Die Cloud ist in den deutschen Unternehmen angekommen. Denn die Vorteile des Cloud Computing überzeugen: Standortunabhängig kann die IT-Infrastruktur komplett ausgelagert und auch über größere Distanzen verwaltet werden. Obwohl sich einiges beim Thema Cloud-Sicherheit getan hat, stellen Cloud-Dienste weiterhin ein lukratives Ziel für Cyberkriminelle dar, die es auf geschäftskritische Daten abgesehen haben.
Wer hat Angst vor der Cloud?
Man könnte meinen, je größer der Cloud-Anteil in der eigenen IT, umso weniger Sorgen muss man sich um die Sicherheit machen - schließlich muss sie nicht selbst On-Premises verwaltet werden, oder? Ganz so leicht ist es nicht. Eine aktuelle Studie von PwC fasst zusammen: Cloud-Dienste sind im Visier der Cyberkriminellen. Laut der Befragung befürchten 35 Prozent der deutschen Unternehmen, dass Exploits (Ausnutzung von Sicherheitsproblemen) von Cloud-Komponenten signifikant zunehmen werden.
Auch wenn sich Unternehmen in Deutschland recht zuversichtlich äußern und jedes vierte Unternehmen sich vor diesen Cyber-Risiken abgesichert meint, bleiben Cloud-Services ein potenzielles Risiko und beliebtes Einfallstor. Im Global Digital Trust Insights 2023 von PwC wird auch deutlich, dass zwar 56 Prozent der befragten Unternehmen in Deutschland ihre Cybersicherheits-Budgets erhöht, aber 24 Prozent sie gesenkt haben. Angesichts der ansteigenden Sicherheitsvorfälle sind die sinkenden Budgets für Cybersicherheit besorgniserregend. Wo bestehen nun die eigentlichen Fallstricke, die Unternehmen weltweit Millionen an Schaden verursachen?
Wo lauert die Gefahr?
Während bei Angriffen auf On-Premises-Systemen vor allem Malware zum Einsatz kommt, nutzen Angreifer in der Cloud Fehlkonfigurationen, Zugriffskontrollen, gestohlene Zugangsdaten und Software-Schwachstellen aus, um sich Zugang zu Daten zu verschaffen. Datenschutzverletzungen, Fehlkonfigurationen sowie ungesicherte Schnittstellen sind die häufigsten Risiken beim Thema Cloud-Datenspeicherung.
Die größte Schwachstelle in einer Cloud-Umgebung ist auf falsch konfigurierte Konten und Software zurückzuführen. So können Fehlkonfigurationen zu überflüssigen Berechtigungen für Konten, unzureichender Protokollierung und anderen Sicherheitslücken führen, die gerne von Cyberkriminellen ausgenutzt werden.
Schnittstellen bzw. APIs (Application Programming Interfaces) werden immer häufiger in Unternehmen verwendet, da sie bequem Dienste miteinander verbinden und die alltägliche Arbeit erleichtern. Doch Änderungen an Zugriffsberechtigungen oder offene APIs, die Zugang auf sensible Daten ermöglichen, können das Risiko für eine Sicherheitslücke erhöhen.
Das kleine 1x1 für den MSP beim Thema Cloud
Die folgenden sechs Punkte sollten allem Managed Service Providern aus regelmäßigen Sicherheitsschulungen geläufig sein, dennoch dient dieser kurze Leitfaden als Denkzettel für die Cyber-Sicherheitsbeauftragten und sollte regelmäßig kritisch reflektiert und akribisch im Unternehmen umgesetzt werden:
1. Die Sicherheitskultur stärken
Auch die sichersten Cloud-Plattformen sind nur so stark, wie die User, die sie bedienen. Daher ist der Mensch als potenzielles Einfallstor zu verstehen, das durch Schulungen und regelmäßige Prüfung abgesichert wird.
Noch heute fallen Mitarbeiter auf vermeintlich seriös wirkende Mails herein, geben persönliche und firmeninterne Informationen weiter oder schreiben sich mehrfach genutzte Passwörter im Klartext sichtbar auf. Auch außerhalb des Arbeitsplatzes, wie in den sozialen Medien, können Informationen abliegen, die Angreifer sich zum Erraten von Passwörtern, Antworten auf Geheimfragen oder Social Engineering-Methoden zunutze machen können. Darüber hinaus stellt die Nutzung privater Geräte oder ungesicherter, öffentlicher WLAN-Netzwerke ein Sicherheitsrisiko dar, das nur durch eine intakte Sicherheitskultur im Unternehmen umgangen werden kann.
2. Patchen, Patchen, Patchen
Das Patchen von Software ist sowohl innerhalb als auch außerhalb der Cloud unabdingbar, da veraltete Anwendungen Einfallstore für Eindringlinge oder Exploits bieten können. Obwohl der Cloud Service Provider für die Aktualisierung der Software in seinen eigenen Rechenzentren verantwortlich ist, sollte lokal installierte Software ebenfalls immer auf dem aktuellsten Stand sein. Mit Blick auf IT-Teams, die für zahlreiche Updates auf vielen Rechnern verantwortlich sind, wie es beispielsweise bei Managed Service Providern der Fall ist, ist die Verwendung eines Patch-Management-Tools eine effiziente Lösung, um den Prozess der Aktualisierung durch Automatisierung zu erleichtern.
3. Konfigurieren der Datenschutzeinstellungen
Wenn man sich für einen Cloud-Service registriert, werden häufig Standard-Datenschutzeinstellungen festgelegt, die zum Beispiel die Datenweitergabe sowie den -zugriff betreffen. IT-Verantwortliche sollten regelmäßig überprüfen, ob diese Einstellungen auf dem neuesten Stand sind und sie gegebenenfalls anpassen. Oft werden die Einstellungen zu Beginn vorgenommen und dann nie wieder überprüft, obwohl sich seit der Einrichtung der Cloud oder einer Cloud-Software im Unternehmen sicherlich viel verändert hat.
4. Passwortpflege und Multifaktor-Authentifizierung (MFA)
User sollten dazu ermutigt werden, bei der Nutzung von Cloud-Diensten wirklich sichere und einmalige Passwörter für all ihre Konten zu wählen. Dies ist besonders wichtig, da Cloud-Dienste so konzipiert sind, dass jeder mit den richtigen Anmeldedaten darauf zugreifen kann - was zwar einer der wesentlichen Vorteile der Cloud ist, aber auch zu einem gravierenden Nachteil in Sachen Cybersicherheit werden kann. Denn eine beachtliche Mehrheit erfolgreicher Cyberangriffe wird erst durch schwache Passwörter ermöglicht.
Neben der Verwendung sicherer Passwörter trägt auch die Multifaktor-Authentifizierung erheblich zur Cloud-Sicherheit bei. Ohne das registrierte Gerät kommt ein Angreifer auch mit den korrekten Login-Daten nicht an das betroffene Benutzerkonto ran. Daher schadet es nicht, eine regelmäßige Überprüfung der aktiven Multifaktor-Authentifizierung durch die IT-Verantwortlichen oder - noch besser - durch einen externen IT-Security-Dienstleister durchzuführen.
5. Verschlüsselung heißt Cloud-Sicherheit
Ein Grundpfeiler der Datensicherheit in der Cloud ist die klassische Verschlüsselung: Durch die Anwendung von Ende-zu-Ende-Verschlüsselung wird gewährleistet, dass Angreifer oder unbefugte Dritte, einschließlich des Cloud-Anbieters, die Daten nicht missbrauchen können - selbst wenn sie auf deren Systemen gespeichert sind. Sind die Daten sowohl in der Cloud als auch auf den involvierten Rechnern durch den Cloud-Dienst verschlüsselt? Sowohl bei Übertragung als auch im Ruhezustand? Dies ist ein wichtiger Aspekt, um sicherzustellen, dass vertrauliche Informationen geschützt und vor unautorisiertem Zugriff sicher sind.
6. Virenschutz
In der Vergangenheit war ein Anti-Viren-Programm bereits der Hauptbestandteil einer Sicherheitsstrategie. Heutzutage sind Cyberangriffe so durchdacht, komplex und professionell, dass ein reines Anti-Viren-Programm als alleiniger Schutz bei Weitem nicht ausreicht. Dennoch sollte es nicht unterschätzt werden, denn es bildet weiterhin einen fundamentalen Aspekt eines umfassenden Cybersicherheitsplans. Denn auch Anti-Viren- und Anti-Malware-Programme werden stetig verbessert und mit aktuellen Technologien wie künstlicher Intelligenz und Machine Learning ausgestattet.
Sicherheit der Daten in der Cloud
Europäische und vor allem auch deutsche Unternehmen haben den Vorteil, dass bereits strenge gesetzliche Verordnungen für den Datenverkehr und in Bezug auf personenbezogene Daten in Kraft sind. Trotzdem kommt es immer wieder zu Sicherheitsvorfällen - auch in Verbindung mit der Cloud. Hierbei kommt das Modell der geteilten Verantwortung zu tragen, meistens sind sowohl der Cloud-Anbieter wie auch sein Kunde für die Sicherheit der Daten in der Cloud verantwortlich. Nicht nur die Wahl des passenden Cloud-Anbieters ist also entscheidend, sondern auch ein zusätzlicher Schutz in Form von leistungsstarken IT-Management-Tools mit Funktionen, die speziell für die Sicherung von lokalen und vor allem in der Cloud gespeicherten Daten entwickelt wurden.
Mehr vom Autor:
Managed Services-Verträge
Vertrieb von Managed Services
In 6 Schritten den Fachkräftemangel beseitigt
New Commerce Experience (NCE) von Microsoft
Die 4 großen Risiken für Managed Service Provider
Neue Chancen für den Channel