Cyber-Attacken abzuwehren ist die offensichtliche Aufgabe eines Cloud-Anbieters zum Schutz der Kundendaten. Doch Cloud-Security geht viel weiter und deckt auch nicht so offensichtliche Bereiche ab. [...]
Wenn Ihr Unternehmen von Ransomware wie Petya oder WannaCry nicht betroffen war, kann das drei Gründe haben: Sie wurden nicht angegriffen, haben die passenden Schutzmassnahmen ergriffen – oder Sie waren über Ihren Cloud-Anbieter bereits geschützt. Während kleine Unternehmen vielleicht gar nicht Ziel einer Malware-Attacke sind, präsentiert sich die Lage bei einem grossen Provider anders, wie das Beispiel Petya zeigt. „Wir haben diese Bedrohung früh erkannt und konnten reagieren, bevor die Ransomware überhaupt bei unseren Kunden angekommen ist“, erinnert sich Tobias Langbein, IT-Sicherheitsarchitekt bei Swisscom. Konkret konnten die Angriffsadressen gesperrt und die Virensignatur frühzeitig aktualisiert werden. Damit wurden Attacken auf die Cloud und auf die Systeme der Kunden blockiert.
Vor Cyber-Angriffen geschützt
Die Früherkennung gelang auch dank enger Zusammenarbeit und der umgehenden Einspielung von Sicherheits-Updates der Software-Hersteller. Gerade bei Cyber-Attacken ist eine frühzeitige Reaktion entscheidend, so Tobias Langbein: „Indem wir präventiv reagieren und Schutzmassnahmen ergreifen, können wir reale Schäden vermeiden, die durch den Ausfall unternehmenskritischer Systeme entstehen könnten.“
Das gilt nicht nur bei Bedrohungen durch Ransomware und andere Schädlinge. Auch DDoS-Attacken, bei denen Systeme mit Anfragen überschwemmt und dadurch lahmgelegt werden, lassen sich mittels Früherkennung rechtzeitig blockieren. Die Sicherheitsexpertise und das technische Sicherheitsdispositiv eines Cloud-Anbieters kommen also direkt den Kunden zugute, deren Anwendungen und Systeme in der Cloud laufen. Die Nutzer profitieren, ohne selbst die entsprechende Infrastruktur und das nötige Fachwissen aufbauen zu müssen.
Cloud-Sicherheit ist mehr als Schutz vor Malware
Doch der Schutz vor Cyber-Angriffen ist nur ein Puzzleteil im gesamten System der Cloud-Sicherheit. Sie umfasst einerseits technische Massnahmen zum Schutz vor Angriffen und um die Datensicherheit und Verfügbarkeit sicherzustellen. Andererseits gehören die Zutrittskontrollen beim Eingang zum Rechenzentrum selbst genauso dazu. Sie sind nötig, obwohl Attacken meist übers Internet erfolgen, wie Tobias Langbein erklärt: „Die Sicherheitsmassnahmen müssen alle Aspekte umfassen. Sonst können wir die Sicherheit nicht nachvollziehbar gewährleisten.“
Denn es reicht nicht, bloss Schutzmassnahmen zu ergreifen. Ihre Wirkung muss auch belegbar sein. Dieser Beleg, dass die getroffenen Massnahmen greifen, wird als Compliance bezeichnet. Die Grundlagen bilden ISO-Standards und regulatorische Anforderungen, deren Einhaltung durch externe Kontrollstellen in sogenannten Audits überprüft wird. „Wir sichern unseren Kunden die Einhaltung von Sicherheitsstandards vertraglich zu“, sagt Tobias Langbein. „Anhand der Audits können wir die Einhaltung auch belegen.“
Die Compliance kommt auch Unternehmen zugute, die an ihre eigenen Daten nicht so hohe Sicherheitsanforderungen stellen müssen wie Banken. Das gilt insbesondere für KMU, die selbst als Zulieferer und Dienstleister für Grossunternehmen tätig sind: «Diese KMU sind oft mit Compliance-Anforderungen konfrontiert, die sie selbst nur schwer nachweisen können», sagt Tobias Langbein. „Als Cloud–Provider können wir diesen Nachweis für unsere Kunden erbringen.“
Doch was passiert, wenn ein Bug in der Hard- oder Software eine unerwünschte Lücke verursacht? „In solchen Fällen werden wir vom Hersteller frühzeitig informiert und können die Lücke schließen“, sagt Tobias Langbein. Die Wirksamkeit der Massnahmen wird mittels sogenannter Penetration-Tests regelmässig überprüft. Hierbei versucht ein IT-Sicherheitsspezialist, in Systeme einzudringen – natürlich in offiziellem Auftrag. So lassen sich Schwächen erkennen und beheben. Doch nicht nur das: „Wir haben bei diesen Tests auch schon Lücken gefunden, von denen der Hersteller selbst gar nicht wusste“, schmunzelt Tobias Langbein.
Be the first to comment