:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenlecks in der Cloud Warum Sicherheit in der Cloud nicht unterschätzt werden sollte
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Skepsis, Überzeugung, Etablierung. Diese Stufen durchlaufen in der Regel alle technischen Innovationen. So auch das Thema Cloud Computing. Nach anfänglicher Skepsis und Zurückhaltung hat das Thema vor allem durch die Corona-Pandemie an Bedeutung gewonnen. Neben der Implementierung ist die Sicherheit in der Cloud einer der größten Herausforderungen.
Spätestens seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 muss jedes Unternehmen persönliche Daten schützen und sichern. Zusätzlich wurde im Jahr 2020 das Privacy Shield Abkommen gekippt. Dieses ermöglichte es Unternehmen, europäische Daten auf US-Servern zu verarbeiten. Ein großes Problem, denn viele europäische Unternehmen hatten ihre Daten bis dato bei Cloud-Anbietern gelagert, deren Hauptsitz nicht in Europa war.
Dann kam die Corona-Pandemie. Der Arbeitsalltag vieler und klassische Geschäftsprozesse veränderten sich. Unternehmen waren unter Druck, Mitarbeiter im Home Office zu vernetzen und alle Daten remote abrufbar bereitzustellen. Aufgrund der Dringlichkeit kamen Datenschutz- und Datensicherheitsprüfungen bei der Einführung neuer Cloud-Software oft zu kurz.
Jetzt ist es geboten, das eigene Cloud Setup genauer unter die Lupe zu nehmen, um sich langfristig sicher aufzustellen. Eine große Herausforderung – denn Datenschutz in der Cloud beruht auf vielen Faktoren: Ist mein Cloud-Anbieter DSGVO konform? Hat mein Cloud-Anbieter die Kompetenzen und Ressourcen, Sicherheitslücken schnell zu finden und zu schließen, um Hackern keine Einfallstore zu öffnen? Wie wachsam sind meine Mitarbeiter, um IT-Gefahren bei der Nutzung von Cloud-Diensten zu umgehen?
3 von 4 Unternehmen setzen mittlerweile auf die Cloud
Es ist nicht verwunderlich, dass die Cloud mittlerweile bei vielen im Arbeitsalltag nicht mehr wegzudenken ist. Laut Bitkom Research setzten bereits Mitte 2020 Dreiviertel aller deutschen Unternehmen auf die Cloud – mit steigender Tendenz. Zugang zu einer Cloud bekommen Unternehmen etwa über einen Cloud-Anbieter, bei welchem sie Rechenleistung und Speicherplatz mieten oder Software-as-a-Service Produkte buchen, etwa Videokonferenz-Tools, Chat-Services oder Passwort-Manager. Gerade in Bezug auf die Aspekte Cloud-Sicherheit und Kontrolle über sensible Daten, gewinnt das Konzept Private-Cloud-as-a-Service immer mehr an Bedeutung. Dieses Modell vereint das Beste aus den beiden Cloud-Welten ‚Public Cloud‘ und ‚Private Cloud‘: Kein IT-Aufwand bei zeitgleich sicherster Betriebsumgebung mit voller Daten-Souveränität.
Generell stechen vor allem europäische Cloud-Provider hervor und können mit dem Einhalten der DSGVO und somit dem Schutz sensibler personenbezogener Daten punkten. Laut den „IT-Trends 2021“ von Capgemini möchten knapp 45 Prozent der befragten Unternehmen in den kommenden Jahren ihre Cloud-Nutzung auf europäische Anbieter ausweiten und außereuropäischen den Rücken kehren. Doch trotz vieler Sicherheitsvorkehrungen der Cloud-Provider und auch der Unternehmen selbst, kommt es immer wieder zu Datenlecks.
Deutsche Unternehmen wiegen sich in Sicherheit
Obwohl Cloud-Sicherheit bei vielen Befragungen immer als besonders wichtiger Teil angesehen wird, zeigen sich in der Praxis Fehler und Lücken.
Der Studie Cloud Security 2021 zufolge wiegen sich knapp 87 Prozent in Sicherheit und glauben, dass die Unternehmensdaten in der Cloud absolut sicher sind. Die Realität sieht jedoch anders aus. IT, in jeder Form, ist angreifbar! Auch Cloud Intrastruktur und Cloud Anwendungen mit darin gespeicherten Daten.
So stellen Phishing E-Mails nach wie vor eine weitverbreitete Gefahr dar. Das Problem – sie sind immer schwerer als solche zu erkennen. Inzwischen beinhalten sie oft eine vorangegangene, abgefangene Konversation eines vertrauenswürdigen Kontakts. Ein Ziel von Phishing E-Mails: Das Abgreifen und Missbrauchen von Zugangsdaten jeder Art.
Datenpannen können aber auch durch das gezielte Suchen nach Schwachstellen im System hervorgerufen werden. Versierte Hacker verschaffen sich so einen Zugang in die Cloud und gelangen dort an sensible Daten. Vergangenes Jahr führte unter anderem das mangelhaft abgesicherte System eines Anbieters von Reservierungs- und Kontaktnachverfolgungs-Software für die Gastronomie dazu, dass Anschriften, E-Mail-Adressen und Telefonnummern von Gästen ausgelesen werden konnten.
Wenn unbefugte Dritte in den Besitz schützenswerter Daten gelangen
Vorfälle beider Art, Phishing und Hacking, haben zur Folge, dass unbefugte Dritte in den Besitz von sensiblen Daten gelangen und es zu Datenlecks kommt. Mag dies auf den ersten Blick wage klingen, verbergen sich dahinter konkrete Schäden, die verdeutlichen warum die DSGVO und ihre Umsetzung in ihrem Grundsatz zeitgemäß, absolut notwendig und auch im Interesse von Unternehmen ist. Denn kein Unternehmen möchte ursächlich dafür verantwortlich sein, dass die Kundschaft oder auch eigene Mitarbeitende konkreten Betrugsgefahren, wie Identitätsdiebstahl, Missbrauch von Bankdaten oder sonstigen Manipulationsversuchen ausgesetzt sind. Allein aus wirtschaftlichem Interesse sollten diese Gefahren ernst genommen werden - auch im relativ abstrakt klingenden Konstrukt der ‚Cloud‘.
Sicherheitsrisiken in der Cloud mit dem richtigen Anbieter minimieren
Doch welche Punkte sollten Unternehmen nun beim Thema Sicherheit in der Cloud beachten? Der erste Schritt sollte der Umzug zu Angeboten sein, deren Anbieter im europäischen Raum steht und alle Richtlinien der DSGVO einhält. Ebenfalls lohnt es sich im Vorhinein konkrete Sicherheitsfragen beim Cloud-Anbieter anzusprechen, um mögliche Risiken auszuschließen. Werden die Daten direkt beim Cloud-Provider im Rechenzentrum gespeichert, kann beispielsweise erfragt werden, wo sich dieses befindet und welche Sicherheitsvorkehrungen vor Ort in Form von Videoüberwachung und Personal getroffen werden. Falls das Unternehmen zum Teil selbst für die Sicherheit zuständig ist, kann in Erfahrung gebracht werden, in welcher Form. Müssen beispielsweise regelmäßig neue Updates zur Sicherheit oder der Firewall auf den Servern gemacht werden? Natürlich sollte auch gefragt werden, wie es mit der DSGVO-Konformität beim Cloud-Anbieter aussieht.
Außerdem sollte ein Helpdesk beim Cloud-Anbieter existieren, an das man sich bei konkreten Fragen wenden kann. Das ist nicht nur für das Unternehmen hilfreich, sondern auch für den Dienstleister. Denn der direkte Austausch trägt zu einer besseren Leistung des Cloud-Produkts bei und zeigt mögliche Probleme auf, die so schneller behoben werden können. Zudem sollte vor dem Abschluss eines Vertrags mit einem Cloud-Provider geklärt sein, was mit den Daten nach Beendigung des Vertragsverhältnisses passiert.
Normalerweise fertigt der Cloud-Anbieter regelmäßig Kopien der gespeicherten Daten an. Hilfreich, da man bei Problemen auf diese zurückgreifen kann. Doch mit dem Ende des Vertrages und nach dem Umzug der Daten sollten diese, und auch Metadaten, beim Anbieter vollständig vernichtet werden.
Zu guter Letzt: Datenverschlüsselung. Bei vielen kostenlosen Cloud-Anwendungen werden die Unternehmensdaten nicht automatisch verschlüsselt gespeichert. Das heißt, wer durch eine Sicherheitslücke in das System eindringt, sieht alles. Deshalb sollte ein Cloud-Anbieter ausgewählt werden, der die Daten ausnahmslos Ende-zu-Ende verschlüsselt oder noch besser: Eine private bzw. hybride Lösung, die die Daten vor Ort speichert. Ermöglicht ein Anbieter zusätzlich den Login via Zwei-Faktor-Authentifizierung, existiert ein weiterer wertvoller Sicherheitsmechanismus: Selbst wenn das eigene Passwort in die falschen Hände gerät, hat ein Login Versuch Dritter keinen Erfolg, weil zum Beispiel ein Code auf dem Smartphone als zweites Sicherheitsmerkmal verlangt wird.
Risikofaktor Mensch – So lassen sich vermeidbare Fehler reduzieren
Ein weiterer Punkt, um Datenlecks zu minimieren, ist der richtige Umgang der Mitarbeitenden. Konkrete Vorgaben und Hilfestellungen bei grundlegenden Themen sind bereits sehr effektiv. Beispielsweise eine definierte Passwort-Policy. Dabei sehr hilfreich: Ein Passwort Manager in der Cloud, welcher komplizierte Zugangsdaten sicher speichert und ganz einfach durch ein Generalpasswort zu entsperren ist.
Sicherheitsrisiken lassen sich demnach durch den richtigen Cloud-Anbieter deutlich verringern. Meistens müssen hierfür keine großen Investitionssummen getätigt werden, jedoch sollten potentielle Anbieter genau betrachtet werden. Am Ende muss trotzdem auf die Kompetenzen des Anbieters vertraut werden, aber dieses Vertrauen sollte auf einer begründeten und verständlichen Basis beruhen. Werden zusätzlich die Mitarbeitenden auf Gefahren in der Cloud sensibilisiert und Hilfestellungen zur Verfügung gestellt, wird auf regelmäßige Sicherheitsscans, einen europäischen Standort des Cloud Anbieters und das regelmäßige Aufspielen von Updates geachtet, ist ein Großteil der bestehenden Gefahren bereits minimiert.
Über den Autor: Matthias Bollwein ist Mitgründer des IT-Startups Uniki, das mit ELLY ein Private-Cloud-as-a-Service Modell als einfache und hochsichere IT-Lösung für mittelständische Unternehmen anbietet. In der privaten ELLY Cloud werden Daten DSGVO konform gespeichert und automatisch Ende-zu-Ende verschlüsselt. Neben einer Anwendung zum Datenaustausch werden in der Cloud weitere Programme, wie z.B. E-Mail, (Video) Chat oder Passwortmanager bereitgestellt.
(ID:47569789)
:quality(80)/p7i.vogel.de/wcms/1e/02/1e0242f966f0fc320bffdfdf6d033b40/0105814825.jpeg "Fehler passieren - sowohl dem Menschen als auch Maschinen. Doch durch den Einsatz entsprechender Technologien und auf Basis einer gelebten Security Awareness ist es möglich, interne Schwachstellen zu minimieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")