Cloud security

Top 6 der Cloud-Security-Herausforderungen im Jahr 2021

Rachid Groeneveld
Placeholder for Rachid GroeneveldRachid Groeneveld

Rachid Groeneveld , Security consultant , Nomios Niederlande

5 min. Lesezeit
Placeholder for Roundabout road carsRoundabout road cars

Share

Im Bereich der Security für Cloud-Umgebungen ist eine ganz eine Klasse von Herausforderungen zu bewältigen. Welche Ihr Unternehmen konkret angehen muss, hängt von der Art der verwendeten Cloud Services ab. Für öffentliche, private und hybride Clouds sind jeweils spezifische Anforderungen zu berücksichtigen. Zur Vereinfachung beschränken wir uns auf Cloud-bezogene Sicherheitsherausforderungen, mit denen Unternehmen mit besonders hoher Wahrscheinlichkeit konfrontiert werden.

Cloud-Security-Herausforderung Nr. 1: Verwaltung komplexer Umgebungen

Die IT-Infrastrukturen moderner Unternehmen bestehen heute in der Regel aus einer Mischung von Multi-Cloud- beziehungsweise Hybrid-Cloud-Umgebungen, verteilt über mehrere Länder. Dies gilt insbesondere für Unternehmen, die in einem globalen Umfeld operieren. Solche Umgebungen vollständig zentral zu verwalten, ist nicht einfach, insbesondere im Bereich der Security.

Es werden Werkzeuge benötigt, mit denen sich die Merkmale der vielen unterschiedlichen eingesetzten Systeme souverän handhaben lassen – in manchen Fällen auch über Kontinentgrenzen hinweg. In derartigen Konfigurationen kann viel schief gehen. Deshalb ist es wichtig, dass Sie Werkzeuge verwenden, auf deren Sicherheit im Einsatz Sie sich verlassen können.

Schon eine einzige falsch konfigurierte Einstellung kann dazu führen, dass ein böswilliger Akteur Ihre Verteidigungsmaßnahmen überwindet. Und dieser eine Durchbruch wird ihm reichen. Ihre Verteidigung muss also rund um die Uhr einsatzbereit sein, denn jeder einzelne Fehler könnte ausgenutzt werden.

Cloud-Security-Herausforderung Nr. 2: Einhaltung von Regeln und Vorschriften

In den USA gilt das HIPAA-Gesetz (Health Insurance Portability and Accountability Act). In Kalifornien das CCPA-Gesetz (California Consumer Privacy Act). In der EU gibt es die Datenschutzgrundverordnung (DSGVO).

Einzelne oder mehrere dieser Gesetze müssen auch Sie einhalten, abhängig von Ihrem Unternehmen, Ihrem Tätigkeitsort und von der Art der verarbeiteten Daten. Gesetze des genannten Typs verpflichten häufig zur Offenlegung von Datenschutzverletzungen und weisen Ihnen die Verantwortung für die sichere Speicherung von Daten zu.

Geldbußen bei Verstößen gegen die DSGVO können bis zu einer Höhe von 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes verhängt werden. Auch die HIPAA-Bußgelder sind mit bis zu 25.000 USD pro Verstoßkategorie und Kalenderjahr recht hoch. Keines der genannten Risiken möchten Sie eingehen. Das Internet vergisst bekanntlich nicht. Schäden für Ihre Marke werden also noch jahrelang nachwirken.

Es ist deshalb gut, Tools auszuwählen, die Ihnen uneingeschränkte Kontrolle über Ihre Umgebung ermöglichen, egal ob es sich um eine einzelne öffentliche Cloud, eine einzelne private Cloud, eine Multi-Cloud- oder eine Hybrid-Cloud-Umgebung handelt.

Cloud-Security-Herausforderung Nr. 3: Ihr Unternehmen ist eine leichte Beute

In der schnelllebigen Softwarewelt von heute werden Zero-Day-Exploits für ein kleines Vermögen verkauft. Öffentlich bekannte Bugs werden zur Jagd auf Software eingesetzt, die nicht innerhalb weniger Tage nach der Veröffentlichung der Bugs aktualisiert wird. In dieser Welt ist Ihr Unternehmen eine leichte Beute.

Unabhängig davon, welche Art von Cloud-Umgebung Sie betreiben, werden böswillige Akteure Zugang zu Ihren sensiblen Daten haben wollen, um diese zu verkaufen, um einschlägige Berühmtheit zu erlangen oder sogar um Dritte zu erpressen. Was auch immer Angreifende suchen: sie wissen, wo sie es finden können, sie haben alle Zeit der Welt, um verschiedene Möglichkeiten auszuprobieren, und sie müssen nur einmal erfolgreich sein.

Zum Beispiel könnten sie versuchen, durch die Installation von Malware einen „Fuß in die Tür“ zu bekommen, und dazu gezielt Ihre Teammitglieder oder Ihre Lieferanten mit Phishingmethoden angreifen. Sie könnten Konten einzelner Mitarbeiterinnen und Mitarbeiter übernehmen, die möglicherweise für alle ihre Konten das gleiche einfache Passwort verwenden, das bei einer Veröffentlichung der Daten eines zurückliegenden erfolgreichen Hacks bekannt wurde. Derzeit gehen einige böswillige Akteure sogar dazu über, weitreichende Lieferkettenangriffe zu unternehmen.

Kurz: die Situation ist nicht gerade einfach. Deshalb brauchen Sie die besten Tools, um Ihre Cloud-Umgebung zu sichern.

Placeholder for Barcelona streets from aboveBarcelona streets from above

Cloud-Security-Herausforderung Nr. 4: Mangelnde Sichtbarkeit

Wir haben bereits die immense Aufgabe diskutiert, Ihre Cloud-Umgebung sicher zu halten. Und dass es nicht einfach nur darum geht, ein weniger komplexes Umfeld zu schaffen.

Je größer und älter ein Unternehmen ist, desto mehr müssen Sie mit bestimmter Legacy-Anwendungen und bestimmten Prozessen arbeiten, die sich nicht 1:1 in die neuen Cloud-Tools integrieren lassen, mit denen Sie mittlerweile Ihr Unternehmen schützen.

Ihre Umgebung kann schnell so überwältigend komplex werden, dass sowohl das große Ganze als auch die Detailinformationen aus dem Blick geraten.

Von diesem Punkt an geht es bergab. Denn dieser Mangel an Übersicht und Einblick bedeutet, dass man nicht alles auf dem neuesten Stand halten kann und nicht weiß, was falsch konfiguriert ist und was nicht.

Um die Kontrolle wiederzuerlangen, benötigen Sie detaillierte Einblicke in alle Assets innerhalb Ihrer Cloud-Umgebung.

Cloud-Security-Herausforderung Nr. 5: Zu weit reichende Berechtigungen für Benutzer

Rollen und Berechtigungen werden von Softwareanbietern in der Regel möglichst weitreichend konfiguriert, weil sie ihre Produkte möglichst benutzerfreundlich halten wollen. Wenn Sie die Berechtigungen nicht verfeinern oder wo immer möglich neu konfigurieren, haben bestimmte Benutzer oder Rollen wahrscheinlich zu viele Berechtigungen.

Sie werden sicherlich nicht wollen, dass unerfahrene Benutzer viel Schaden anrichten können, indem sie zum Beispiel Datenbankbestände löschen oder wichtige Sicherheitseinstellungen ändern.

Diese Risiken bestehen bis hinunter zur Ebene der einzelnen Endgeräte. Ein Vertriebspraktikant sollte kein Benutzerkonto mit Administratorrechten auf seinem Laptop erhalten, weil dies sehr großen Schaden anrichten kann.

Cloud-Security-Herausforderung Nr. 6: Schwach geschützte Zugangsmöglichkeiten

Bei normalen Benutzern und ihren Endgeräten können schwach geschützte Zugriffsmöglichkeiten ein Problem sein. Was könnte zum Beispiel passieren, wenn ein Praktikant sich im Urlaub in Thailand aufhält und sich über einen betrügerischen Zugangspunkt anmeldet, den er mit dem öffentlichen Flughafen-WLAN verwechselt? Wenn für sein Konto keine Zwei-Faktor-Authentisierung aktiviert ist, hat der Betreiber des betrügerischen Zugangspunkts jetzt den gleichen Zugriff auf Ihr Unternehmen wie der Praktikant.

Vielleicht haben Sie Glück, und der Betreiber weiß nichts mit den Anmeldedaten anzufangen. Erbeutete Benutzernamen und Passwörter werden heutzutage allerdings häufig online an Interessenten weiterverkauft, die dann möglicherweise sehr wohl Schaden anrichten wollen.

Von Passwörtern gehen ganz generell echte Sicherheitsrisiken für Unternehmen aus. Laut dem Data Breach Investigations Report 2021 von Verizon sind mehr als 80 % der Sicherheitsverletzungen auf schwache Passwörter oder gestohlene Anmeldedaten zurückzuführen. Deshalb ist es wichtig, sichere Passwörter zu verwenden und vorzugsweise Multi-Faktor-Authentifizierung (MFA). In diesem Blog werde ich das Thema Passwörter diskutieren und einige konkrete Ratschläge zu einem guten Umgang mit Passwörtern geben.

Schützen Sie Ihre Cloud

Sie möchten wissen, wie Sie Ihre Cloud-Umgebung (besser) absichern können? Wir bieten diverse Services und Tools zum Schützen Ihrer Cloud an, darunter CASB und Managed SD-WAN.

Registrieren Sie sich für unseren Newsletter

Erhalten Sie die neuesten Security-News, Einblicke und Markttrends direkt in Ihren Postfach.

Updates

Weitere Updates