Der aktuellen Cloud-Security-Threat-Report von Symantec legt nahe, dass die Cloud-Sicherheit durch unzureichende Sicherheitspraktiken, überforderte IT-Mitarbeiter und riskantes Nutzerverhalten beeinträchtigt wird. In Deutschland geben 53 Prozent an, dass ihre Cloud-Sicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloud-Anwendungen Schritt zu halten. Ein Problem ist das »Oversharing«: Zuviel Daten landen in der Cloud.
Symantec Cloud Security Threat Report: Die Cloud-Sicherheit ist beeinträchtig (Grafik: Symantec).Für seinen neuen Cloud Security Threat Report (CSTR) hat Sicherheitsexperte Symantec 1.250 Security-Entscheider weltweit befragt. Demnach haben Unternehmen mit der rasanten Expansion der Cloud zu kämpfen. Prekär, da 53 Prozent aller Workloads bereits in die Cloud migriert sind, und gleichzeitig mehr als die Hälfte der Unternehmen der Meinung ist, dass die IT-Sicherheit nicht mit der Einführung der Cloud Schritt halten kann.
So ergab die Symantec-Studie, dass deutsche Unternehmen im Durchschnitt 436 Cloud-Apps verwenden, insgesamt werden 1.807 Apps genutzt. Erstere seien durch unausgereifte Praktiken bedroht, zu denen schlechte Konfiguration, fehlende Verschlüsselung oder Multi-Faktor-Authentifizierung (MFA) gehören. Unternehmen seien daher einem erhöhten Risiko von Insider-Bedrohungen ausgesetzt. Diese stuften die Befragten immerhin als drittgrößte Bedrohung für die Cloud-Infrastruktur ein, allerdings implementieren 65 Prozent der Firmen MFA in IaaS-Konfigurationen nicht, 80 Prozent verwenden keinerlei Verschlüsselung.
Komplexität fordert ihren Tribut
Wichtige Erkenntnis der Studie, Unternehmen speichern ihre Daten in mehr als einer Umgebung (Grafik: Symantec).Die Einführung der Cloud führt zu einer höheren Komplexität, wie die IT unter anderem in der Public-Cloud, Private-Cloud, Hybrid oder On-Premise bereitgestellt wird und wo die Daten gespeichert sind. Ein Großteil (64 Prozent) der Security-Vorfälle weltweit tritt auf Cloud-Ebene auf. Mehr als die Hälfte der Befragten gab zu, dass sie mit der Zahl der Vorfälle nicht Schritt halten können. 83 Prozent sind überzeugt, dass sie keine Prozesse etabliert haben, um bei Cloud-Sicherheitsvorfällen effektiv zu handeln. IT-Teams seien damit schlicht überfordert: laut dem Report finden 27 Prozent der Cloud-Sicherheitswarnungen in deutschen Firmen keine Beachtung.
Nico Popp, Senior Vice President Cloud & Information Protection bei Symantec, erklärt dazu: »Datenschutzverletzungen können das Geschäftsergebnis signifikant beeinträchtigen. Sicherheitsteams bemühen sich daher, dies zu verhindern. Unser CSTR 2019 zeigt, dass es nicht die zugrundeliegende Cloud-Technologie ist, die das Problem der Datenschutzverletzung verschärft – es sind vielmehr unzureichende Sicherheitspraktiken, überlastete IT-Mitarbeiter und das riskante Nutzerverhalten im Zusammenhang mit der Einführung der Cloud.«
Risiken durch Nutzerverhalten und Oversharing
Eine der größten Herausforderungen für Sicherheitsteams ist das wachsende riskante Nutzerverhalten. Die weltweiten Studienteilnehmer geben an, dass fast jeder dritte Mitarbeiter ein riskantes Verhalten in der Cloud aufweist. 85 Prozent der Befragten wenden offenbar keine optimalen Sicherheitsverfahren an. Zu den gängigen riskanten Verhaltensweisen zählen Nutzer mit schwachen Passwörtern (40 Prozent), schlechter Passwortverwaltung (35 Prozent), unbefugte Nutzung von Cloud-Anwendungen (34 Prozent) und unsichere Verbindungen zu persönlichen Endgeräten (33 Prozent).
Infolge dieses risikoreichen Verhaltens werden sensible Daten häufig unsachgemäß in der Cloud gespeichert. Unternehmen sind damit anfälliger für Datenschutzverletzungen; 93 Prozent der Befragten geben an, dass übermäßiges Teilen von Daten und Inhalten, sogenanntes »Oversharing«, ein Problem ist. Sie schätzen, dass ein Drittel der Dateien nicht in der Cloud abgelegt werden sollten.
In Deutschland gehen die Befragten davon aus, dass sogar 40 Prozent der Dokumente nicht in die Cloud gehören.
Neu-Kalibrierung der Cloud-Sicherheit gefordert
Entsprechend schlussfolgert Symantec, dass sich viele Firmen nicht ausreichend mit den Cloud-Sicherheitsrisiken auseinandersetzen. Dazu gehöre auch ein höheres Risiko von Datenschutzverletzungen. Entsprechend werden Investitionen in Cloud-fähige Cyber-Sicherheitsplattformen, die Automatisierungsprozesse und künstliche Intelligenz nutze. Da sich Cyber-Security jedoch zunehmend auf den Geschäftserfolg auswirke, müsse die bisherige Handhabung neu zu kalibriert und Sicherheits-Best-Practices auch auf Mitarbeiter-Ebene angewendet werden.
»Die Einführung neuer Technologien führte in der Vergangenheit fast immer zu Sicherheitslücken«, meint Symantec-Manager Popp. »Wir haben festgestellt, dass die durch Cloud-Computing entstandenen Lücken angesichts der Vielzahl geschäftskritischer Daten, die in der Cloud gespeichert werden, ein größeres Risiko darstellen als zuvor angenommen. Unsere Untersuchungen zeigen, dass 69 Prozent der Unternehmen weltweit (71 Prozent in Deutschland) der Meinung sind, dass ihre Daten bereits im Dark Web zum Verkauf stehen. Sie befürchten auch ein erhöhtes Risiko von Datenschutzverletzungen aufgrund ihrer Cloud-Migration.«
Die wichtigsten Ergebnisse im Überblick:
- 71 Prozent der befragten Unternehmen in Deutschland erlebten einen Sicherheitsvorfall aufgrund unzureichender Sicherheitspraktiken.
- 93 Prozent berichten über Probleme bei der Kontrolle von Cloud-Workloads.
- In Deutschland sind 78 Prozent der Befragten der Meinung, dass sie nicht über geeignete Prozesse verfügen, um bei Sicherheitsvorfällen in der Cloud effektiv zu handeln und 27 Prozent der Cloud-Security-Warnungen werden nicht an die richtigen Stellen adressiert.
- 93 Prozent sagen, dass Oversharing ein Problem ist und schätzen, dass ein Drittel der vorhandenen Dateien nicht in Cloud gespeichert werden sollten.
Der Cloud Security Threat Report 2019 von Symantec vergleicht Tatsachen sowie Wahrnehmungen der Cloud-Sicherheit und stellt diese in Relation zueinander. Der Bericht basiert auf Daten einer externen Marktstudie mit 1.250 IT-Entscheidern in elf Ländern weltweit und verschiedenen Security-Telemetrien, die Symantec über Cloud, E-Mail, Web Security Services, Threat Intelligence und andere intern verwaltete Datenquellen durchführte.
.