Die IDG-Studie „Cloud Security 2021“ hat ergeben, dass 39 Prozent der Firmen mit 500 bis 999 Beschäftigten, die cloudbasierte Dienste nutzen, wirtschaftliche Schäden durch Hacker-Angriffe erlitten haben – ebenso wie 51 Prozent der Unternehmen, die mehr als zehn Millionen jährlich in ihre IT-Infrastruktur investieren. Darum ist Cloud Security auf Entscheider-Ebene zu priorisieren. Denn oft scheitern Projekte am fehlenden Dialog zwischen IT und Management.
Es dauert durchschnittlich 100 Tage, bis Unternehmen eingedrungene Hacker bemerken. In dieser Zeit können sie großen Schaden anrichten. Dass Firmen ihre Systeme, Daten und Geräte nicht ausreichend schützen, scheint vier grundsätzliche Fehlannahmen hinsichtlich Cloud-Sicherheit als Ursache zu haben:
1. IT-Sicherheit ist Sache des Cloud Providers
Cloud-basierte Dienste von einem Hyperscaler zu beziehen, entbindet Unternehmen nicht von ihrer Eigenverantwortung. Gemäß Shared-Responsibility-Ansatz haben sie selbst bis zu einem gewissen Grad für den nötigen Schutz zu sorgen: Data Governance sicherstellen, Endgeräte schützen sowie Zugriffs- und Nutzungsrechte verwalten.
2. Cloud-Lösungen lassen IT-Silos verschwinden
Sind Systeme nicht verknüpft, lässt sich das Potenzial der Bestandsdaten nicht erschließen. Das gilt auch dann, wenn einzelne Fachbereiche ihre Systeme in der Cloud betreiben. Nutzt das Marketing eine Plattform, auf der es Assets systemübergreifend konsolidiert und vorhält, erhöht es als einzige Abteilung ihre Prozesseffizienz. Wenn andere Unternehmensbereiche ihre Systeme nicht mit der Plattform integrieren, entstehen neue Datensilos.
3. IT-Experten kennen sich mit Security aus
Die Cloud-Adaption ist sehr komplex. Entsprechend qualifiziert müssen die Mitarbeitenden sein. Denn IT-Experten sind nicht automatisch Security-Experten. Darum ist es ratsam, einen Dienstleister ins Boot zu holen. Er begleitet Firmen in die Cloud und passt die Security Tools der Hyperscaler an: Er definiert passende Security-Regeln, wählt geeignete Detection-Sensoren aus und erbringt Managed Detection and Response Services (MDR) in einem Cyber Defense Center (CDC).
4. Mitarbeitende schützen Unternehmensdaten
Es kann leicht passieren, dass Mitarbeitende sensible Informationen preisgeben (Social Engineering), Daten in einen ungeprüften Cloud-Speicher hochladen oder per Firmen-Kreditkarte online einkaufen. Gelangen die Daten auf US-Server, können das ernsthafte Compliance-Verstöße sein. Riskant sind auch Passwörter wie „123456“. Sind E-Mail-Konten in der Cloud unzureichend gesichert, können Hacker Mail-Adressen erzeugen und mit gängigen Passwörtern kombinieren (Password Spraying). Daneben gibt es kostenlose Cloud-Dienste, wie etwa PDF-Converter, bei denen Anbieter die Inhalte auswerten. Darum gilt: nur sichere Tools freischalten, die Belegschaft sensibilisieren und sie befähigen, Cloud-Dienste reflektiert zu nutzen (Cloud Governance).
Damit die Cloud-Migration kein Sicherheitsrisiko wird, gibt es verschiedene Lösungsansätze:
1. Individualisierung von Standard-Lösungen
Die Lösungen der Hyperscaler bieten standardmäßig viele Tools und Konfigurationsmöglichkeiten – von Web Application Firewalls, Vulnerability Management und Cloud Security Posture Management über Extended Detection and Response (XDR) bis hin zu Zero Trust und vielem mehr. Wenn Firmen diese Lösungen an ihren Bedarf anpassen (lassen) oder generell Cloud-Lösungen entwickeln (lassen), ist der Infrastructure-as-Code-Ansatz (IaC) sinnvoll. IaC ermöglicht, Security-relevante Features im Quellcode zu hinterlegen und abgesicherte Infrastruktur-Templates zu duplizieren.
2. Etablierung von Cloud Security als Geschäftsprozess
Zudem sind Assets und Systeme lückenlos zu inventarisieren:
- Welche Plattformen gibt es?
- Wer ist Business Owner?
- Wer administriert welche Plattform?
- Wo soll ein Patch erfolgen?
- Welche Daten gelangen auf welche Plattform?
- Woher kommen sie?
- Wohin fließen sie?
- Wie?
- Und warum?
Den Status aller Cloud-Anwendungen zu kennen, ist unabdingbar. Nur so lässt sich Cloud-Sicherheit als Business-Prozess verstehen, der mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen, kontinuierlich zu optimieren und regelmäßig zu auditieren ist. Da es möglich ist, Cloud-Anwendungen täglich oder gar stündlich zu scannen, lassen sich Schwachstellen zeitnah identifizieren und effektiv beseitigen.
3. Umsetzung von Zero Trust
Ältere Schutzmechanismen wie der Perimeterschutz via Firewall sind unzureichend, wenn Daten und Systeme in der Cloud liegen. Stattdessen sind alle Systeme und Endgeräte abzusichern – insbesondere dann, wenn sich Mitarbeitende außerhalb des Firmen-Netzwerks aufhalten, etwa im Homeoffice. Zero Trust muss zur gelebten Maxime werden: „Vertraue niemandem außerhalb und innerhalb deiner Organisation. Und verifiziere jeden.“ Doch Zero Trust ist keine freischaltbare Lösung, sondern ein individuelles Designprinzip, das sorgfältig umzusetzen ist.
4. Definition von Schutzzielen
Die Multi-Faktor-Authentifizierung ist eines von vielen Schutzzielen. Für die Bereitstellung von SaaS-Lösungen ist ein zweites Authentifizierungsmerkmal an allen Endpoints zu installieren. Dem Assume-Breach-Paradigma zufolge ist die Frage nicht, ob Unternehmen gehackt werden, sondern wann. Mit einer zweiten Identifizierungsstufe – einer SMS, einer App, einem Anruf oder einem Gerät –, lässt sich das Risiko verringern. Zudem empfiehlt sich bei BYOD-Szenarien (Bring Your Own Device) eine Null-Toleranz-Politik: Erfüllen private Endgeräte die Security-Vorgaben nicht, dürfen sie nicht mit dem Netzwerk verbunden sein. Ebenso ist zu überprüfen, ob das Patch Management im Homeoffice wirkungsvoll ist.
Das Asset im Mittelpunkt
Diese Maßnahmen verbindet zwei zentrale Fragen: Was darf mit Assets passieren? Und wer darf das tun? Diese Informationen sind auf einem Control Panel personenbezogen zu hinterlegen, um unautorisierte Zugriffe erkennbar zu machen.
- Wer ist eine Person?
- Welche authentifizierten Geräte nutzt sie?
- In welchem Zustand befindet sich ein Device?
- An welchen Orten hält sich die Person üblicherweise auf?
- In welchem Status befinden sich Konten und Profile der Person?
Ebenso spielt XDR eine große Rolle. XDR ermöglicht, Daten auf Security-Ebenen wie E-Mails, Geräten, Servern, Cloud-Workloads und Netzwerken automatisch zu erfassen und zu korrelieren. So können Firmen Bedrohungen schneller identifizieren und unmittelbar reagieren.
Dialog zwischen IT und Management – Fehlanzeige
Obwohl IT-Abteilungen um diese Aspekte wissen, sind viele Firmen auf dem Security-Auge blind. Manchmal weiß der CEO nicht, wie wichtig Cloud Security für den Geschäftsbetrieb ist. Und IT-Experten gelingt es zuweilen nicht, die Auswirkungen von Cyber-Attacken zu vermitteln: Dringen Hacker in die IT-Infrastruktur eines Industrieunternehmens ein, könnte die Produktion stillstehen – eine Folge, die Unternehmen bei ihren gewinnbringenden Kernprozessen trifft.
Security ist kein IT-Thema
Bei Gesprächen sollte die Technologie zunächst außen vor bleiben. Es geht darum, den Möglichkeiten der Cloud und der Komplexität von Cloud Security bewusst zu begegnen. Ist ein Service in die Cloud zu migrieren, stellt sich die Grundsatzfrage: Soll das bisherige On-Premises-Konzept in der Cloud abgebildet werden – einschließlich Wartung und Updates? Oder wäre es nicht sinnvoller, das digitale Produkt als Software-as-a-Service bereitzustellen und adäquat abzusichern? Wichtig ist der Produktionsbezug. Hängt der Erfolg eines Maschinenbauers daran, dass die Gabelstapler fahren, gibt es ein definiertes Risikomanagement: Die Firma hat fahrtüchtige Ersatzfahrzeuge, hält Wartungstermine ein und bevorratet genügend Schmierstoff. Diese Prozesse sind auf Cloud Security zu übertragen. Dafür müssen Unternehmen gängige Vorurteile ausräumen: Cloud-Sicherheit ist kein IT-Thema. Sie ist zunächst in der Unternehmensstrategie zu verankern und erst dann praktisch umzusetzen.