:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Shared Responsibility und die Public Cloud 8 Tipps für mehr Datensicherheit beim Einsatz von Google Drive
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/113400/113460/65.png "Varonis_Horizontal.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Google Drive hat sich schnell zu einer der meistgenutzten Produktivitäts- und Kollaborations-Suiten in der Cloud entwickelt. Auch im deutschsprachigen Raum setzen immer mehr Unternehmen auf diesen Cloud-Dienst. Mit der steigenden Beliebtheit und der Menge der auf Google Drive-Servern gespeicherten Daten wird Google Drive jedoch auch zunehmend zum Ziel von Angreifern.
Gerade im Unternehmensumfeld ist es von größter Bedeutung, entsprechende Schutzmaßnahmen zu ergreifen, um auch Daten auf Google Drive zu schützen. Denn wie bei allen SaaS-Lösungen gilt auch hier: Die Anbieter sorgen für die Sicherheit der Datenzentren und Infrastruktur, für die Sicherheit der Daten sind hingegen ausschließlich die Kunden bzw. Benutzer verantwortlich.
Eignet sich Google Drive für vertrauliche Informationen?
Die erste Frage, die sich viele Unternehmen stellen, ist die nach der generellen Sicherheit und Vertraulichkeit des Dienstes. Als Bestandteil der G-Suite von Google bietet Google Drive ähnliche Datenschutzmaßnahmen wie Google Workspace. Im Allgemeinen ist das Risiko, dass Informationen bei Google Drive kompromittiert werden, recht gering. Alle Dateien, die in Google Drive hochgeladen werden, werden in sicheren, verschlüsselten Rechenzentren gespeichert. Gleichwohl gibt es bestimmte Schwachstellen, die theoretisch und praktisch ausgenutzt werden könnten. Die größte Gefahr geht dabei von Mitarbeitenden (Insidern) aus, die ihre Anmeldedaten versehentlich weitergeben, beispielsweise durch einen Phishing-Angriff. Außerdem befinden sich alle Sicherheitsschlüssel im Besitz von Google selbst, so dass die Daten potenziell durch einen erfolgreichen Hack von Google gefährdet sind.
Prinzipiell fällt die Sicherung der vertraulichen Daten in Google Drive – wie bei allen SaaS-Angeboten – unter das so genannte Shared Responsibility Model. Dabei sorgt Google als Anbieter für die Sicherheit der Rechenzentren und Infrastruktur. Die Kunden sind hingegen für das Management des Betriebssystems (einschließlich Updates und Sicherheits-Patches) sowie für die Sicherheit der hier gespeicherten Daten verantwortlich. Also auch für die Bereiche Passwortschutz, Zugangskontrollen und Benutzerauthentifizierung.
8 Tipps zur Verbesserung der Sicherheit von Google Drive
Aus diesem Grund müssen Unternehmen selbst die in Google Drive gesicherten Daten effektiv schützen. Setzt man die folgenden Punkte um, lässt sich die Datensicherheit erheblich verbessern.
1. Tipp: Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)
Glücklicherweise ist Google Drive mit robusten, sicheren Anmeldeoptionen ausgestattet, einschließlich der Zwei-Faktor-Authentifizierung. Wenn man die 2FA in Google Drive aktiviert, muss jeder Nutzer zwei gültige Informationen angeben, bevor er auf ein Google-Konto zugreifen kann. Dazu gehört eine Kombination aus Passwörtern, SMS-Verifizierung oder Einmalpasswörtern, die an ein Mobilgerät gesendet werden. Zwar lässt sich auch eine 2FA von ambitionierten Angreifern aushebeln, allerdings wird die Hürde wesentlich erhöht und damit die Wirksamkeit von Phishing- oder Social-Engineering-Angriffen verringert. Selbst wenn ein Mitarbeiter unvorsichtig mit seinen Anmeldedaten umgeht, verhindert 2FA viele unbefugte Anmeldeversuche.
2. Tipp: Richten Sie die Konten-Wiederherstellung ein
Sicherheitsverantwortliche kennen die Szenarios: Ein Account wurde auf einem öffentlichen Computer offen gelassen, ein Passwort wurde von einem Angreifer erbeutet oder ein Computer wurde nicht gesperrt, was zu einem unbefugten Zugriff führte. In diesen und ähnlichen Fällen muss der Account vollständig wiederhergestellt werden. Hierfür bietet Google Drive bei der Einrichtung eine entsprechende Option. Die Einrichtung von Google Drive-Wiederherstellungsoptionen stellt sicher, dass das Konto schnell und einfach wieder gesichert werden kann, wenn eines dieser Szenarien eintritt. Die Wiederherstellung lässt sich dabei gut anpassen: Die gängigsten Methoden sind dabei die Beantwortung einer Sicherheitsfrage, die Anmeldung per Mobiltelefon und eine alternative E-Mail-Bestätigung.
3. Tipp: Verschlüsseln Sie die Daten
Google bietet mittlerweile client-seitige Verschlüsselungsfunktionen im Beta-Modus für die gesamte Suite der Google Workspace-Tools an. Auf diese Weise können Unternehmen zusätzlich zur Standardverschlüsselung in G-Suite ihre eigenen Verschlüsselungsschlüssel verwenden. Dadurch haben sie die direkte Kontrolle über ihre Schlüssel und darüber, wie Anwender auf ihre Schlüssel und Konten zugreifen, was die Datensicherheit von Google Drive weiter verbessert. Alternativ kann man auch Verschlüsselungstools oder spezielle Serviceprovider einsetzen. Gerade letzteres ist zu empfehlen, wenn man mit komplexen Compliance-Vorgaben oder hochsensiblem geistigen Eigentum zu tun hat. Dabei stellen die Partner sicher, dass die Verschlüsselung den relevanten Compliance-Richtlinien entspricht und dass der Zugriff auf die sensitiven Daten durch eine erstklassige client-seitige Verschlüsselung geschützt ist.
4. Tipp: Klassifizieren Sie die Daten
Durch eine präzise Klassifizierung der Daten ist es den Sicherheitsverantwortlichen möglich, Informationen angemessen zu schützen. Sie stellt zudem sicher, dass nur autorisierte Personen auf die richtigen Daten zugreifen. So sollte beispielsweise ein Kundendienstmitarbeitender nicht auf Google Drive-Dateien mit vertraulichen Finanzdaten zugreifen können, die nur der Geschäftsführung zugänglich sein dürften. Einige Datenklassifizierungstools können auch erkennen, welche Datentypen am anfälligsten für Angriffe sind, so dass für diese Kategorien zusätzliche Vorsichtsmaßnahmen ergriffen werden können.
5. Tipp: Setzen Sie auf Endpoint-Management
Endpoint-Management-Tools bieten vollständige Kontrolle über jedes Gerät, das auf die Google-Drive-Daten zugreift. Mit den Tools für die Endgeräteverwaltung können Bildschirmsperren festgelegt sowie vertrauliche Daten und Konten gelöscht werden, wenn Geräte verloren gehen oder gefährdet sind. Außerdem lässt sich der Zugriff von Desktop-Sitzungen in Echtzeit sperren. Durch entsprechende Lösungen werden alle potenziellen Eintrittspunkte überwacht und geschützt, die Angreifer nutzen könnten, um auf die Google-Drive-Daten zuzugreifen und somit das Sicherheitsniveau deutlich erhöht.
6. Tipp: Automatisieren Sie die Backup-Prozesse
Um das Risiko von Geschäftsunterbrechungen zu minimieren, sollten alle wichtigen Dateien auf dem Google-Laufwerk regelmäßig gesichert werden. Dies sollte automatisiert erfolgen, da manuelle Backups oft zeitaufwändiger sind und die Nutzer während der Backup-Phasen, in denen der Zugriff auf die Dateien nicht möglich ist, in ihrer Arbeit behindern. Google bietet hierfür die Option Backup and Sync, die eine Zwei-Wege-Synchronisierung der Festplatte mit Google Drive bietet. Darüber hinaus gibt es noch zahlreiche andere, fortschrittlichere Tools von Drittanbietern, die zusätzliche Möglichkeiten bieten.
7. Tipp: Kontrollieren Sie die Nutzerberechtigungen in der Anwendung
Administratoren können überwachen und kontrollieren, auf welche Anwendungen und Google-Dienste jeder Nutzer zugreifen kann, einschließlich Google Drive. Dabei sollten sie auf einen Least-Privilege-Ansatz setzen: Auf diese Weise können die Mitarbeitenden nur auf die Dateien, Daten und Systeme zugreifen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Google Drive bietet eine Vielzahl von Optionen für Nutzerberechtigungen. So kann die Dateifreigabe beispielsweise nur innerhalb des Unternehmens erfolgen. Selbst wenn ein Google Doc-Link versehentlich für einen Außenstehenden freigegeben wird, hat dieser keinen Zugriff. Ebenso kann der Zugriff auf User mit bestimmten Domänen beschränkt werden, um eine zusätzliche Kontrolle zu ermöglichen.
8. Tipp: Verbessern Sie die Sicherheit mit Drittanbieter-Apps
Der Schutz der wertvollen Daten lässt sich durch den Einsatz von Anwendungen erhöhen, die speziell für die Verbesserung der Google-Drive-Zugriffskontrollen und der -Sicherheit entwickelt wurden. So gibt es beispielsweise client-seitige Verschlüsselungsanwendungen von Drittanbietern, die eine Zero-Knowledge-Verschlüsselung verwenden. Dabei hat nicht einmal der Dienstanbieter Zugriff auf die Schlüssel. Auch in den Bereichen Endpunkt-Erkennung, Bedrohungsüberwachung, Cloud-Sicherheit und E-Mail-Verschlüsselung gibt es sinnvolle Lösungen, die viele Prozesse rund um die Sicherheit von Google Drive rationalisieren und automatisieren und gleichzeitig alle Lücken schließen, und die Google selbst in der G-Suite nicht bietet. Hier ist zu beachten, dass es bei Verlust des Schlüssels keine Möglichkeit mehr gibt, die Daten wiederherzustellen bzw. zu nutzen.
Obwohl die Sicherheit der Google-Cloud-Server im Allgemeinen erstklassig ist, gibt es potenzielle Schwachstellen. Mit den richtigen Technologien, Taktiken und Partnerschaften für eine sichere Dateifreigabe kann man den Schutz vertraulicher Daten in Google Drive jedoch wesentlich verbessern. Durch zusätzliche Lösungen lassen sich grundlegende Bereiche wie Datenklassifizierung und Cloud-Sicherheit besser adressieren und auch die Gefahr durch Insider, die wissentlich oder unabsichtlich Anmeldeinformationen preisgeben oder Daten offenlegen, deutlich reduzieren.
Über den Autor: Michael Scheffler ist Country Manager DACH von Varonis Systems.
(ID:48733633)
:quality(80)/p7i.vogel.de/wcms/ed/52/ed52708ae572b06e7dc2ab8b5c1e1cb1/0110011261.jpeg "Die Cloud ist aufgrund ihrer Flexibilität, Kosteneffizienz und Benutzerfreundlichkeit zu einer zentralen Komponente der Informationstechnologie geworden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/f2/77f26f12e427bd209803d9b275e70192/0110628233.jpeg "Mit Chronicle bietet Google eine neue Security-Suite für SIEM-Projekte. (Bild: Alex - stock.adobe.com)")