:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Security Public Cloud-Umgebungen richtig absichern
Unberechtigte Zugriffe, unsichere Schnittstellen und Fehlkonfigurationen: Das sind laut einer aktuellen Umfrage die drei größten Sicherheitsrisiken in der Public Cloud. Sie in den Griff zu bekommen, ist komplex – wie unter anderem ein Datenschutzvorfall bei Facebook zeigt. Es gibt einige wichtige Sicherheitsmaßnahmen, die Unternehmen treffen sollten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im vergangenen September stand wieder einmal eine große Social-Media-Plattform wegen einer Datenschutzverletzung in der Kritik: Ein IT-Sicherheitsexperte hatte entdeckt, dass die Telefonnummern von etwa 420 Millionen Facebook-Anwendern öffentlich im Internet zugänglich waren. Das Gefährliche daran: Kriminelle könnten mit den Telefonnummern die Passwörter von Facebook-Nutzern zurücksetzen und Accounts kapern. Wie es dazu kam, dass die Daten öffentlich zugänglich waren, ist bisher nicht geklärt. Hinweise auf einen Hackerangriff gab es offensichtlich keine. Vermutlich liegt dem Vorfall schlichtweg eine Fehlkonfiguration zu Grunde, sodass die Daten nicht nur intern für befugte Nutzer, sondern öffentlich erreichbar waren. Nicht umsonst zählen Fehlkonfigurationen zu den Top-Drei-Sicherheitsbedrohungen in Public Clouds, so der Check Point Cloud Security Report 2019. 40 Prozent der befragten Unternehmen sehen diese als größte Gefahr, neben unsicheren Schnittstellen (42 Prozent) und unberechtigten Zugriffen (42 Prozent).
Wer ist wofür verantwortlich?
Genau wie Facebook stehen viele Unternehmen vor der Herausforderung, ihre Cloud-Umgebungen richtig abzusichern. Dabei müssen sie sich zunächst bewusst machen, für welche Bereiche sie selbst verantwortlich sind. Grundsätzlich gilt für die Public Cloud das Shared-Responsibility-Modell. Demnach kümmert sich der Cloud Provider um die Sicherheit der Cloud an sich – je nach gebuchtem Service also um die Cloud Infrastruktur bei IaaS, die Plattform (PaaS) oder die Anwendung (SaaS). Alles, was der Kunde jedoch in der Cloud macht, liegt in seiner eigenen Verantwortung. Er muss also zum Beispiel selbst dafür sorgen, dass seine Daten verschlüsselt sind und nur befugte Personen Zugriff haben. Bei IaaS ist er auch für die Absicherung seiner Plattformen, Applikationen und Betriebssysteme, die er in der Cloud betreibt, selbst zuständig. Er muss sie sicher konfigurieren und Patches einspielen.
Herausforderungen für IT-Administratoren
Cloud-Umgebungen richtig zu schützen ist alles andere als trivial. Denn Administratoren müssen sich mit einer komplexen IT-Landschaft auseinandersetzen, die neben On-Premises-Infrastruktur auch viele verschiedene Systeme umfasst, die sie nicht unter eigener Kontrolle haben. Zudem setzen Unternehmen oft Public Cloud Services von verschiedenen Providern ein, die jeweils unterschiedliche Administrationsportale haben. Sich auf jedem einzelnen gut auszukennen ist aufwendig. Dadurch kann es leicht einmal passieren, dass man eine wichtige Einstellung übersieht und Daten nicht richtig geschützt sind. Hinzu kommt, dass IT-Verantwortliche auch alle Zugriffswege auf die Cloud berücksichtigen müssen – sei es eine Webplattform oder APIs, über die andere Anwendungen an die Cloud angebunden sind. All diese Schnittstellen müssen sicher konfiguriert sein. Zudem ist zwischen SaaS und Endpoint meist keine Absicherung möglich. Daher kommen Daten, die in der Cloud liegen, häufig ungefiltert bis auf den Client und können erst dort wieder analysiert werden. Auch dafür muss der Administrator Sorge tragen.
Bei Public Cloud Services sind viele Konfigurationsschritte durchzuführen – genau wie bei On-Premises-Systemen. Doch während für die lokale Infrastruktur in der Regel verschiedene, spezialisierte Teams zuständig sind, muss sich das Cloud-Team meist um alle Bereiche selbst kümmern – ob Webtraffic oder die E-Mail-Kette. Kaum jemand verfügt über tiefes Fachwissen in allen geforderten Gebieten. Auch dadurch passieren schnell einmal Fehler mit weitreichenden Folgen. Es gilt trotzdem, dieselben Anforderungen wie für On-Premises Security auch in der Public Cloud zu erfüllen. Für Office 365 bedeutet das beispielsweise, geeignete Anti-Spam-, Verschlüsselungs-, Sandboxing- und Antivirus-Lösungen zu implementieren.
Fehlkonfigurationen vermeiden
Um das Risiko für Fehlkonfigurationen in den Griff zu bekommen, müssen sich Cloud-Teams zunächst einmal einen Überblick über alle im Unternehmen eingesetzten Public Cloud Services verschaffen. Oft gibt es hier einen großen Anteil an Schatten-IT, was die Absicherung erschwert. Hilfreich ist der Einsatz eines Cloud Access Security Brokers (CASB) wie Dome9 von Check Point oder Mvision Cloud von McAfee/Skyhigh Networks. Axians hat als erster ICT-Systemintegrator Erfahrung mit der Einführung von Dome9 in Deutschland gesammelt. Solche auf Cloud Security spezialisierten Sicherheitslösungen scannen alle Public Cloud Services im Unternehmen. Sie machen die Cloud-Umgebung transparent und zeigen genau, welcher Dienst von wo erreichbar ist und mit wem er kommuniziert. Außerdem prüfen sie die Konfiguration und geben Warnmeldungen aus, falls Einstellungen von Best Practices abweichen. Dome9 bietet zudem eine zentrale Administrationskonsole, um Sicherheitsrichtlinien in verschiedenen Public Cloud Services wie AWS, Azure und Google Cloud Platform zu konfigurieren und durchzusetzen. Das reduziert Komplexität und erleichtert es Administratoren erheblich, für ein hohes Sicherheitsniveau zu sorgen.
Schutz vor unberechtigtem Zugriff
Ein noch größeres Risiko als Fehlkonfigurationen sind laut der Check-Point-Studie unberechtigte Zugriffe. Kein Wunder, denn Cloud Services sind von überall erreichbar. Sicherzustellen, dass sich nur befugte Nutzer anmelden, ist daher essenziell, gleichzeitig aber auch schwieriger als bei On-Premises-Systemen. So kann man im eigenen Netzwerk zum Beispiel Zugangskontrollen umsetzen, indem man Anwender anhand von IP-Adressen identifiziert und filtert. Nur der Nutzer, der von einer bestimmten IP-Adresse kommt, hat dann überhaupt Zugriff. In der Cloud funktioniert dies nicht, da man Anwender keinen bestimmen IP-Adressen zuordnen kann. Nur Zugriffe per VPN oder von der IP-Adresse der eigenen Firma zuzulassen, wäre zwar möglich, ist aber meist nicht praktikabel. Eine einfache Authentifizierung des Nutzers mit Login-Name und Passwort bietet nur unzureichende Sicherheit. Denn Kriminellen gelingt es immer wieder, Account-Daten zu stehlen – sei es per Phishing oder Social Engineering. Trickreiche Hacker machen sich sogar die Mühe, Login-Seiten täuschend echt nachzubauen und Nutzer dorthin zu leiten. Für Laien ist es meist nicht möglich, diesen Betrug zu erkennen. Auf diese Weise können die Gauner in großem Stil Anmeldedaten kapern.
Um die Nutzer-Identifikation sicherer zu machen, empfiehlt es sich daher, eine Zwei-Faktor-Authentifizierung einzusetzen, zum Beispiel mit einem zusätzlichen Einmal-Passwort oder einem Zertifikat. Ein weiterer Schutzmechanismus ist die Auswertung von Geo-Informationen, also von wo sich ein Nutzer versucht einzuloggen. Kombiniert mit Threat Intelligence lassen sich auf diese Weise verdächtige Zugriffe herausfiltern und blockieren. Ein CASB kann solche Schutzmechanismen auf Public Cloud Services anwenden, indem er eine zusätzliche Authentifizierungs-Ebene vorschaltet.
Fazit
Mit ihrer Flexibilität und Skalierbarkeit fördern Public Cloud Services die Digitalisierung. Daher ist davon auszugehen, dass Unternehmen immer mehr Workloads dorthin auslagern. Parallel dazu setzen sie auch weiterhin On-Premises-Systeme und Private Clouds ein, sodass komplexe IT-Landschaften entstehen. Um für Sicherheit zu sorgen, empfiehlt es sich, spezialisierte Sicherheitslösungen für Public Cloud Services einzusetzen, die die Komplexität reduzieren. Cloud Teams müssen zudem Know-how in allen Bereichen der Cloud Security aufbauen. Ein spezialisierter Dienstleister kann dabei helfen.
Über den Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security.
(ID:46323951)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954382/original.jpg "Auch die Security-Abteilungen von Unternehmen suchen dringend qualifiziertes Personal. (Robert Kneschke - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896295/original.jpg "Hilfe im Notfall: Cohesity bietet nun auch Disaster-Recovery-as-a-Service an. (gemeinfrei)")