Welche Cybersicherheit für die Cloud?

Jede Diskussion über die Cloud muss öffentliche und private Clouds sowie SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) miteinbeziehen. Und jeder dieser Cloud-Typen bringt seine eigenen Wirtschaftlichkeitsfaktoren und Risiken mit sich. [...]

Foto: SatheeshSankaran/Pixabay

Trotz der Allgegenwärtigkeit solcher Dienste werden Bedenken hinsichtlich der Datensicherheit in der Cloud zunehmend laut. Ein gewisses Gefühl des Kontrollverlusts führte zur Wahrnehmung einer Verbindung zwischen der Cloud und der Anfälligkeit von Daten.

Einerseits hegt man Bedenken mit Blick auf die Vertraulichkeit von Daten, die auf US-Plattformen archiviert sind, nachdem die USA im Jahr 2018 den Cloud Act verabschiedet haben. Andererseits besteht die Sorge vor menschlichem Versagen, da falsch konfigurierte Sicherheitsparameter zu massiven Datenlecks führen können.

Eine weitere sehr verbreitete Befürchtung gilt den versteckten Kosten der Cloud. Diese wird oft als kostengünstigere Lösung im Vergleich zu „On-Premise“-IT-Infrastrukturen angeboten.

Tatsächlich gibt es mehrere Gründe für die Überschreitung des zugewiesenen Budgets: gestiegene Kosten für die Datenarchivierung, den Betrieb und die Datenlöschung oder unvorhergesehene Ausstiegskosten etc. Inzwischen hat auch die Energiekrise die Menschen für den Energieverbrauch in Rechenzentren (erneut) sensibilisiert.

Die letzte mit der Nutzung der Cloud verbundene Angst ist die Verwundbarkeit der dort gespeicherten Daten, die ein bevorzugtes Ziel für Cyberkriminelle darstellen. Um auf diese Daten zuzugreifen, können Cyberkriminelle verschiedene Elemente der Cloud angreifen, einschließlich IT- und Archivierungsdiensten sowie Anwendungen.

Im Jahr 2021 wurden Cognite, Facebook und Kaseya Opfer von Cyberangriffen auf Cloud-Datenbanken. Diese wenigen Beispiele (unter vielen anderen Vorfällen) tragen zu dem Gefühl der Unsicherheit bei, das Unternehmen in Bezug auf die Cloud haben. Schließlich werden selbst Cybersicherheitslösungen in der Cloud angegriffen – im Web sind zum Beispiel zahlreiche Artikel über die von LastPass und dessen sicheren Passwortspeicherdienst erlittenen Angriffe vorzufinden.

Die Cloud wird seit mehreren Jahren infrage gestellt. Anlässlich einer Studie von 451 Research, die Ende 2022 veröffentlicht wurde, bestätigten sogar 54 % der Befragten, ihre Daten im Laufe des letzten Jahres aus der öffentlichen Cloud abgezogen zu haben.

Sich von der Cloud zu lösen, ist allerdings keine leichtfertige Entscheidung und erfordert eine vorherige Abschätzung der Auswirkungen (Migration der Infrastruktur, Migration von Daten und Benutzern, Anpassung von Sicherheitsregeln, Change-Management …).

Mögliche Ansätze für die Sicherheit der Cloud

Es gibt aber auch einen anderen Ansatz: die Kombination von Cloud und Cybersicherheit.

Dieser Ansatz ist umso wichtiger, da „Cloud-Sicherheit“ oft tatsächlich „Sicherheit von Clouds“ bedeutet. Die verschiedenen Schutzinstrumente, die von den einzelnen Marktteilnehmern angeboten werden, müssen verstärkt oder durch Lösungen von spezialisierten Cybersicherheitsanbietern ersetzt werden.

Zu den Lösungen zählen etwa interne Segmentierungsfunktionen, die Filterung zwischen verschiedenen Ressourcen, Systeme zur Erkennung von Eindringungsversuchen, Identitäts- und Zugangsmanagement-Tools oder zuverlässige VPN-Verbindungen.

Aus der Multi-Cloud-Perspektive bietet die Wahl von Lösungen eines einzigen, auf Firewalling spezialisierten Anbieters und deren Einsatz in jeder genutzten Cloud-Plattform Vorteile in Bezug auf Fachwissen, Sichtbarkeit und Risiko-Management verglichen mit der Administration unterschiedlicher in der jeweils genutzten Cloud vorkommender Firewalls.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Ein weiterführendes Video von Stormshield zu Cybersecurity, ein Überblick zu Ransomware (Video: YouTube)

Und wie wählt man zwischen den verschiedenen Cloud-Plattformen?

Mit anderen Worten: Wie wählt man eine sichere Cloud aus? Die französische Regierung versucht diese Frage mit dem SecNumCloud-Standard zu beantworten, der eine Qualifikation für Cloud-Dienstleister gewährt. Dieses Label weist das Vertrauen der französischen Regierung nach, indem es die strengen Cyber-Anforderungen erfüllt, die von der ANSSI festgelegt wurden.

Die Einhaltung des höchsten Sicherheits- und Datenschutzniveaus, eine präzise Service-Level-Vereinbarung und garantierte Datenlokalisierung: Qualifizierte Clouds bieten einen besseren Schutz gegenüber nicht europäischen Gesetzen.

Gewährleistung eines sicheren Daten-Austauschs in der Cloud

Verbreitung von Cloud-basierten Tools für die Zusammenarbeit in Unternehmen sind Informationen und Daten dem Risiko des Abfangens, des Verlusts und des Diebstahls ausgesetzt. Die Dateiverschlüsselung ermöglicht einen sicheren Austausch sensibler Daten: Diese werden automatisch verschlüsselt und nur für befugte Personen entschlüsselt. Um wirksam zu sein, müssen die Maßnahmen zum Schutz sensibler Daten jedoch genauso intuitiv sein, wie es die Cloud-Plattformen sind. Das ist aber ein Thema für sich.

Die Besorgnis über die Anfälligkeit der Daten in der Cloud verlangt, dass man sich die richtigen Fragen zu dieser besonderen Umgebung stellt. Sie verdeutlicht nämlich die Schwachstellen der Cloud und den daraus resultierenden Sicherheitsbedarf.

Die Sicherheit in der Cloud darf nicht als Einzelaspekt betrachtet werden: Die Unternehmen müssen ihre Mitarbeiter ebenfalls für das breitere Spektrum der Cyberbedrohungen sensibilisieren. Nur so lässt sich das Sicherheitsniveau nicht nur für die Cloud-Ressourcen, sondern auch für den gesamten Perimeter erhöhen. Schließlich ist die Sicherheit in der Cloud ein Thema, das alle betrifft.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*