IT-Sicherheitsexperten stehen vor der Herausforderung, mit der zunehmenden Nutzung von Cloud-Diensten Schritt zu halten. EMA (Enterprise Management Associates) hat im Auftrag von Vectra eine internationale Studie durchgeführt, um herausfinden, wie IT-Sicherheitsexperten ihre Fortschritte hinsichtlich besserer Cloud-Sicherheitspraktiken einschätzen. [...]
Führungskräfte und Branchenkenner im Bereich der Cybersicherheit sagen gerne, dass Informationssicherheit in der Verantwortung eines jeden liegen sollte. Das gilt besonders, wenn es um Cloud-Sicherheit geht, angesichts der allgegenwärtigen Nutzung der Cloud im gesamten Unternehmen. Anwendungsentwickler, IT-Administratoren, Cloud-Administratoren, IT-Sicherheitsexperten und die Cloud-Anbieter selbst spielen alle eine Rolle bei der Gewährleistung der Sicherheit und des Datenschutzes von Unternehmensdaten, Anwendungen und Workloads in der Cloud.
Die schmerzliche Realität ist jedoch, dass die Nutzer von Cloud-Diensten allzu davon ausgehen, dass der Cloud-Betreiber für die Sicherheit ihrer Konten zuständig ist. Das Modell der geteilten Verantwortung besagt jedoch, dass der Provider die „Sicherheit der Cloud“ verantwortet und der Kunde die „Sicherheit in der Cloud“.
Wer ist nun intern für die Cloud-Sicherheit verantwortlich?
Je mehr Cloud-Anwendungen entstehen und je mehr Anwendungen von privaten Rechenzentren in die Cloud migriert werden, desto mehr stellt sich die Frage, welche Gruppen innerhalb der IT für die Absicherung dieser neuen Cloud-Assets verantwortlich sind. Sind es die Anwendungsentwickler, das IT-Sicherheitsteam oder das Infrastruktur-/Netzwerkbetriebsteam? Manche Unternehmen bilden sogar spezielle Cloud-Teams, die die Verantwortung für alle Aspekte der Verwaltung von cloudbasierten Assets übernehmen.
Die eindeutige Antwort darauf ist nicht unbedingt, dass das IT-Sicherheitsteam die Verantwortung trägt, obwohl dies für 46 Prozent aller Befragten in der EMA-Umfrage zutraf. So gaben weitere 28 Prozent an, dass eine separate Cloud-Operations-Gruppe diese Verantwortung in ihrem Unternehmen innehat. 9 Prozent sagten, dass das Netzwerkbetriebsteams in erster Linie für die Cloud-Sicherheit verantwortlich ist. 6 Prozent gaben an, dass die Verantwortung von zwei oder mehr Gruppen geteilt wird. Interessant ist, dass sich große Unternehmen etwas weniger auf die IT-Sicherheit verlassen, um Cloud-Assets zu sichern. Nur 39 Prozent der Befragten in diesen Unternehmen gaben an, dass das IT-Sicherheitsteam für die Cloud-Sicherheit zuständig ist. 29 Prozent wiesen diese Aufgabe einer Cloud-Operations-Gruppe und 13 Prozent dem Netzwerkbetrieb zu.
Welche Bedrohungen stellen das größte Risiko für die Cloud-Nutzung dar?
Die Teilnehmer der Umfrage sollten auch verschiedene Bedrohungen für cloudbasierte Assets nach der Größe des Risikos für ihr jeweiliges Unternehmen ordnen. Die meisten Befragten (16 Prozent) stuften den Datenverlust oder die Datengefährdung durch eine falsche Konfiguration als größtes Risiko ein, gefolgt von Datenexfiltration durch böswillige Außenstehende (14 Prozent). Als weitere Risiken waren Account-Hijacking (11 Prozent), eine fehlende Cloud-Sicherheitsarchitektur und -strategie (10 Prozent) sowie Insider-Bedrohungen (9 Prozent) die häufigsten Antworten.
Wie gehen Unternehmen bei der Cloud-Sicherheit vor?
Die Art und Weise, wie Unternehmen das Thema Cloud-Sicherheit angehen, ist seit Jahren ein Diskussionsthema in der IT-Sicherheit. Experten vertreten die Auffassung, dass Sicherheitsbeauftragte in die Anwendungsentwicklung einbezogen werden sollten, um die Erstellung von sichererem Cloud-Code zu gewährleisten. Ein Großteil der Diskussion konzentriert sich auf die Notwendigkeit eines kulturellen Wandels, der einen neuen Ansatz und andere Tools als bislang eingesetzt erfordert. Einige Unternehmen haben herausgefunden, dass es für sie am besten funktioniert, wenn das Anwendungsentwicklungsteam einen eigenen Anwendungssicherheitsingenieur beruft, der dann mit dem Sicherheitsteam des CISO zusammenarbeitet, um die Cloud-Sicherheit zu gewährleisten. Diese Rollenaufteilung, samt der erforderlichen Kommunikationskanäle, kann helfen, den notwendigen Kulturwandel im Unternehmen voranzutreiben.
Eine wichtige Rolle bei der Cloud-Sicherheit spielt die Automatisierung zur Absicherung von Cloud-Implementierungen. Um den Stand der Automatisierung in den Unternehmen zu ermitteln, hat EMA die Teilnehmer gefragt, welchen von fünf verschiedenen Automatisierungsgraden ihr Unternehmen bei der Absicherung der Cloud-Implementierungen erreicht hat. Die meisten Unternehmen befinden sich irgendwo zwischen dem geringsten Automatisierungsgrad, also der manuellen Verwaltung von Richtlinien und Prozeduren, und dem höchsten Automatisierungsgrad, bei dem die Automatisierung umfassend ist und alle unternehmensweit genutzten Cloud-Domains abdeckt.
Welche Sicherheitstechnologie ist gefragt?
Was die Sicherheitstools zur Absicherung von cloudbasierten Assets betrifft, scheint es, dass die Cloud-Sicherheit bei der Mehrheit der Befragten ein reiferes Niveau erreicht hat. Bestehende Sicherheitskontrollen, die in Rechenzentren vor Ort verwendet werden, behelfsmäßig auf cloudbasierte Assets anzuwenden, hat sich als ineffektiv erwiesen. Der größte Prozentsatz der Befragten gab an, dass ihre Unternehmen neuere Best-of-Breed-, Cloud-native Sicherheitskontrollen zum Schutz von Cloud-Anwendungen und Workloads einsetzen (35 Prozent). Diese sind dicht gefolgt von hybriden Sicherheitskontrollen, die sowohl interne Rechenzentren als auch die von Cloud-Anbietern umfassen (30 Prozent). Nur 20 Prozent aller Befragten gaben an, dass sie bestehende On-Premises-Sicherheitslösungen auf cloudbasierte Anwendungen und Workloads anwenden. Dieser Prozentsatz ist erfreulicherweise rückläufig und wird wahrscheinlich weiter sinken. Nur sieben Prozent der Sicherheitsteams verlassen sich auf proprietäre Sicherheitskontrollen verlassen, die von den einzelnen Cloud-Anbietern angeboten werden, um ihre Workloads und Anwendungen zu sichern.
Neuere Tools wie beispielsweise CSPM (Cloud Security Posture Management), die bei der Erkennung und Behebung von Fehlkonfigurationen in der Cloud helfen sollen, sind bei den befragten Unternehmen noch nicht weit verbreitet. Obwohl der Markt noch in den Kinderschuhen steckt, wird die CSPM-Technologie wahrscheinlich viel mehr Aufmerksamkeit erlangen, wenn die Unternehmen die größten Cloud-Bedrohungen in den Griff bekommen wollen. In dem Maße, in dem Unternehmen ihre Cloud-Sicherheitsfunktionen ausbauen, werden auch andere, differenziertere Erkennungs- und Reaktionstechnologien in den Blickpunkt rücken, um einen besseren Einblick in ihren eigenen Cloud-Datenverkehr zu erhalten.
Tatsächlich gaben 80 Prozent der Befragten an, dass sie wissen, dass die NDR-Technologie (Network Detection and Reaction) auf den Cloud-Datenverkehr angewendet werden kann. Von diesen Befragten sehen 48 Prozent den größten Vorteil von NDR in der Fähigkeit, Bedrohungen und Anomalien in Echtzeit zu erkennen, und 21 Prozent in der Erleichterung von Reaktionsmaßnahmen wie Untersuchung und Schadensbegrenzung.
Fazit
Sowohl die IT-Sicherheitsabteilungen der Unternehmen als auch die Cloud-Anbieter haben noch einen weiten Weg vor sich. Es geht darum, die richtigen Kontrollmechanismen, die richtige Verantwortungsstruktur und die optimalen Voraussetzungen zu schaffen, um sichere Konfigurationspraktiken für die Cloud-Nutzung zu etablieren. Zudem ist die richtige Kultur im Unternehmen entscheidend, um die optimale Sicherheit für cloudbasierte Assets umzusetzen.
*Andreas Müller ist Regional Sales Director DACH bei Vectra AI.
Be the first to comment