:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Nutzung von Public Clouds Unbegründete Angst vor der Cloud
Hätte man vor einigen Jahren einen CIO gefragt, wie maximale Sicherheit in einer Public Cloud zu erzielen ist, hätte er vermutlich geantwortet: Einfach keine nutzen. Heute fällt die Antwort vermutlich schon deshalb differenzierter aus, weil viele Unternehmen über praktische Erfahrungen mit Sicherheit und Governance in Public Clouds verfügen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Viele Argumente gegen die Nutzung von Public Clouds konzentrieren sich auf die damit verbundenen Risiken. Keine Frage: Die Risiken müssen bewertet und eingegrenzt werden. Unternehmen können ihren Mitarbeitern beispielsweise den Zugriff auf Public-Cloud-Ressourcen mit ihren persönlichen Endgeräten erlauben, wenn sie eine Zwei-Faktor-Authentifizierung einsetzen.
Risiken sind jedoch auch von geschäftlichen Anforderungen und technologischen Rahmenbedingungen abhängig. Möglicherweise entsteht durch die Nutzung eines Third-Party-Services ein Risiko, weil der Anbieter sein Geschäft aufgeben oder den Dienst einstellen könnte. Ist der geschäftliche Nutzen – beispielsweise eine bessere Kundenanalyse – signifikant, sollten Unternehmen das höhere Risiko eingehen – oder auch nicht. Auf jeden Fall sollten Risiken und deren Eintrittswahrscheinlichkeit in einem breiteren Kontext betrachtet werden und nicht nur auf dem engen Feld der IT.
Alles verbieten fördert die Schatten-IT
Weit mehr noch als eine Kosten-Nutzen-Analyse hat eine generelle Risikoaversion zu dem geführt, was als Schatten-IT bekannt ist. Da eine IT-Abteilung zum Beispiel beschloss, der sicherste und zuverlässigste Ansatz sei, den Zugriff zu Public Clouds generell zu verbieten, umgingen Fachabteilungen die Vorgabe dadurch, dass sie aus ihrem eigenen Budget die Services von Public Clouds in Anspruch nahmen.
Das muss nicht unbedingt zum Problem werden. Durch die allgegenwärtige Verfügbarkeit ist es weder sinnvoll noch praktikabel, dass die IT bei allen Technologieentscheidungen beteiligt ist. Gleichzeitig spielt die IT-Abteilung aber eine wichtige Rolle bei der Etablierung von Best Practices für die IT-Sicherheit und die Evaluierung neuer Lösungen. Diese Vorteile gehen aber verloren, wenn Entscheidungen an der IT vorbei getroffen werden.
Unrealistische Erwartungen an IT-Sicherheit im eigenen Rechenzentrum
Widerstand gegen Public Clouds entsteht vor allem bei einem Vergleich mit der fiktiven IT-Infrastruktur eines unternehmenseigenen Rechenzentrums, in dem es nie eine falsch konfigurierte Firewall oder einen böswilligen Mitarbeiter gibt und immer sofort die neuesten Sicherheits-Updates installiert werden. In einigen IT-Abteilungen, vor allem großer Unternehmen, gibt es sicherlich eine straffe Führung und Kontrolle. Vor allem in kleinen Unternehmen aber fehlt die dazu notwendige IT-Sicherheitsexpertise.
Trotz der vermeintlich sehr hohen Sicherheitsstandards in den unternehmenseigenen Rechenzentren bleiben Datenpannen nicht aus. Als Folge strenger gesetzlicher Regeln zur Informationspflicht gelangen immer wieder Fälle von Datenverlusten und Datendiebstahl an die Öffentlichkeit.
Daraus folgt nicht, dass die Sicherheit bei einem Public Cloud Provider automatisch höher wäre. Im eigenen Rechenzentrum kann ein Unternehmen selbst Maßnahmen und Prozesse zur Einhaltung der Vorgaben aus dem Datenschutz definieren und überwachen. Bei einer Evaluation von Public-Cloud-Providern sollten Unternehmen daher beispielsweise auf das Vorhandensein allgemein anerkannter Sicherheitszertifikate und Referenzen achten.
Existierende Best Practices vernachlässigen
Hat sich ein Unternehmen für die Nutzung einer Public Cloud entschieden, besteht die Gefahr, dass bezüglich Sicherheit die gegenteiligen Fehler begangen werden. Einige sind dann der Meinung, dass sie Aufgaben der IT-Sicherheit, für die sie eigentlich zuständig sind, an den Cloud-Provider delegieren können. Bei der Diskussion mit Public-Cloud-Providern geht es schnell um ein „Shared-Responsibility-Modell“, bei dem – abhängig von der Art des Cloud-Service – der Provider für bestimmte IT-Sicherheitsaufgaben und der User (der Auftraggeber) für andere zuständig ist.
In einer Public-Cloud-Infrastructure-as-a-Service-Umgebung ist der Provider für den Betrieb und die Sicherheit von Servern, Speichersystemen, Netzwerk und Basisdiensten zuständig. Der User ist verantwortlich für die Sicherheit der Applikationen und der Daten. Will oder kann er diese Verantwortung nicht übernehmen, muss sich der User für ein anderes Cloud-Modell, etwa Software-as-a-Service, entscheiden.
Es fehlt eine umfassende Management-Strategie
Historisch betrachtet, hat die IT die Infrastruktur aufgebaut und Applikationen erstellt, die darauf laufen. Mit dem Aufkommen von Public Clouds und anderen Services musste die IT zunehmend die Aufgabe übernehmen, neue Geschäftspotenziale zu erschließen – ein Prozess, der nicht immer reibungslos verlief. Die IT muss dabei, zusammen mit den Fachabteilungen, einen komplexen Ansatz bei der Bereitstellung und Verwaltung von IT-Services verfolgen.
Aus Security- und Governance-Sicht hat dies oft zu inkonsistenten Regeln bei der gemeinsamen Nutzung von Daten durch externe Services und der Festlegung, wo Daten gespeichert werden, geführt. Eine weitere Schwäche war die Fragmentierung beim Identitäts- und Zugriffsmanagement.
IT-Abteilungen adressieren einige dieser Herausforderungen mit speziellen Technologien wie Cloud-Management-Plattformen, Single Sign-On und Identitätsmanagement. Daraus ergeben sich aber auch organisatorische Änderungen, etwa der Aufbau von funktionsübergreifenden Teams, die aus Führungskräften der IT- und Fachabteilungen bestehen. Und dies ist vielleicht einer der wichtigsten Punkte: Die Einführung von Hybrid und Public Clouds erfordert oft spezifische Praktiken, Prozesse und Technologien. Sie erfordert aber auch ein Verständnis dafür, wie sich als Folge davon die IT und deren Beziehungen zum restlichen Unternehmen ändern.
Über den Autor: Gordon Haff ist Cloud Strategist bei Red Hat.
(ID:44860547)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904594/original.jpg "Beim Thema Cloud-Sicherheit zeichnen sich einige Veränderungen ab, die für Unternehmen als Cloud-Anwender wichtig werden können. (gemeinfrei© Meli1670)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945541/original.jpg "Ransomware ist nach wie vor das alles überschattende Sicherheitsproblem der IT. Um dieser Gefahr adäquat begegnen zu können, müssen nicht nur Schutzmaßnahmen, sondern auch Datenwiederherstellungslösungen auf Cyberattacken und deren Folgen zugeschnitten sein. (gemeinfrei)")