:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
Virtual Private Network für die Cloud
Virtuelle private Netzwerke (VPNs) ermöglichen mithilfe von Verschlüsselungstechniken, sichere Verbindungen auch über öffentliche Netzwerke aufzubauen. Dadurch bieten VPNs eine in der Regel angemessene Vertrauenswürdigkeit. Unternehmen können – auch in der Cloud – zwischen verschiedenen VPN-Implementierungen wählen, jede hat allerdings ihre Stärken und Schwächen, mit denen wir uns im Folgenden auseinandersetzen:
Die älteste VPN-Technik ist das Netzwerk-zu-Netzwerk-VPN. Mit dieser Architektur gehen aufgrund der Zahl der involvierten Hosts die größten Risiken einher. Für Client-Cloud-Verbindungen ist ein solches VPN weniger geeignet, wohl aber innerhalb der Cloud, insbesondere bei der Anbindung von Server-Farmen oder -Mashups.
Wie bereits erwähnt, stellt der Network-to-Network-Ansatz einige Herausforderungen bezüglich der Sicherheit. Die Möglichkeit, sich unerkannt über einen verschlüsselten Tunnel mit den involvierten Hosts zu verbinden, wird bei jedem potentiellen Hacker für einen Motivationsschub sorgen.
Wird auch nur ein Bestandteil der Cloud kompromittiert, muss man davon ausgehen, dass auch alle per Netzwerk-zu-Netzwerk-VPN angebundenen Komponenten gefährdet sind. Ein Angreifer könnte somit diverse Services und Hosts dazu nutzen, sensible Daten auszuspähen und abzufangen. Netzwerk-zu-Netzwerk-VPNs bietet zwar hinter dem Entschlüsselungspunkt eine gute Transparenz und Kontrolle, die Daten sind bis zum Erreichen der Endpunkte aber naturgemäß nicht ausreichend geschützt.
Ein weiteres hausgemachtes Problem besteht darin, dass die Kunden eines Cloud-Providers nicht wissen (können), welche Komponenten an die Cloud angeschlossen und möglicherweise gefährdet sind. Hier greift das sogenannte „Reverse Darwinism“-Prinzip, nach dem selbst ein sicher konfiguriertes Netzwerk nur die Sicherheit bietet, die ein angebundenes, möglicherweise schlechter geschütztes Netzwerk bereitstellt.
Die zweite VPN-Option fürs Cloud Computing ist das Single-Host-to-Server-VPN auf Grundlage des Point-to-Point Tunneling Protocol (PPTP). Dabei wird ein verschlüsselter VPN-Tunnel zwischen Client und Host aufgebaut, über den verschiedenste Dienste laufen. Wie beim Netzwerk-zu-Netzwerk-Ansatz werden die Verbindungen hierbei in der Regel auf der Vermittlungsschicht (Layer 3 des OSI-Referenzmodells) aufgebaut. Demzufolge ergeben sich auch ähnliche Sicherheitsprobleme.
Vorteile eines Single-Service-VPN
Aus den genannten Gründen entscheiden sich die meisten Cloud-Provider für ein Service-to-Host-Modell via SSH, SSL oder einem anderen Service. Auch dieser Ansatz hat unweigerlich seine Schwächen. Allerdings lässt sich durch ein solches Single-Service-VPN wenigstens die Größe der Zugriffsbereiche auf ein Minimum beschränken. Gleichzeitig ist es deutlich einfacher, einen gewissen Sicherheitsstatus einzuhalten und diesen zu kontrollieren.
Das Service-to-Host-Modell bietet die Möglichkeit, eine komplette Sitzung zu überwachen. Der Cloud Provider kann beispielsweise Logging Software und weitere Sicherheitsmechanismen in die Cloud-Computing-Infrastruktur integrieren. Derartige Mechanismen hängen aber zwangsweise vom bestehenden Sicherheitsmodell des Cloud Providers ab.
Aus Compliance-Gründen dürfen Logging und Event Monitoring allerdings in vielen Unternehmen nicht fehlen. Deshalb sollte vor einem Vertragsabschluss mit dem Provider geklärt werden, welche Prozesse und Vorkommnisse überwacht sowie in Logs und Reportings festgehalten werden. Bietet der Provider hinsichtlich der Reportings nicht die gewünschte Granularität und Tiefe, sollte man sich nach einem alternativen Anbieter umsehen.
Der Gebrauch von Single-Service-VPN-Zugriffen auf die Cloud gilt gemeinhin als der sicherste Ansatz und kann die Angriffspunkte sowohl auf dem Client als auch auf dem Sever auf ein Minimum reduzieren. Der Auftraggeber sollte bezüglich der Cloud-Architektur seines Providers aber immer auf dem Laufenden bleiben, die fortschreitende Technik im Auge behalten und so viele Aspekte seines eigenen Sicherheitsmodells wie möglich auch in der Cloud abbilden können.
Nachdem wir nun die Herausforderungen kennen, die mit bestimmten Geräten und VPN-Techniken einhergehen, werden wir und im dritten und letzten Teil dieser Serie mit den Sicherheitsbedrohungen in der Cloud auseinandersetzen.
(ID:2053193)
:quality(80)/p7i.vogel.de/wcms/44/fa/44fa43e7bc83d074f5f004e348c622fe/0126745744v2.jpeg "ZTNA-Lösungen bieten identitäts- und kontextbasierte Zugriffe und machen so den unsicheren VPN-Fernzugriff überflüssig. (Bild: © Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/ab/59ab85220e30bae72a38a07ff08de53a/0126321707v2.jpeg "Klassische Security mit VPN und Firewalls stößt in hybriden Umgebungen an Grenzen. SASE vereint Netzwerk und Sicherheit in der Cloud, stärkt Zero Trust, senkt Kosten und sorgt für Compliance und Performance in globalen IT-Strukturen. (Bild: © arrow - stock.adobe.com)")