Anzeige

Cloud Security

Zweifelsfrei sind die Vorteile der Cloud, wie etwa die ortsunabhängige Kollaboration durch SaaS-Lösungen, verlockend. Schließlich wäre ohne sie das “New Normal” inklusive Homeoffice für die meisten Berufe undenkbar.

Doch einfach blindlings die eigene Infrastruktur in die Cloud zu bringen und darauf zu hoffen, dass der Provider sich um alles Weitere kümmert, ist keine Option. Schließlich birgt die Cloud einige Herausforderungen für die Cybersicherheit, insbesondere in großen Unternehmen, die Tausende Mitarbeiter, Partner und Dienstleister koordinieren müssen. Immer dann, wenn Anwendungen und Daten die Grenzen des eigenen Netzwerks verlassen, entziehen sie sich auch ein Stück weit der Kontrolle durch die Unternehmen. Diese Tatsache müssen sich Unternehmen bewusst machen und bei Ihren Sicherheitskonzepten umdenken. Al Lakhani, Cybersecurity-Forensiker und Gründer von IDEE, dem Münchner Spezialist für sichere digitale Authentifizierung und Autorisierung, gibt Tipps zu den häufigsten Fehlern bei der Enterprise Cloud Security.

1. Standard-IAM-Lösungen der Cloud-Anbietern werden den Sicherheitsanforderungen oft nicht gerecht

Einmal in die Cloud und ab da kümmert sich der Anbieter um alles? Weit gefehlt, denn die Provider kümmern sich in erster Linie um die Sicherheit beziehungsweise die Stabilität der Cloud selbst. Das ist ihr Kerngeschäft und hier kann man dem Dienstleister durchaus Vertrauen entgegenbringen. Anders sieht es bei der Sicherheit innerhalb der Cloud aus. Zwar bieten die Provider auch hier Dienste für die Absicherung der Services sowie die Authentifizierung des Zugriffs an, doch diese Maßnahmen sind selten spezifisch und berücksichtigen oft nicht die speziellen Anforderungen der unterschiedlichen Branchen. Geschäftsanwendungen, in denen sensible Daten aus Europa verarbeitet werden, unterliegen etwa der DSGVO. Unternehmen, die strikte Compliance-Vorschriften erfüllen müssen, sollten sich daher selbst um das Identity & Access Management kümmern und die Sicherheitsmaßnahmen entsprechend ihrer branchenspezifischen Anforderungen und abgestimmt auf das eigene Geschäftsmodell definieren. 

Natürlich ist es bequem für die Nutzer, wenn sie sich über den Provider einer SaaS-Lösung, wie zum Beispiel Messaging oder einer EDV-Software, auch direkt anmelden oder einloggen können. Doch das macht den angebotenen Dienst zum Single-Point-of-Failure, besonders wenn mehrere Lösungen von dem gleichen Provider in Anspruch genommen werden. Zudem kommt hier das Problem der Insider Threats von Seiten des Cloud Providers zum Tragen. Selbst wenn Unternehmen ihre eigenen Mitarbeiter unter Kontrolle haben, so gilt das noch lange nicht für die Mitarbeiter eines Dienstleisters. Als 2020 die Social Media Plattform Twitter attackiert wurde, um einen Bitcoin Scam zu vollziehen, waren es nicht die Nutzer, die im Fokus der Angreifer standen sondern die Mitarbeiter des Anbieters selbst. 

2. Blindes Vertrauen in die Mitarbeiter

Mitarbeiter sind das schwächste Glied in der Sicherheitskette, das ist kein Geheimnis. Oft sind es nicht einmal die böswilligen Mitarbeiter, die dem Unternehmen schaden, sondern diejenigen, die nicht sensibilisiert beziehungsweise trainiert wurden, um Phishing und Co. zu widerstehen. Daher sollte besonders in der Enterprise-Cloud keinem Gerät und keinem Nutzer blind vertraut werden. Zudem gilt in Cloud mehr denn je das Prinzip der Nachweisbarkeit: Gerade bei sensiblen Transaktionen oder Änderungen an Daten sollten Unternehmen auf Lösungen setzen, die einen unveränderlichen Audit Trail gewährleisten, damit die Nachverfolgung gesichert und vor Manipulation geschützt ist. So schützen sich Unternehmen auch vor Hackern, die sonst möglicherweise unentdeckt über einen längeren Zeitraum im Unternehmensnetzwerk ihr Unwesen treiben und stets ihre Logfiles löschen. 

3. Zero-Trust braucht kein Passwort

Zero-Trust-Architekturen werden immer beliebter und sind gerade im Kontext der Enterprise Cloud ein wichtiges Element der Cybersicherheit. Entscheidend dabei ist, dass sich Zero-Trust-Konzepte nicht darauf stützen, wo man ist, sondern wer man ist. In Zeiten des Remote Work ein nicht zu unterschätzender Faktor. Aber auch unabhängig davon, ob sich jemand im Netzwerk des Unternehmens befindet, wird bei Zero Trust nicht nur keinem Gerät vertraut, sondern jeglicher Zugriff muss verifiziert und autorisiert werden. 

Darüber hinaus ermöglichen Zero-Trust-Ansätze mehr Kontrolle für Unternehmen, indem sie etwa festlegen, wie lange eine Authentifizierung gültig ist. Was in erster Sekunde nach Aufwand für die Nutzer klingt, die sich ständig neu authentifizieren müssen – was bisher hieß, dass man sein Passwort immer und immer wieder eingeben muss – lässt sich dank moderne Lösungen auch ohne Passwörter umsetzen. Passwortlose Multi-Faktor-Authentifizierung in Kombination mit einem Sicherheitschip, der im Gerät des Nutzers (Smartphone oder PC) eingebettet ist, ist viel sicherer und benutzerfreundlicher, da ein Passwort leicht vergessen werden kann – während das Gerät in der Regel immer zur Hand ist. 

4. Access Controlling wird in der Cloud wichtiger

Dem Controlling kommt in großen Unternehmen ohnehin eine wichtige Rolle zu. Ständig gilt es, Prozesse und Schwachstellen zu analysieren und diese zu optimieren. Mit Blick auf die Cloud und die dort genutzt Ressourcen ist es an den Controlling-Verantwortlichen, die Zugriffe aller internen und externen Nutzer auf die Cloud-Infrastruktur regelmäßig zu überprüfen. Das betrifft jedoch nicht nur die Kostenoptimierung, die durch präzises Lizenzmanagement erreicht wird. 

Es geht auch darum, mithilfe eines Asset-basierten Risikomanagements die kritischen Daten und Systeme einer Risikobewertung zu unterziehen. Wo liegen unternehmensrelevante Daten und wer hat in welchem Umfang auf was Zugriff? Nur so kann vermieden werden, dass “Account-Leichen” zum Risikofaktor werden. Denn welche dramatischen Auswirkungen das haben kann, hat man unlängst am Beispiel der Colonial Pipeline Co. gesehen: Hier verschafften sich Hacker Zugriff auf das Unternehmensnetzwerk, indem ein VPN-Account, der eigentlich nicht mehr benutzt wurde, für den Einbruch missbraucht werden konnte. Das dazugehörige Passwort taucht im Darknet auf und der Account war nicht vorschriftsmäßig gelöscht worden. Die Folge war ein Ransomware-Angriff, der eine ganze Erdölpipeline in den USA lahmlegte. 

5. Übermäßige Komplexität als Risiko

Sicherheitsrichtlinien und Vorsichtsmaßnahmen sind in der Cloud nicht zu unterschätzen. Gleichzeitig führt eine überkomplexe Infrastruktur, aufwändige Workloads für die Authentifizierung sowie eine nicht intuitive User Experience für die Cybersicherheit dazu, dass Mitarbeiter nachlässig werden. Um den persönlichen Aufwand gering zu halten, versuchen sie Prozesse zu umgehen, nutzen schwache oder sich wiederholende Passwörter und legen Login-Daten ungesichert in Dokumenten auf ihrem Computer – oder noch schlimmer in der Cloud – ab. Wo immer möglich, sollten Unternehmen daher versuchen, Dateneingaben bestmöglich zu eliminieren. Das gilt nicht nur für Passwörter, sondern auch für E-Mail-Adressen, Telefonnummern oder auch einfach nur den Login-Namen. Wir entsperren heute täglich unsere Smartphones per Gesichtserkennung, warum nicht auch unsere Firmencomputer? Technisch ist das längst möglich. Dennoch ist hier Vorsicht geboten und Unternehmen sollten sich intensiv mit der dahinter liegenden Technologie der Anbieter beschäftigen. So muss beispielsweise sichergestellt werden, dass die zugrunde liegenden Credentials für die Authentifizierung der Nutzer entsprechend separat und am besten dezentral vorgehalten werden.

Fazit

Die Cloud lockt mit dem Versprechen der Erleichterung unserer Arbeit. Gleichzeitig kann sie der Ursprung mannigfaltiger Gefahren sein – Gefahren, denen sich Unternehmen zum Teil überhaupt nicht bewusst sind. Daher gilt für die Cloud-Sicherheitsstrategie: Vertraue niemandem. Und das gilt nicht nur für Nutzer und ihre Befindlichkeiten, sondern auch für die Cloud selbst.

Al Lakhani, Gründer und CEO
Al Lakhani
Gründer und CEO, IDEE GmbH
IDEE GmbH bietet Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.

Artikel zu diesem Thema

Cloud Security
Mai 14, 2021

Was ein CISO und ein „Hacker“ wirklich über Cloud-Security denken

Die Nutzung der Cloud für die Infrastruktur Ihres Unternehmens – egal ob hybrid oder…
Identity
Mai 11, 2021

Zero-Trust-Network: Die Identität als neues Sicherheitsperimeter

Zero-Trust-Modelle stehen aktuell hoch im Kurs und basieren auf einem einfachen Prinzip:…
Cloud Computing
Mai 05, 2021

Cloud Operations Center

Wie Corporate IT die Wettbewerbsfähigkeit von Unternehmen in der Hybrid- und Multi-Cloud…

Weitere Artikel

Cyber Security

Cyberangriffe nehmen zu: Was IT-Sicherheit mit Corona-Maßnahmen gemeinsam hat

Cyberangriffe sind während der Corona-Pandemie gestiegen. Angreifer nutzen unter anderem Sicherheitsschwachstellen im Home-Office aus, warnt der Spezialist für Unternehmensresilienz CARMAO GmbH.
Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.