Die Dos and Don’ts der Enterprise Cloud Security

Zweifelsfrei sind die Vorteile der Cloud, wie etwa die ortsunabhängige Kollaboration durch SaaS-Lösungen, verlockend. Schließlich wäre ohne sie das “New Normal” inklusive Homeoffice für die meisten Berufe undenkbar.

Doch einfach blindlings die eigene Infrastruktur in die Cloud zu bringen und darauf zu hoffen, dass der Provider sich um alles Weitere kümmert, ist keine Option. Schließlich birgt die Cloud einige Herausforderungen für die Cybersicherheit, insbesondere in großen Unternehmen, die Tausende Mitarbeiter, Partner und Dienstleister koordinieren müssen. Immer dann, wenn Anwendungen und Daten die Grenzen des eigenen Netzwerks verlassen, entziehen sie sich auch ein Stück weit der Kontrolle durch die Unternehmen. Diese Tatsache müssen sich Unternehmen bewusst machen und bei Ihren Sicherheitskonzepten umdenken. Al Lakhani, Cybersecurity-Forensiker und Gründer von IDEE, dem Münchner Spezialist für sichere digitale Authentifizierung und Autorisierung, gibt Tipps zu den häufigsten Fehlern bei der Enterprise Cloud Security.

Anzeige

1. Standard-IAM-Lösungen der Cloud-Anbietern werden den Sicherheitsanforderungen oft nicht gerecht

Einmal in die Cloud und ab da kümmert sich der Anbieter um alles? Weit gefehlt, denn die Provider kümmern sich in erster Linie um die Sicherheit beziehungsweise die Stabilität der Cloud selbst. Das ist ihr Kerngeschäft und hier kann man dem Dienstleister durchaus Vertrauen entgegenbringen. Anders sieht es bei der Sicherheit innerhalb der Cloud aus. Zwar bieten die Provider auch hier Dienste für die Absicherung der Services sowie die Authentifizierung des Zugriffs an, doch diese Maßnahmen sind selten spezifisch und berücksichtigen oft nicht die speziellen Anforderungen der unterschiedlichen Branchen. Geschäftsanwendungen, in denen sensible Daten aus Europa verarbeitet werden, unterliegen etwa der DSGVO. Unternehmen, die strikte Compliance-Vorschriften erfüllen müssen, sollten sich daher selbst um das Identity & Access Management kümmern und die Sicherheitsmaßnahmen entsprechend ihrer branchenspezifischen Anforderungen und abgestimmt auf das eigene Geschäftsmodell definieren. 

Natürlich ist es bequem für die Nutzer, wenn sie sich über den Provider einer SaaS-Lösung, wie zum Beispiel Messaging oder einer EDV-Software, auch direkt anmelden oder einloggen können. Doch das macht den angebotenen Dienst zum Single-Point-of-Failure, besonders wenn mehrere Lösungen von dem gleichen Provider in Anspruch genommen werden. Zudem kommt hier das Problem der Insider Threats von Seiten des Cloud Providers zum Tragen. Selbst wenn Unternehmen ihre eigenen Mitarbeiter unter Kontrolle haben, so gilt das noch lange nicht für die Mitarbeiter eines Dienstleisters. Als 2020 die Social Media Plattform Twitter attackiert wurde, um einen Bitcoin Scam zu vollziehen, waren es nicht die Nutzer, die im Fokus der Angreifer standen sondern die Mitarbeiter des Anbieters selbst. 

2. Blindes Vertrauen in die Mitarbeiter

Mitarbeiter sind das schwächste Glied in der Sicherheitskette, das ist kein Geheimnis. Oft sind es nicht einmal die böswilligen Mitarbeiter, die dem Unternehmen schaden, sondern diejenigen, die nicht sensibilisiert beziehungsweise trainiert wurden, um Phishing und Co. zu widerstehen. Daher sollte besonders in der Enterprise-Cloud keinem Gerät und keinem Nutzer blind vertraut werden. Zudem gilt in Cloud mehr denn je das Prinzip der Nachweisbarkeit: Gerade bei sensiblen Transaktionen oder Änderungen an Daten sollten Unternehmen auf Lösungen setzen, die einen unveränderlichen Audit Trail gewährleisten, damit die Nachverfolgung gesichert und vor Manipulation geschützt ist. So schützen sich Unternehmen auch vor Hackern, die sonst möglicherweise unentdeckt über einen längeren Zeitraum im Unternehmensnetzwerk ihr Unwesen treiben und stets ihre Logfiles löschen. 

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Zero-Trust braucht kein Passwort

Zero-Trust-Architekturen werden immer beliebter und sind gerade im Kontext der Enterprise Cloud ein wichtiges Element der Cybersicherheit. Entscheidend dabei ist, dass sich Zero-Trust-Konzepte nicht darauf stützen, wo man ist, sondern wer man ist. In Zeiten des Remote Work ein nicht zu unterschätzender Faktor. Aber auch unabhängig davon, ob sich jemand im Netzwerk des Unternehmens befindet, wird bei Zero Trust nicht nur keinem Gerät vertraut, sondern jeglicher Zugriff muss verifiziert und autorisiert werden. 

Darüber hinaus ermöglichen Zero-Trust-Ansätze mehr Kontrolle für Unternehmen, indem sie etwa festlegen, wie lange eine Authentifizierung gültig ist. Was in erster Sekunde nach Aufwand für die Nutzer klingt, die sich ständig neu authentifizieren müssen – was bisher hieß, dass man sein Passwort immer und immer wieder eingeben muss – lässt sich dank moderne Lösungen auch ohne Passwörter umsetzen. Passwortlose Multi-Faktor-Authentifizierung in Kombination mit einem Sicherheitschip, der im Gerät des Nutzers (Smartphone oder PC) eingebettet ist, ist viel sicherer und benutzerfreundlicher, da ein Passwort leicht vergessen werden kann – während das Gerät in der Regel immer zur Hand ist. 

4. Access Controlling wird in der Cloud wichtiger

Dem Controlling kommt in großen Unternehmen ohnehin eine wichtige Rolle zu. Ständig gilt es, Prozesse und Schwachstellen zu analysieren und diese zu optimieren. Mit Blick auf die Cloud und die dort genutzt Ressourcen ist es an den Controlling-Verantwortlichen, die Zugriffe aller internen und externen Nutzer auf die Cloud-Infrastruktur regelmäßig zu überprüfen. Das betrifft jedoch nicht nur die Kostenoptimierung, die durch präzises Lizenzmanagement erreicht wird. 

Es geht auch darum, mithilfe eines Asset-basierten Risikomanagements die kritischen Daten und Systeme einer Risikobewertung zu unterziehen. Wo liegen unternehmensrelevante Daten und wer hat in welchem Umfang auf was Zugriff? Nur so kann vermieden werden, dass “Account-Leichen” zum Risikofaktor werden. Denn welche dramatischen Auswirkungen das haben kann, hat man unlängst am Beispiel der Colonial Pipeline Co. gesehen: Hier verschafften sich Hacker Zugriff auf das Unternehmensnetzwerk, indem ein VPN-Account, der eigentlich nicht mehr benutzt wurde, für den Einbruch missbraucht werden konnte. Das dazugehörige Passwort taucht im Darknet auf und der Account war nicht vorschriftsmäßig gelöscht worden. Die Folge war ein Ransomware-Angriff, der eine ganze Erdölpipeline in den USA lahmlegte. 

5. Übermäßige Komplexität als Risiko

Sicherheitsrichtlinien und Vorsichtsmaßnahmen sind in der Cloud nicht zu unterschätzen. Gleichzeitig führt eine überkomplexe Infrastruktur, aufwändige Workloads für die Authentifizierung sowie eine nicht intuitive User Experience für die Cybersicherheit dazu, dass Mitarbeiter nachlässig werden. Um den persönlichen Aufwand gering zu halten, versuchen sie Prozesse zu umgehen, nutzen schwache oder sich wiederholende Passwörter und legen Login-Daten ungesichert in Dokumenten auf ihrem Computer – oder noch schlimmer in der Cloud – ab. Wo immer möglich, sollten Unternehmen daher versuchen, Dateneingaben bestmöglich zu eliminieren. Das gilt nicht nur für Passwörter, sondern auch für E-Mail-Adressen, Telefonnummern oder auch einfach nur den Login-Namen. Wir entsperren heute täglich unsere Smartphones per Gesichtserkennung, warum nicht auch unsere Firmencomputer? Technisch ist das längst möglich. Dennoch ist hier Vorsicht geboten und Unternehmen sollten sich intensiv mit der dahinter liegenden Technologie der Anbieter beschäftigen. So muss beispielsweise sichergestellt werden, dass die zugrunde liegenden Credentials für die Authentifizierung der Nutzer entsprechend separat und am besten dezentral vorgehalten werden.

Fazit

Die Cloud lockt mit dem Versprechen der Erleichterung unserer Arbeit. Gleichzeitig kann sie der Ursprung mannigfaltiger Gefahren sein – Gefahren, denen sich Unternehmen zum Teil überhaupt nicht bewusst sind. Daher gilt für die Cloud-Sicherheitsstrategie: Vertraue niemandem. Und das gilt nicht nur für Nutzer und ihre Befindlichkeiten, sondern auch für die Cloud selbst.

Al

Lakhani

Gründer und CEO

IDEE GmbH

IDEE GmbH bietet Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyber-Forensik ist Al ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.