:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Security Public Cloud-Umgebungen richtig absichern
Unberechtigte Zugriffe, unsichere Schnittstellen und Fehlkonfigurationen: Das sind laut einer aktuellen Umfrage die drei größten Sicherheitsrisiken in der Public Cloud. Sie in den Griff zu bekommen, ist komplex – wie unter anderem ein Datenschutzvorfall bei Facebook zeigt. Es gibt einige wichtige Sicherheitsmaßnahmen, die Unternehmen treffen sollten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im vergangenen September stand wieder einmal eine große Social-Media-Plattform wegen einer Datenschutzverletzung in der Kritik: Ein IT-Sicherheitsexperte hatte entdeckt, dass die Telefonnummern von etwa 420 Millionen Facebook-Anwendern öffentlich im Internet zugänglich waren. Das Gefährliche daran: Kriminelle könnten mit den Telefonnummern die Passwörter von Facebook-Nutzern zurücksetzen und Accounts kapern. Wie es dazu kam, dass die Daten öffentlich zugänglich waren, ist bisher nicht geklärt. Hinweise auf einen Hackerangriff gab es offensichtlich keine. Vermutlich liegt dem Vorfall schlichtweg eine Fehlkonfiguration zu Grunde, sodass die Daten nicht nur intern für befugte Nutzer, sondern öffentlich erreichbar waren. Nicht umsonst zählen Fehlkonfigurationen zu den Top-Drei-Sicherheitsbedrohungen in Public Clouds, so der Check Point Cloud Security Report 2019. 40 Prozent der befragten Unternehmen sehen diese als größte Gefahr, neben unsicheren Schnittstellen (42 Prozent) und unberechtigten Zugriffen (42 Prozent).
Wer ist wofür verantwortlich?
Genau wie Facebook stehen viele Unternehmen vor der Herausforderung, ihre Cloud-Umgebungen richtig abzusichern. Dabei müssen sie sich zunächst bewusst machen, für welche Bereiche sie selbst verantwortlich sind. Grundsätzlich gilt für die Public Cloud das Shared-Responsibility-Modell. Demnach kümmert sich der Cloud Provider um die Sicherheit der Cloud an sich – je nach gebuchtem Service also um die Cloud Infrastruktur bei IaaS, die Plattform (PaaS) oder die Anwendung (SaaS). Alles, was der Kunde jedoch in der Cloud macht, liegt in seiner eigenen Verantwortung. Er muss also zum Beispiel selbst dafür sorgen, dass seine Daten verschlüsselt sind und nur befugte Personen Zugriff haben. Bei IaaS ist er auch für die Absicherung seiner Plattformen, Applikationen und Betriebssysteme, die er in der Cloud betreibt, selbst zuständig. Er muss sie sicher konfigurieren und Patches einspielen.
Herausforderungen für IT-Administratoren
Cloud-Umgebungen richtig zu schützen ist alles andere als trivial. Denn Administratoren müssen sich mit einer komplexen IT-Landschaft auseinandersetzen, die neben On-Premises-Infrastruktur auch viele verschiedene Systeme umfasst, die sie nicht unter eigener Kontrolle haben. Zudem setzen Unternehmen oft Public Cloud Services von verschiedenen Providern ein, die jeweils unterschiedliche Administrationsportale haben. Sich auf jedem einzelnen gut auszukennen ist aufwendig. Dadurch kann es leicht einmal passieren, dass man eine wichtige Einstellung übersieht und Daten nicht richtig geschützt sind. Hinzu kommt, dass IT-Verantwortliche auch alle Zugriffswege auf die Cloud berücksichtigen müssen – sei es eine Webplattform oder APIs, über die andere Anwendungen an die Cloud angebunden sind. All diese Schnittstellen müssen sicher konfiguriert sein. Zudem ist zwischen SaaS und Endpoint meist keine Absicherung möglich. Daher kommen Daten, die in der Cloud liegen, häufig ungefiltert bis auf den Client und können erst dort wieder analysiert werden. Auch dafür muss der Administrator Sorge tragen.
Bei Public Cloud Services sind viele Konfigurationsschritte durchzuführen – genau wie bei On-Premises-Systemen. Doch während für die lokale Infrastruktur in der Regel verschiedene, spezialisierte Teams zuständig sind, muss sich das Cloud-Team meist um alle Bereiche selbst kümmern – ob Webtraffic oder die E-Mail-Kette. Kaum jemand verfügt über tiefes Fachwissen in allen geforderten Gebieten. Auch dadurch passieren schnell einmal Fehler mit weitreichenden Folgen. Es gilt trotzdem, dieselben Anforderungen wie für On-Premises Security auch in der Public Cloud zu erfüllen. Für Office 365 bedeutet das beispielsweise, geeignete Anti-Spam-, Verschlüsselungs-, Sandboxing- und Antivirus-Lösungen zu implementieren.
Fehlkonfigurationen vermeiden
Um das Risiko für Fehlkonfigurationen in den Griff zu bekommen, müssen sich Cloud-Teams zunächst einmal einen Überblick über alle im Unternehmen eingesetzten Public Cloud Services verschaffen. Oft gibt es hier einen großen Anteil an Schatten-IT, was die Absicherung erschwert. Hilfreich ist der Einsatz eines Cloud Access Security Brokers (CASB) wie Dome9 von Check Point oder Mvision Cloud von McAfee/Skyhigh Networks. Axians hat als erster ICT-Systemintegrator Erfahrung mit der Einführung von Dome9 in Deutschland gesammelt. Solche auf Cloud Security spezialisierten Sicherheitslösungen scannen alle Public Cloud Services im Unternehmen. Sie machen die Cloud-Umgebung transparent und zeigen genau, welcher Dienst von wo erreichbar ist und mit wem er kommuniziert. Außerdem prüfen sie die Konfiguration und geben Warnmeldungen aus, falls Einstellungen von Best Practices abweichen. Dome9 bietet zudem eine zentrale Administrationskonsole, um Sicherheitsrichtlinien in verschiedenen Public Cloud Services wie AWS, Azure und Google Cloud Platform zu konfigurieren und durchzusetzen. Das reduziert Komplexität und erleichtert es Administratoren erheblich, für ein hohes Sicherheitsniveau zu sorgen.
Schutz vor unberechtigtem Zugriff
Ein noch größeres Risiko als Fehlkonfigurationen sind laut der Check-Point-Studie unberechtigte Zugriffe. Kein Wunder, denn Cloud Services sind von überall erreichbar. Sicherzustellen, dass sich nur befugte Nutzer anmelden, ist daher essenziell, gleichzeitig aber auch schwieriger als bei On-Premises-Systemen. So kann man im eigenen Netzwerk zum Beispiel Zugangskontrollen umsetzen, indem man Anwender anhand von IP-Adressen identifiziert und filtert. Nur der Nutzer, der von einer bestimmten IP-Adresse kommt, hat dann überhaupt Zugriff. In der Cloud funktioniert dies nicht, da man Anwender keinen bestimmen IP-Adressen zuordnen kann. Nur Zugriffe per VPN oder von der IP-Adresse der eigenen Firma zuzulassen, wäre zwar möglich, ist aber meist nicht praktikabel. Eine einfache Authentifizierung des Nutzers mit Login-Name und Passwort bietet nur unzureichende Sicherheit. Denn Kriminellen gelingt es immer wieder, Account-Daten zu stehlen – sei es per Phishing oder Social Engineering. Trickreiche Hacker machen sich sogar die Mühe, Login-Seiten täuschend echt nachzubauen und Nutzer dorthin zu leiten. Für Laien ist es meist nicht möglich, diesen Betrug zu erkennen. Auf diese Weise können die Gauner in großem Stil Anmeldedaten kapern.
Um die Nutzer-Identifikation sicherer zu machen, empfiehlt es sich daher, eine Zwei-Faktor-Authentifizierung einzusetzen, zum Beispiel mit einem zusätzlichen Einmal-Passwort oder einem Zertifikat. Ein weiterer Schutzmechanismus ist die Auswertung von Geo-Informationen, also von wo sich ein Nutzer versucht einzuloggen. Kombiniert mit Threat Intelligence lassen sich auf diese Weise verdächtige Zugriffe herausfiltern und blockieren. Ein CASB kann solche Schutzmechanismen auf Public Cloud Services anwenden, indem er eine zusätzliche Authentifizierungs-Ebene vorschaltet.
Fazit
Mit ihrer Flexibilität und Skalierbarkeit fördern Public Cloud Services die Digitalisierung. Daher ist davon auszugehen, dass Unternehmen immer mehr Workloads dorthin auslagern. Parallel dazu setzen sie auch weiterhin On-Premises-Systeme und Private Clouds ein, sodass komplexe IT-Landschaften entstehen. Um für Sicherheit zu sorgen, empfiehlt es sich, spezialisierte Sicherheitslösungen für Public Cloud Services einzusetzen, die die Komplexität reduzieren. Cloud Teams müssen zudem Know-how in allen Bereichen der Cloud Security aufbauen. Ein spezialisierter Dienstleister kann dabei helfen.
Über den Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security.
(ID:46323951)
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/7c/bb7c24b21b5b1d0d4a5c2c0501e743bc/0104109568.jpeg "Entwicklung in der Cloud für die Cloud – der Cloud-native Ansatz sollte auch für Security-Lösungen gelten. (Bild: peshkov - stock.adobe.com)")