Intel Security
Rolf Haas ist Enterprise Technology Specialist EMEA bei Intel Security und bringt über 22 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen sowie alle Bereiche der IT Security, wie Malware, IPS, Firewall und Verschlüsselung.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Gewitter
Mär 13, 2020

Versteckt in der Wolke: Cloud-basierte Cyberbedrohungen

Der Cloud-Security-Spezialist Netskope analysiert in seinem neuen Cloud and Threat Report…
Public Cloud
Jan 30, 2020

Die meisten Unternehmen speichern sensible Daten in der Public Cloud

McAfee veröffentlicht eine neue Studie mit dem Titel „Enterprise Supernova: The Data…
Cloud Bedrohung
Aug 21, 2019

Erkennung von Cyber-Bedrohungen in der Cloud

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf…

Weitere Artikel

Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…
M&A

Die Pandemie erhöht den Bedarf an Cybersicherheit und belebt M&A

Der neueste Report von Hampleton Partners unterstreicht die weiterhin hohe Bedeutung von Cybersicherheit im Unternehmensumfeld. Der Cybersecurity M&A-Bericht stellt fest, dass durch die Pandemie alle Branchen einen gesteigerten Bedarf an IT-Sicherheit haben.…
QR-Code

QR-Codes stellen ein erhebliches Sicherheitsrisiko dar

MobileIron, die mobilzentrierte Sicherheitsplattform für das Everywhere Enterprise, gibt die Ergebnisse seiner Studie bekannt, in der 500 deutsche Verbraucher zu ihrer Einstellung zu QR-Codes befragt wurden. Die Resultate zeigen, dass QR-Codes immer beliebter…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!