Cloud-Risiken 5 Top-Tipps für Cloud-Sicherheit

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Arvato Systems

Security-Insider

Netskope Inc.

In den letzten 18 Monaten ist die Nutzung von Cloud-Anwendungen sprunghaft angestiegen. Dies bedeutet eine enorme Anzahl an neuen Risiken, mit denen sich CISOs auseinandersetzen müssen. Mit dem Anstieg der Cloud-Nutzung nehmen Cyberkriminelle verstärkt Cloud-Anwendungen ins Visier, die häufig schlecht gesichert sind und so eine gute Gelegenheit bieten, ungesicherte Daten zu kompromittieren.

Laut dem neuesten Netskope Cloud and Threat Report vom Juli 2021 nutzt ein durchschnittliches Unternehmen mit 500 bis 2.000 Mitarbeitern mittlerweile gut 800 verschiedene Cloud-Anwendungen. Die Herausforderung für die Sicherheitsverantwortlichen erscheint unüberwindbar, da Mitarbeiter Cloud-Anwendungen schneller in das Unternehmen bringen (Schatten-IT) als diese einzeln gesperrt werden können. Mit diesen fünf Tipps können Sicherheitsteams dennoch die Cloud-Sicherheit in den Griff bekommen.

Tipp 1: Sicherheit von Anfang an mitdenken

Mit der zunehmenden Verbreitung der Cloud im Unternehmen müssen die Security-Teams eng mit der IT und Netzwerkteams zusammenarbeiten. Nur so kann sichergestellt werden, dass die Sicherheit nicht erst in letzter Minute berücksichtigt wird. Viele Unternehmen strukturieren bereits um und legen Teams zusammen, in denen IT, Netzwerk und Sicherheit mit gemeinsamen KPIs aufeinander abgestimmt sind.

„Security by Design“ kann per Definition nicht aufgepfropft, sondern muss von Anfang an mitgedacht und entsprechend integriert werden. Deshalb erfordert Cloud-Sicherheit eine Cloud-native Plattform. Die meisten Unternehmen erkennen die Grenzen ihrer Appliance-basierten Architekturen, wenn sie versuchen, Daten, Anwendungen und Benutzer zu sichern, die sich außerhalb ihres Perimeters befinden. Security by Design verfolgt einen datenzentrierten Architekturansatz und berücksichtigt, dass es keinen Perimeter mehr gibt, innerhalb dessen Benutzer, Geräte und Daten effektiv geschützt sind. Diese sind nun verstreut und bewegen sich frei in und aus den Cloud-Apps und -Services. Entsprechend muss die Sicherheit überall gewährleistet werden.

Dieser Ansatz entspricht der Secure Access Service Edge (SASE)-Strategie, bei der die Sicherheit in der Cloud platziert und in die IT-Architektur integriert wird sowie Inline-Kontrollen durchgeführt werden. Setzt man diesen Ansatz um, müssen keine neuen Sicherheitskontrollen für jede einzelne Cloud-App entwickelt und angepasst werden.

Tipp 2: Daten-Bewegungen erkennen und verstehen

Hat man erkannt, dass die Daten nicht mehr statisch sind, sondern sich ständig in den Cloud-Diensten von Drittanbietern bewegen, wird klar, dass Sicherheitsverantwortliche die Datenströme des Unternehmens erkennen und verstehen müssen. Sie müssen nicht nur die Datenbewegungen nachvollziehen können, sondern benötigen darüber hinaus auch einen Einblick in die jeweiligen Datenkategorien und müssen die verwendeten Cloud-Anwendungen verstehen, um zu entscheiden, welche Kontrollen notwendig sind.

Ein datenzentrierter Sicherheitsansatz ist auch deshalb sinnvoll, da sowohl gesetzliche Vorgaben als auch die Risikobewertungen in aller Regel datenzentriert erfolgen. Gerade wenn man dem Modell der geteilten Verantwortung unterliegt oder Supply-Chain-Risiken bewerten möchte, sind Transparenz und ein Verständnis der Datenflüsse von entscheidender Bedeutung. Deshalb sollten kontinuierlich Sicherheitsbewertungen auf der Grundlage der Datenflüsse durchgeführt werden.

Tipp 3: API-Sicherheit in den Griff bekommen

Durch die Cloud ist es wichtiger als je zuvor, dass Unternehmen die Risiken in der Lieferkette und die Sicherheit der Partner bewerten. Dies knüpft an den vorherigen Punkt zum Verständnis von Datenflüssen an (und dem Wissen, wo genau sich die Daten befinden und wer für was verantwortlich ist), geht aber noch weiter – insbesondere, wenn es darum geht, das Beste aus den Integrations- und Analysemöglichkeiten zu machen, die mit der Cloud kommen.

Cloud-Integrationen sind äußerst praktisch und können einen großen Mehrwert bieten. Sie basieren in der Regel auf APIs und sind sehr einfach einzurichten. Allerdings verstehen herkömmliche Sicherheitsanwendungen keine APIs. Sie neigen dazu, nur die Sprache des Webs und traditioneller Netzwerkprotokolle zu verstehen und sind nicht in der Lage, Cloud-Dienste zu erfassen oder zu überwachen. Deshalb kann Sicherheit für die Cloud nur aus der Cloud kommen. Man könnte Legacy-Appliances, die versuchen, die Cloud zu überwachen, mit einer Polizei vergleichen, die nicht dieselbe Sprache spricht wie die Gemeinschaft, die sie schützen soll. Sie ist nicht in der Lage zu verstehen, was vor sich geht und wo die Probleme liegen und daher ineffektiv.

Tipp 4: Zero Trust zum Standard machen

Da durch die Cloud-Nutzung der klassische Perimeter wegfällt, kommt dem Zero-Trust-Ansatz eine entscheidende Bedeutung zu. Um die Sicherheit der Daten und Mitarbeiter zu gewährleisten, müssen Security-Teams eine hohe Alarmbereitschaft und (leider) Misstrauen an den Tag legen. Durch Zero Trust Network Access (ZTNA) erhält kein Nutzer, Gerät oder Cloud-Dienst Zugriff auf eine Ressource, ohne dass zuvor eine speziell festgelegte Reihe von authentifizierten Sicherheitsanmeldedaten überprüft wurde. Daten sind schlicht und einfach zu wertvoll, um bei der Authentizität lediglich Mutmaßungen anzustellen.

Eine ZTNA-Lösung macht den entscheidenden Unterschied zum Sicherheitsniveau eines herkömmlichen Netzwerks oder einer Cloud-Architektur aus. Deshalb sollte sie als Schlüsselkomponente betrachtet werden, wenn sich Unternehmen weiter in Richtung Cloud-first-Strategie bewegen.

Tipp 5: Bewusstsein schärfen und die Mitarbeiter einbeziehen

Informationssicherheit sollte zur Aufgabe jedes Mitarbeiters gehören. Gleichwohl kann man von ihnen nicht erwarten, dass sie etwa ausgeklügelte oder neuartige Angriffe (ohne eine entsprechende Ausbildung) erkennen und erfolgreich adressieren.

Es bedarf nur eines einfachen Fehlers oder einer Fehlkonfiguration, um sensible oder regulierte Daten zu exponieren, während gleichzeitig Angreifer ihre Fallen immer besser tarnen. Etwa dadurch, dass sie ein bekanntes Design oder Anmeldeseiten von vertrauenswürdigen Cloud-Diensten nachahmen. Zunehmend verwenden Angreifer zudem dieselben vertrauenswürdigen Cloud-Dienste in ihrer Angriffsarchitektur, wodurch sie zusätzlich an Vertrauen (auch seitens einiger Sicherheitslösungen) gewinnen. Cloud-App-Anmeldedaten sind ein Top-Ziel für Phishing-Kampagnen: 36 Prozent der Angriffe im Jahr 2020 zielten auf Cloud-App-Anmeldedaten ab.

Es liegt in der Verantwortung der CISOs und Sicherheitsteams, die Mitarbeiter so auszustatten, dass sie ihre Daten sicher aufbewahren und sicher arbeiten können. Die klassische Botschaft „Klicken Sie nicht auf verdächtige Links“ reicht hierbei schon längst nicht mehr aus. Das Bewusstsein zu schärfen ist der erste Schritt, aber das Ziel muss die „Aktivierung“ der Mitarbeiter sein: Sie müssen sich für die Sicherheit verantwortlich fühlen und sich als Mitglied des Security-Teams fühlen. Nur dann kann ein echter Wandel in Richtung unternehmensweite Sicherheit gelingen.

So wie die Cloud ein grundlegendes Umdenken in Bezug auf IT-Architekturen, Arbeitsabläufe und Kostenstellen ausgelöst hat, sollte sie dies auch für die Sicherheit tun. Ganz gleich, ob die Cloud im Rahmen größerer Unternehmens­transformations­projekte oder durch eine App, die auf ein nicht verwaltetes Gerät heruntergeladen wird, Einzug in das Unternehmen hält: Sicherheitsteams können sie nicht ignorieren. Eine SASE-Strategie mit starken Zero-Trust-Prinzipien ist der beste Weg, um sicherzustellen, dass die Cloud eine positive Kraft innerhalb eines Unternehmens bleibt und Sicherheitsverantwortlichen nicht den Schlaf raubt.

Über Autor: Neil Thacker ist CISO EMEA von Netskope.

(ID:47903986)