Public Cloud wird zur Normalität
Die Cloud löst in vielen Unternehmen zunehmend die etablierte IT-Umgebung ab. Daher betrachten Security-Experten Cloud-Sicherheit nicht länger als aufkommende Unterkategorie, sondern als zentrales Thema. Noch setzen viele Unternehmen auf die Hybrid Cloud. Doch immer mehr Entscheider sind von den Vorteilen der Public Cloud überzeugt und planen dorthin umzuziehen – oder in den Worten von Jerry Archer, CISO beim Finanzdienstleister Sallie Mae: „Wir wollen gar kein eigenes Rechenzentrum.“
Neue Schwachstelle: IaaS
Die Cloud-Nutzung hat sich über alle Bereiche hinweg rasant entwickelt. Am schnellsten wächst derzeit der Markt für Infrastructure as a Service (IaaS). 2017 wird er doppelt so stark zulegen wie der SaaS-Bereich, prognostizieren die Analysten von Gartner. Unternehmen aus allen Branchen – nicht nur Start-ups und große IT-Unternehmen – planen, ihre Eigenentwicklungen auf eine IaaS-Plattform zu verlagern – ein Prozess, der IT-Sicherheitsverantwortliche vor neue Herausforderungen stellt.
Bisher haben Unternehmen IaaS vorwiegend für Testzwecke genutzt. Wenn jetzt Produktivumgebungen in die Cloud wandern, werden erhebliche Compliance- und Sicherheitsfragen aufgeworfen. Denn die Public Cloud bietet meist nicht dieselben Kontrollfunktionen wie das eigene Rechenzentrum, und IT-Verantwortliche müssen zusätzliche Sicherheitsmaßnahmen ergreifen, um Daten ausreichend zu schützen.
Cloud-Provider setzen Sicherheitsstandards
Früher galt die Cloud als unsicher. Mittlerweile halten viele CISOs eine Cloud-Umgebung dagegen sogar für sicherer als das eigene Rechenzentrum. Cloud-Provider investieren deutlich mehr Ressourcen in die IT-Sicherheit als die meisten Unternehmen. Sie kennen die neuesten Angriffsvektoren und Risiken, indem sie Hunderte von Einsatzszenarien analysieren. Das haben die Präsentationen von Amazon, Google, Microsoft und anderen gezeigt. Doch während Cloud-Provider ihre Infrastruktur zuverlässig gegen Angreifer von außen absichern, sind Unternehmen hinsichtlich Compliance in der Cloud selbst in der Pflicht.
IoT birgt größere Risiken als nur gehackte Mixer
Die Mirai-Malware hat gezeigt, wie angreifbar IoT-Systeme sind. Die Schadsoftware hat Consumer-Geräte infiziert, in ein Bot-Netz eingebunden und für massive DDoS-Attacken missbraucht. Dabei nutzten die Hacker den einfachsten Angriffsweg: die vom Hersteller voreingestellten Zugangsdaten der Geräte. Viele Anwender verändern diese Default-Passwörter nicht. Der CISO von Caterpillar hat darauf hingewiesen, wie gefährlich solche Attacken auch für IoT-Systeme in der Industrie sein können. Nicht nur die Sensoren sind leichte Angriffsziele. Auch Attacken auf die Schaltzentrale bergen immense Risiken.
Fachkräftemangel in der IT-Security vergrößert sich
Eine der größten Herausforderungen der IT-Security ist der Fachkräftemangel. Fast alle Unternehmen haben Probleme, gute Spezialisten zu finden. Je mehr sich die IT in die Cloud verlagert, desto stärker ändern sich auch die Kompetenzen, die ein Sicherheits-Experte mitbringen muss. Datenanalysen, Applikationsentwicklung und Incident Response sind Fähigkeiten, die in den nächsten fünf Jahren zunehmend gefragt sind. Auch erfahrene IT-Profis müssen sich dahingehend weiterbilden.
Das größte Risiko lauert meist im Kleinen
Wer an die größten Bedrohungen denkt, hat oft maßgeschneiderte Malware oder Zero-Day-Exploits im Kopf. Doch die meisten Security-Experten sind in ihrem Alltag mit profaneren Gefahren konfrontiert. Die größten Risiken liegen häufig in der Cloud-Compliance, etwa wenn Mitarbeiter unachtsam mit sensiblen Daten umgehen oder ihre Computer-Umgebung angreifbar machen. Es lohnt sich, diese Schwachstellen anzugehen – hier zeigt sich der Return on Invest oft sehr deutlich. (hal)