Als die Cloud vor ca. zehn Jahren ins allgemeine Bewusstsein rückte, hatten viele Unternehmen zuerst Berührungsängste. Sie befürchteten, dass sie die Kontrolle über ihre Daten verlieren würden. Diese Ängste spielen heute keine große Rolle mehr. Es besteht ein breiter Konsens darüber, dass die Cloud gerade für kleine und mittelständische Unternehmen ein Muss ist.
Trotzdem gilt es weiterhin darauf zu achten, wie die eigenen Daten optimal geschützt werden. Das reicht von der Auswahl des richtigen Providers über technische Maßnahmen bis hin zum Nutzungsverhalten Ihrer Mitarbeitenden. Erfahren Sie, worauf es hierbei im Detail ankommt.
KOSTENLOSER LEITFADEN
7 Tipps für die Entwicklung Ihrer Cloud-Strategie
Sie möchten noch mehr darüber erfahren, wie Sie Ihr Unternehmen optimal in die Cloud führen? Dann laden Sie sich jetzt unseren Leitfaden 7 Tipps für die Entwicklung Ihrer Cloud-Strategie herunter.
Inhalt dieses Blogbeitrags
Schön, dass Sie hier sind! Wie Ihnen vielleicht schon aufgefallen ist, verwenden wir aus Gründen der Lesbarkeit in erster Linie die männliche Form in unseren Texten. Im Sinne der Gleichbehandlung meinen wir damit selbstverständlich immer alle Geschlechter (m/w/d). Und jetzt wünschen wir Ihnen viel Spaß beim Lesen.
Definition: Was ist Cloud-Sicherheit?
Cloud-Sicherheit (auch Cloud-Security) befasst sich mit der Absicherung von Cloud-Computing-Systemen. Sie bildet eine Disziplin der Cyber-Security. Das Ziel besteht darin, Daten, welche in Cloud-Rechenzentren vorgehalten werden, gegen interne und externe Bedrohungen zu schützen. Hierzu kommen eine Reihe von Technologien, Protokollen und Best Practices zum Einsatz. Um den Erfolg dieser Maßnahmen zu gewährleisten, sind sowohl die Service-Provider als auch die Kunden gefragt.
Im Falle der Provider geht es primär darum, das Backend gegen Bedrohungen zu schützen. Kundenseitig liegt der Schwerpunkt auf der richtigen Konfiguration der Dienste. Außerdem sollten Unternehmen ihre User dazu anhalten, sichere Nutzungsgewohnheiten zu entwickeln. Aber auch die Sicherung der Enduser-Hardware und der Netzwerke muss durch den Kunden erfolgen.
Cloud-Sicherheit umfasst die folgenden Teilbereiche:
- Datenaufbewahrung
- Datensicherheit
- Identitäts- und Zugriffsmanagement (engl. Identity and Access Management, IAM)
- Prävention, Erkennung und Bekämpfung von Bedrohungen
- Geschäftskontinuität (Business-Continuity-Management)
- Gesetzeskonformität (IT-Compliance)
Außerdem kann Cloud-Sicherheit nach den technischen Komponenten der Cloud aufgeschlüsselt werden:
- Physikalische Netzwerke. Das umfasst zum Beispiel die Absicherung von Routern, Stromversorgung, Verkabelung, Klimasteuerung usw.
- Datenserver. Unter diesen Bereich fallen alle Hardware- und Software-Komponenten für den Betrieb des Kernnetzwerks.
- Virtualisierungs-Software. Diese Systeme ermöglichen den Betrieb von virtuellen Maschinen, Host- und Gast-Rechnern.
- Middleware. Bezeichnet die Vermittlungsinstanz zwischen Hard- und Software. Sie wird für die Verwaltung des Application Programming Interface (API) benötigt.
- Laufzeitumgebungen. Der Rahmen, welcher für die Ausführung und Aufrechterhaltung eines laufenden Programms nötig ist.
- Datenspeicherung. Hier geht es insbesondere um die Absicherung von Festplatten.
- Betriebssysteme (OS). Auch die Basis-Software eines Rechners, auf der alle anderen Anwendungen aufsitzen, muss geschützt werden.
- Daten. Alle Unternehmensinformationen, welche in der Cloud vorgehalten werden, sind abzusichern.
- Anwendungen. Viele wichtige Unternehmensanwendungen wie Microsoft 365 oder CRM-Lösungen werden mittlerweile in der Cloud gehostet. Auch diese müssen speziell geschützt werden.
- Enduser-Geräte. Die Absicherung von mobilen Geräten wie Laptops, Smartphones, oder Tablets hat speziell seit der Corona-Pandemie stark an Bedeutung gewonnen. Weil User zum Teil ihre eigenen Geräte aus dem Home-Office nutzen, entstehen hier neue Einfallstore für Cyber-Angriffe.
- IoT und Edge. Mit der steigenden Bedeutung des Internet of Things (IoT) und der Edge müssen auch hier Sicherheitsmaßnahmen ergriffen werden. Denn die mit Sensoren ausgestatteten Haushaltsgeräte, Produktionsmaschinen oder Autos senden ihre Daten ebenfalls in die Cloud.
Bei einer Aufschlüsselung nach Komponenten ist es wichtig, im Vorfeld die Eigentumsverhältnisse zu klären. Beispielsweise können sich IoT-Geräte auch bei Kunden befinden, sodass Sie keine direkte Kontrolle über diese Geräte haben. Ein vollständiges Konzept für die Cloud-Security bezieht deshalb alle beteiligten Autoritäten ein.
Diese 7 Sicherheitsrisiken gilt es auszuschließen
Obwohl die Cloud eine sehr sichere Technologie darstellt, gibt es doch bestimmte Bereiche, die besondere Aufmerksamkeit verdienen. Die wichtigsten davon stellen wir Ihnen im Folgenden vor.
1. Möglicher Verlust der Übersichtlichkeit
Eine Cloud-Infrastruktur kann gerade bei mittleren und großen Unternehmen schnell komplex werden. Das ist drei Faktoren geschuldet:
- Es kommen eine Vielzahl von Endgeräten zum Einsatz, wie Desktop-Rechner, Laptops, Tablets und Smartphones.
- Verschiedene Abteilungen greifen auf die Cloud-Services zu und nutzen sie in unterschiedlicher Weise.
- Existieren mehrere Firmenstandorte, erhöht das die Komplexität weiter.
Das kann dazu führen, dass Cloud-Infrastrukturen unübersichtlich werden, wenn sie nicht konsequent gemanagt werden.
Entscheidend ist, dass Sie Ihren Cloud-Provider aktiv aussteuern. Benennen Sie dafür einen Verantwortlichen für die Cloud-Strategie in Ihrem Unternehmen. Dieser legt grundsätzlich fest, wie die Cloud sicher und optimal genutzt werden soll, und kommuniziert diese Best Practices nach innen.
2. Migrationsrisiken
Manchmal machen Unternehmen unter Zeitdruck den Fehler, Anwendungen in die Cloud zu übertragen und dann sofort einzusetzen, bevor diese ausreichend getestet und abgesichert wurden.
Dies ist vor allem ein planerisches Problem. Rechnen Sie daher bei Ihrem Umzug in die Cloud einen ausreichenden zeitlichen Puffer ein. Planen Sie außerdem fest mit einer Testphase, die erfolgen muss, bevor die neuen Cloud-Dienste für die Belegschaft freigegeben werden.
3. Fehlkonfiguration von Cloud-Services
Dadurch, dass Cloud-Services immer leistungsfähiger werden, steigt auch ihre Komplexität. Das kann Fehlkonfigurationen nach sich ziehen, welche Chancen für Angreifer bieten. Ein Beispiel sind Standardeinstellungen beim Sicherheits-Management, die abgeändert werden müssten, aber vom Unternehmen übernommen werden.
Ein anderes Beispiel sind Fehler beim Access-Management, durch welche unberechtigte Personen Zugriff auf sensible Daten erhalten. Es kommt auch vor, dass sensible Daten komplett offen vorliegen, weil eine entsprechende Kennzeichnung versäumt wurde.
Durch regelmäßige Sicherheits-Audits lassen sich die eben genannten Risiken aber leicht ausschließen. Auch hier handelt es sich weniger um eine technische Herausforderung, als um eine organisatorische.
4. Risiken durch Application Programming Interfaces
APIs können potenziell ein Sicherheitsrisiko im Zusammenhang mit der Cloud-Nutzung darstellen. Dies gilt speziell für öffentlich zugängliche Web-APIs. Sie bilden potenziell ein Gateway, über welches Hacker unbefugten Zugriff auf Ihre Daten erhalten könnten.
Sie sollten sich deshalb im Vorfeld informieren, welche Maßnahmen Ihr Cloud-Provider zur Absicherung von APIs ergreift. Fragen Sie insbesondere nach diesen Punkten:
- Welche Authentifizierungs-Mechanismen kommen zum Einsatz? Bewährt haben sich zum Beispiel Lösungen, die auf OAuth 2.0 bzw. OpenID Connect basieren.
- Wird das Principle of Least Privilege eingehalten, also Usern nur so viel Zugriff gewährt, wie unbedingt nötig?
- Wird der Datenverkehr mit Transport Layer Security (TLS) verschlüsselt?
- Werden Eingaben validiert, bevor sie an einen Endpunkt weitergegeben werden?
- Werden Durchsatzraten begrenzt, um Denial-of-Service-Angriffe zu verhindern?
5. Mangelnde Schulung
Was häufig übersehen wird: Die Cloud-Sicherheit kann nicht nur von außen bedroht sein, sondern auch von innen, durch die eigenen Mitarbeitenden. Dabei handelt es sich in den seltensten Fällen um böse Absicht. Vielmehr begehen Teammitglieder Fehler bei der Cloud-Nutzung, die sich durch Fahrlässigkeit oder mangelnde Schulung erklären lassen.
Planen Sie deshalb für jede Cloud-Migration bzw. Erweiterung von Diensten eine gründliche Trainingsphase ein. In Form von Live-Workshops und/oder E-Learning-
Angeboten sollten Ihre Mitarbeitenden gründlich auf die neue Technologie vorbereitet werden. Genauso sollte nach der Einführung ein gutes Support-System zur Verfügung stehen. Auch hier kann sich die Zusammenarbeit mit einem MSP als vorteilhaft erweisen, weil dieser aus vielen Projekten über große Erfahrung in den Bereichen Schulung und Change-Management verfügt.
6. Compliance-Anforderungen
Insbesondere bei der Nutzung von Public-Cloud-Diensten gibt es eine Reihe von gesetzlichen Vorgaben zu beachten. Das betrifft nicht nur den Umgang mit personenbezogenen Daten, wie er in der Datenschutz-Grundverordnung (DSGVO) geregelt wird, sondern zum Beispiel auch besondere Anforderungen an Organisationen, die über eine sogenannte kritische Infrastruktur verfügen. Beispiele sind Energieversorger oder Telekommunikationsanbieter.
Neben diesen gesetzlichen Vorgaben umfasst die IT-Compliance aber auch Absprachen mit Kunden und Partnern. Außerdem kann die Berücksichtigung von bestimmten Industrienormen oder von Frameworks wie ITIL oder COBIT nötig sein.
Erwägen Sie die Zusammenarbeit mit einem Managed-Services-Provider (MSP), um diese Komplexität zu reduzieren. Dieser Anbieter übernehmen die Rolle eines Vermittlers zwischen den großen Cloud-Computing-Anbietern und Ihrem Unternehmen; sie bieten aber auch eigenständige Private-Cloud-Lösungen an.
In jedem Fall können diese spezialisierten Service-Provider ein sehr individuelles Betreuungsmaß garantieren, was bei den großen, oft etwas anonymen Anbietern nicht immer gewährleistet ist. Das betrifft sowohl Compliance-Anforderungen als auch die individuelle Bereitstellung und Implementierung von Cloud-Diensten.
7. Mögliche Gefahren durch Hybrid Work
Durch die Corona-Pandemie hat sich die Art und Weise, wie wir arbeiten, stark verändert. Remote Work wird auch in Zukunft in vielen Unternehmen angeboten werden, parallel zur Präsenzarbeit. Solche hybriden Modelle bieten viele Chancen, können aber zulasten der Cloud-Sicherheit gehen. Das liegt an der Vielzahl der verwendeten Endgeräte zu Hause, aber auch an gestiegenen Herausforderungen beim Identitäts- und Access-Management. Viele Cloud-Anbieter entwickeln hier aber aktuell Lösungen oder bieten diese bereits an. Das umfasst sowohl IAM-Anwendungen aus der Cloud als auch direkt in Cloud-Dienste integrierte Lösungen.
Wie Sie mehr Cloud-Security erreichen
Es gibt zahlreiche Best Practices, wie Sie Ihre Cloud-Sicherheit erhöhen. Die wichtigsten davon stellen wir Ihnen im Folgenden vor.
Prüfen Sie Ihren Cloud-Provider auf Herz und Nieren
Bestimmte Aspekte der Cloud-Sicherheit liegen in den Händen Ihres Providers. Deshalb ist es wichtig, bei der Suche nach einem Anbieter bestimmte Sicherheitskriterien abzuklopfen. Die folgenden Fragen helfen dabei:
- Führt der Anbieter regelmäßig externe Audits durch, um sich eine unabhängige Meinung einzuholen?
- In welcher Form werden die Daten unterschiedlicher Kunden voneinander segmentiert, sodass andere Kunden des Providers nicht auf Ihre Daten Zugriff erhalten?
- Welche Verschlüsselungsmethoden verwendet der Anbieter? Auf welche Datensegmente werden diese Methoden angewendet und auf welche nicht?
- Wie streng oder lax vergibt der Provider Zugriffsrechte an unterschiedliche User?
- Welche Richtlinien existieren für die Aufbewahrung von Kundendaten? Werden datenschutzrechtliche Vorgaben korrekt umgesetzt?
- Was passiert, wenn unser Unternehmen zu einem anderen Cloud-Provider wechselt? Werden die Unternehmensdaten ordnungsgemäß gelöscht? Wie zeitnah geschieht das?
Konfigurieren Sie Ihre Cloud optimal
Viele Lücken bei der Cloud-Sicherheit lassen sich auf simple Konfigurationsfehler zurückführen. Mit den folgenden drei Tipps optimieren Sie Ihre Einstellungen:
- Ändern Sie die Standardeinstellungen ab, um Hackern den Angriff auf Ihr System zu erschweren.
- Lassen Sie Ihre “Buckets” niemals offen stehen. Buckets sind eine Art Container, in welchen Daten als Objekte gespeichert werden. Stehen sie offen, muss ein Hacker lediglich die URL des Buckets aufrufen, um sich die Inhalte anzeigen zu lassen.
- Nutzen Sie die optionalen Sicherheits-Checks Ihres Anbieters. Die meisten Provider bieten zusätzliche Cloud-Security-Features an, die aber vom Administrator händisch aktiviert werden müssen. Das unterbleibt oft, ist aber eine verpasste Chance.
Verwenden Sie VPNs
Es empfiehlt sich, nicht über öffentliche WLANs auf Ihre Cloud-Dienste zuzugreifen. Richten Sie stattdessen ein virtuelles privates Netzwerk (VPN) ein, um einen sicheren Datentransfer zwischen Public Cloud und Ihren Usern zu gewährleisten. Alternativ können Sie auch eine besonders sichere Private Cloud on-premises betreiben oder in den speziell abgesicherten Rechenzentren eines MSP.
Betreiben Sie Berechtigungs-Management
Vergeben Sie gerade so viele Berechtigungen, wie nötig. Je kleiner der Kreis der zugriffsberechtigten Personen gehalten wird, desto besser. Erwägen Sie für Mitarbeitende, die viel von unterwegs ausarbeiten, die Vergabe von temporären Berechtigungen. So reduzieren Sie das Risiko einer Kompromittierung, falls dem betreffenden Mitarbeitenden das Smartphone oder der Laptop gestohlen wird.
Verwenden Sie starke Passwörter
Halten Sie Ihre Mitarbeitenden dazu an, schwer zu knackende Passwörter zu verwenden. Optimal sind zufällige, sinnfreie Zeichenfolgen. Besonders gut geht das mit einem Passwortmanager, der entsprechende Sequenzen generiert und abspeichert. Wichtig ist es, ein ausreichend schwieriges Master-Passwort festzulegen.
Verwenden Sie mehr Mehrfaktor-Authentifizierung (MFA)
Ein zweistufiges Login-Verfahren bietet gegenüber klassischen Verfahren wesentlich mehr Sicherheit. Hierfür kann beispielsweise ein Code an ein Mobilgerät gesendet werden. Es können aber auch biometrische Anmeldeverfahren wie Gesichtserkennung oder Fingerabdrücke verwendet werden.
Verwenden Sie Verschlüsselungstechnologie
Setzen Sie End-to-End-Verschlüsselung (Encryption) ein, sodass Ihre Cloud-Daten für Unbefugte nicht lesbar sind. Das gilt insbesondere für sensible Informationen wie Kontozugangsdaten. Die wichtigsten Verfahren sind die symmetrische und die asymmetrische Verschlüsselung. In beiden Fällen können Außenstehende ohne den Encryption-Key nicht auf die Daten zugreifen, selbst wenn ihnen bereits ein Einbruch ins System gelungen ist. Sie können die Verschlüsselung selbst durchführen oder einen Cloud-Provider wählen, der diesen Service anbietet.
Praxistipp: Erstellen Sie regelmäßig ein Backup Ihrer Encryption-Keys. Speichern Sie dieses Backup nicht innerhalb der Cloud, sondern auf einem separaten Medium. Außerdem sollten Sie die Keys in regelmäßigen Abständen ändern.
Setzen Sie auf Sicherheits-Software
Die Rechner aller Mitarbeitenden sollten durch Antiviren- und Anti-Malware-Software geschützt werden.
Erstellen Sie Backups
Regelmäßige Backups garantieren, dass Sie Ihre Unternehmensdaten auch dann wiederherstellen können, falls es bei Ihrem Cloud-Provider zu einem Verlust kommt. Stellen Sie sicher, dass diese Backups separat von der Cloud gespeichert werden.
Berücksichtigen Sie die Endgeräte Ihrer User
Seit der Corona-Pandemie hat sich die Anzahl der Endgeräte, mit der Ihre User auf die Cloud zugreifen, drastisch erhöht. Das hängt vor allem mit der Arbeit im Home-Office zusammen. Insbesondere mobile Endgeräte wie Smartphones oder Tablets, die auch privat genutzt werden, stellen jedoch Einfallstore für Cyberangriffe dar. Definieren Sie hier ein Verfahren, um solche Endgeräte besser abzusichern oder erwägen Sie einen firmenweiten Verzicht auf private Geräte.
Sichern Sie das Home-Office
Remote Arbeitsmodelle erfreuen sich großer Beliebtheit. Allerdings ergeben sich daraus Konsequenzen für die Cloud-Sicherheit. Teammitglieder, die von zu Hause aus arbeiten, sollten für andere Familienmitglieder konsequent Gastnetzwerke einrichten. Dasselbe gilt für die Verwendung von internetfähigen Geräten wie Smart TVs. Nur der verantwortliche Mitarbeitende sollte Zugriff auf alle Daten und Netzwerke haben.
Erwägen Sie den Einsatz einer Hybrid Cloud
Bei einer Hybrid Cloud werden sensible Daten in einer besonders abgeschirmten Private Cloud gespeichert, während unkritische Daten in die flexible und kostengünstige Public Cloud wandern. Dieses Mischmodell eignet sich sehr gut für KMU-Kunden. Sie können so Sicherheitsanforderungen erfüllen und trotzdem von den Vorteilen der Public Cloud profitieren.
Außerdem kann eine Hybrid Cloud dafür genutzt werden, mehr Redundanz zu gewährleisten. Wichtige Geschäftsdaten können sowohl in der Private Cloud als auch in der Public Cloud vorgehalten werden. Fällt eines der beiden Systeme aus, funktioniert immer noch das andere.
Skalieren Sie mit Bedacht
Vielleicht der größte Vorteil einer Cloud-Lösung für Unternehmen besteht darin, dass innerhalb kürzester Zeit neue Computing-Ressourcen hinzugebucht werden können. Das birgt aber auch die Gefahr, dass sich Cloud-Dienste unkontrolliert schnell ausbreiten, ohne ausreichend reguliert zu werden.
Schärfen Sie hier einerseits das Bewusstsein Ihrer Mitarbeitenden, um nicht unnötig neue Dienste zuzufügen. Benennen Sie andererseits aber auch einen Verantwortlichen, der die bereits existierenden Dienste regelmäßig auf Ihre Relevanz überprüft. Dieser Verantwortliche sollte nicht benötigte Dienste umgehend wieder abbestellen. Denn alte, ruhende Konten, die vielleicht lange nicht gepatcht wurden, sind ein beliebtes Einfallstor für Hacker.
Beachten Sie datenschutzrechtliche Vorgaben
Viele IT-Verantwortliche denken beim Thema Cloud-Sicherheit zuerst an die Abwehr von externen Angriffen. Aber auch der Schutz von personenbezogenen Daten, die im Unternehmen verarbeitet werden, ist ein wesentlicher Bestandteil der Cloud-Security. Stellen Sie sicher, dass wichtige Maßnahmen wie die Datenmaskierung und die Klassifizierung sensibler Daten durchgeführt werden, im Einklang mit gesetzlichen Vorgaben wie der DSGVO. Das gilt sowohl für Ihre eigenen Mitarbeitenden als auch für den Cloud-Provider.
Beugen Sie Schatten-IT vor
Manchmal führt die Leichtigkeit, mit der neue IT-Services über die Cloud bezogen werden können, dazu, dass sich nicht autorisierte IT-Strukturen im Unternehmen herausbilden. Diese Parallelstrukturen bezeichnet man als Schatten-IT. Entwickeln Sie deshalb eine grafische Repräsentation Ihres bestehenden Systems. Mit dieser Folie treten Sie an Ihre Mitarbeitenden heran, um Ihnen den bestehenden Aufbau zu erklären. Machen Sie deutlich: Neue IT-Dienste müssen sich in das bestehende System eingliedern lassen.
Erhöhen Sie Ihre Cloud-Sicherheit mit der ahd!
Sie möchten Ihre Cloud-Security verbessern und wünschen sich dafür einen erfahrenen Partner? Dann sollten wir uns unterhalten. Die Experten der ahd analysieren Ihren Sicherheits-Status-quo, geben Handlungsempfehlungen und übernehmen die komplette Umsetzung. Das umfasst unter anderem die Absicherung von Zugängen und Netzwerken, das Identitäts- und Access-Management sowie die Verwaltung von Updates und Patches. Auch beim Thema Change-Management sind wir Ihr zuverlässiger Ansprechpartner. Kontaktieren Sie uns jetzt für eine unverbindliche Erstberatung!
KOSTENLOSER LEITFADEN
7 Tipps für die Entwicklung Ihrer Cloud-Strategie
Sie möchten noch mehr darüber erfahren, wie Sie Ihr Unternehmen optimal in die Cloud führen? Dann laden Sie sich jetzt unseren Leitfaden 7 Tipps für die Entwicklung Ihrer Cloud-Strategie herunter.