McAfee-Report zur Datenverteilung in der Cloud

Clouds mit bekannten Sicherheitslecks werden trotzdem genutzt

| Autor: Elke Witmer-Goßner

Private Geräte, die Vernetzung verschiedener Cloud-Dienste und die Verbreitung riskant eingestufter Anwendungen können in Unternehmen zum „großen Knall“ führen.
Private Geräte, die Vernetzung verschiedener Cloud-Dienste und die Verbreitung riskant eingestufter Anwendungen können in Unternehmen zum „großen Knall“ führen. (Bild: gemeinfrei © skeeze - Pixabay / Pixabay)

Das Thema Sicherheit bei der Cloud-Nutzung ist noch lange nicht vom Tisch, glaubt man den Ergebnissen einer neuen MacAfee-Studie. Demnach nutzen mehr als die Hälfte der Unternehmen Cloud-Services, die bereits Angriffen ausgesetzt waren. Und viele speichern sensible Daten in der Cloud und wissen gar nichts davon.

Der neue McAfee-Report „Enterprise Supernova: Data Dispersion Cloud Adoption and Risk Report" untersucht, inwieweit sich Daten innerhalb der Cloud und auf mobilen Endgeräten verteilen. Der Fokus lag hierbei auf der Herausarbeitung von Sicherheitsrisiken in der IT-Landschaft von Unternehmen. Um einen umfangreichen Überblick über die vorherrschende Datenzerstreuung in der Cloud zu erhalten, wurden für die Studie 1.000 Unternehmen aus 11 Ländern befragt, sowie anonymisierte Cloud-Ereignisse von 30 Millionen Unternehmen, die Cloud-Services verwenden, berücksichtigt.

Unternehmen sind zu leichtsinnig

Die Studie macht deutlich: Das Sicherheitsdenken bei der Nutzung von Cloud-Services in Unternehmen ist definitiv ausbaufähig: IT-seitig ebenso wie von Anwenderseite. So zeigt sich, dass 52 Prozent der Umfrageteilnehmer Cloud-Services nutzen, die in der Vergangenheit bereits kompromittiert wurden. Bei einem von vier Unternehmen gelangen sensible Daten auf privat genutzte Geräte. Über 45.000 Fälle von Datenverlust werden von der IT aufgrund fehlender Sicherheitsmaßnahmen übersehen. Und obwohl die Unternehmens-IT die Nutzung von durchschnittlich 41 Cloud-Services genehmigt – 33 Prozent mehr als im letzten Jahr –, besteht weiterhin die Gefahr der Schatten-IT: Somit werden tausende Dienste trotz ausbleibender Überprüfung ad-hoc verwendet.

In vielen Unternehmen wird gerade mit sensiblen Daten in der Cloud fast fahrlässig umgegangen. 79 Prozent der befragten Unternehmen speichern sensible Daten in Public-Cloud-Diensten. Eines von fünf Unternehmen gibt sogar zu, keinen Überblick über die Daten zu haben, die sich in der Cloud befinden. Laut der Studie beinhalten insgesamt 26 Prozent der Daten, die in der Cloud gespeichert werden, sensible Inhalte. Im letzten Jahr waren es noch 21 Prozent. Doch auch auf Anbieterseite gibt es Versäumnisse: 91 Prozent aller Cloud-Services sind nicht in der Lage, gespeicherte Daten (Data at Rest) zu verschlüsseln, was bedeutet, dass diese während eines Sicherheitsvergehens nicht geschützt sind.

Kritisch ist auch der Zugang zur Cloud über private Geräte wie Smartphones oder Laptops zu sehen, den 79 Prozent der Unternehmen erlauben. Bei einem von vier Unternehmen kam es bisher vor, dass sensiblen Daten von der Cloud auf ein nicht genehmigtes Gerät heruntergeladen wurden. Diese Geräte tauchen nicht auf dem Radar der IT-Security auf und folglich kann nicht kontrolliert werden, was mit den Daten passiert. Ein besonderer Vorteil der Cloud, dass Daten schnell von A nach B gesendet werden können – auch von einem Cloud Service zum nächsten – kann ebenfalls schnell zum Risiko in Sachen Datenschutz werden. Rund die Hälfte der Daten (49 Prozent) werden in der Cloud gespeichert, um irgendwann versendet zu werden. Doch eine von zehn Dateien wird trotz des sensiblen Inhalts über einen öffentlich zugänglichen Link geteilt.

Umfassende Sicherheitsarchitektur ist notwendig

Damit also Unternehmen ihre Daten vor einer unsachgemäßen Nutzung oder dem Eindringen von außen angemessen schützen können, müssen sie zuerst einmal verstehen, was mit Daten passiert, die sich in der Cloud befinden und wie sich das Risiko im Laufe des Cloud-Fortschritts verändert hat. Denn jede potenzielle Lücke in Sachen Datensicherheit lädt förmlich zu Sicherheitsverletzungen und Verstößen gegen Sicherheitsregulierungen ein. Und je mehr Daten in die Cloud fließen und je mehr diese wächst, desto weniger werden Technologie und fachgerechtes Training Schritt halten können. Aber Personal, dass andere Mitarbeiter aufklären und schulen bzw. auf technischer Seite für mehr Sicherheit sorgen könnte, fehlt in vielen Betrieben. 30 Prozent der Unternehmen geben an, dass ihnen Fachkräfte fehlen, um ihre Software-as-a-Service-Anwendungen zu schützen. Und auch die bloße Erkenntnis von 93 Prozent der Chief Information Security Officers (CISOs), dass sie vorrangig die Verantwortung über die Datensicherheit in der Cloud tragen, ist kaum ausreichend.

Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, befürchtet, dass sich „Agilität und Kosteneinsparungen, die sich durch Cloud-Anwendungen ergeben“ gegen die Sicherheitsbedenken durchgesetzt hätten und sich in den Unternehmen „ein gefährliches Gefühl der Sicherheit“ eingestellt habe. Er empfiehlt gerade vor dem Hintergrund, dass viele SaaS-Applikationen aus Fachabteilungen vorangetrieben werden, die damit verbundenen Risiken nicht zu unterschätzen. Um Compliance vorbeugend zu verbessern und Container-Workloads zu sichern, müsse ein Shift-Left-Ansatz verfolgt werden, „das heißt, die Sicherheit bereits zu Beginn des Entwicklungszyklus mit zu denken“, so Haas.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46363481 / Cloud und Virtualisierung)