:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenlecks in der Cloud Warum Sicherheit in der Cloud nicht unterschätzt werden sollte
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Skepsis, Überzeugung, Etablierung. Diese Stufen durchlaufen in der Regel alle technischen Innovationen. So auch das Thema Cloud Computing. Nach anfänglicher Skepsis und Zurückhaltung hat das Thema vor allem durch die Corona-Pandemie an Bedeutung gewonnen. Neben der Implementierung ist die Sicherheit in der Cloud einer der größten Herausforderungen.
Spätestens seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Jahr 2018 muss jedes Unternehmen persönliche Daten schützen und sichern. Zusätzlich wurde im Jahr 2020 das Privacy Shield Abkommen gekippt. Dieses ermöglichte es Unternehmen, europäische Daten auf US-Servern zu verarbeiten. Ein großes Problem, denn viele europäische Unternehmen hatten ihre Daten bis dato bei Cloud-Anbietern gelagert, deren Hauptsitz nicht in Europa war.
Dann kam die Corona-Pandemie. Der Arbeitsalltag vieler und klassische Geschäftsprozesse veränderten sich. Unternehmen waren unter Druck, Mitarbeiter im Home Office zu vernetzen und alle Daten remote abrufbar bereitzustellen. Aufgrund der Dringlichkeit kamen Datenschutz- und Datensicherheitsprüfungen bei der Einführung neuer Cloud-Software oft zu kurz.
Jetzt ist es geboten, das eigene Cloud Setup genauer unter die Lupe zu nehmen, um sich langfristig sicher aufzustellen. Eine große Herausforderung – denn Datenschutz in der Cloud beruht auf vielen Faktoren: Ist mein Cloud-Anbieter DSGVO konform? Hat mein Cloud-Anbieter die Kompetenzen und Ressourcen, Sicherheitslücken schnell zu finden und zu schließen, um Hackern keine Einfallstore zu öffnen? Wie wachsam sind meine Mitarbeiter, um IT-Gefahren bei der Nutzung von Cloud-Diensten zu umgehen?
3 von 4 Unternehmen setzen mittlerweile auf die Cloud
Es ist nicht verwunderlich, dass die Cloud mittlerweile bei vielen im Arbeitsalltag nicht mehr wegzudenken ist. Laut Bitkom Research setzten bereits Mitte 2020 Dreiviertel aller deutschen Unternehmen auf die Cloud – mit steigender Tendenz. Zugang zu einer Cloud bekommen Unternehmen etwa über einen Cloud-Anbieter, bei welchem sie Rechenleistung und Speicherplatz mieten oder Software-as-a-Service Produkte buchen, etwa Videokonferenz-Tools, Chat-Services oder Passwort-Manager. Gerade in Bezug auf die Aspekte Cloud-Sicherheit und Kontrolle über sensible Daten, gewinnt das Konzept Private-Cloud-as-a-Service immer mehr an Bedeutung. Dieses Modell vereint das Beste aus den beiden Cloud-Welten ‚Public Cloud‘ und ‚Private Cloud‘: Kein IT-Aufwand bei zeitgleich sicherster Betriebsumgebung mit voller Daten-Souveränität.
Generell stechen vor allem europäische Cloud-Provider hervor und können mit dem Einhalten der DSGVO und somit dem Schutz sensibler personenbezogener Daten punkten. Laut den „IT-Trends 2021“ von Capgemini möchten knapp 45 Prozent der befragten Unternehmen in den kommenden Jahren ihre Cloud-Nutzung auf europäische Anbieter ausweiten und außereuropäischen den Rücken kehren. Doch trotz vieler Sicherheitsvorkehrungen der Cloud-Provider und auch der Unternehmen selbst, kommt es immer wieder zu Datenlecks.
Deutsche Unternehmen wiegen sich in Sicherheit
Obwohl Cloud-Sicherheit bei vielen Befragungen immer als besonders wichtiger Teil angesehen wird, zeigen sich in der Praxis Fehler und Lücken.
Der Studie Cloud Security 2021 zufolge wiegen sich knapp 87 Prozent in Sicherheit und glauben, dass die Unternehmensdaten in der Cloud absolut sicher sind. Die Realität sieht jedoch anders aus. IT, in jeder Form, ist angreifbar! Auch Cloud Intrastruktur und Cloud Anwendungen mit darin gespeicherten Daten.
So stellen Phishing E-Mails nach wie vor eine weitverbreitete Gefahr dar. Das Problem – sie sind immer schwerer als solche zu erkennen. Inzwischen beinhalten sie oft eine vorangegangene, abgefangene Konversation eines vertrauenswürdigen Kontakts. Ein Ziel von Phishing E-Mails: Das Abgreifen und Missbrauchen von Zugangsdaten jeder Art.
Datenpannen können aber auch durch das gezielte Suchen nach Schwachstellen im System hervorgerufen werden. Versierte Hacker verschaffen sich so einen Zugang in die Cloud und gelangen dort an sensible Daten. Vergangenes Jahr führte unter anderem das mangelhaft abgesicherte System eines Anbieters von Reservierungs- und Kontaktnachverfolgungs-Software für die Gastronomie dazu, dass Anschriften, E-Mail-Adressen und Telefonnummern von Gästen ausgelesen werden konnten.
Wenn unbefugte Dritte in den Besitz schützenswerter Daten gelangen
Vorfälle beider Art, Phishing und Hacking, haben zur Folge, dass unbefugte Dritte in den Besitz von sensiblen Daten gelangen und es zu Datenlecks kommt. Mag dies auf den ersten Blick wage klingen, verbergen sich dahinter konkrete Schäden, die verdeutlichen warum die DSGVO und ihre Umsetzung in ihrem Grundsatz zeitgemäß, absolut notwendig und auch im Interesse von Unternehmen ist. Denn kein Unternehmen möchte ursächlich dafür verantwortlich sein, dass die Kundschaft oder auch eigene Mitarbeitende konkreten Betrugsgefahren, wie Identitätsdiebstahl, Missbrauch von Bankdaten oder sonstigen Manipulationsversuchen ausgesetzt sind. Allein aus wirtschaftlichem Interesse sollten diese Gefahren ernst genommen werden - auch im relativ abstrakt klingenden Konstrukt der ‚Cloud‘.
Sicherheitsrisiken in der Cloud mit dem richtigen Anbieter minimieren
Doch welche Punkte sollten Unternehmen nun beim Thema Sicherheit in der Cloud beachten? Der erste Schritt sollte der Umzug zu Angeboten sein, deren Anbieter im europäischen Raum steht und alle Richtlinien der DSGVO einhält. Ebenfalls lohnt es sich im Vorhinein konkrete Sicherheitsfragen beim Cloud-Anbieter anzusprechen, um mögliche Risiken auszuschließen. Werden die Daten direkt beim Cloud-Provider im Rechenzentrum gespeichert, kann beispielsweise erfragt werden, wo sich dieses befindet und welche Sicherheitsvorkehrungen vor Ort in Form von Videoüberwachung und Personal getroffen werden. Falls das Unternehmen zum Teil selbst für die Sicherheit zuständig ist, kann in Erfahrung gebracht werden, in welcher Form. Müssen beispielsweise regelmäßig neue Updates zur Sicherheit oder der Firewall auf den Servern gemacht werden? Natürlich sollte auch gefragt werden, wie es mit der DSGVO-Konformität beim Cloud-Anbieter aussieht.
Außerdem sollte ein Helpdesk beim Cloud-Anbieter existieren, an das man sich bei konkreten Fragen wenden kann. Das ist nicht nur für das Unternehmen hilfreich, sondern auch für den Dienstleister. Denn der direkte Austausch trägt zu einer besseren Leistung des Cloud-Produkts bei und zeigt mögliche Probleme auf, die so schneller behoben werden können. Zudem sollte vor dem Abschluss eines Vertrags mit einem Cloud-Provider geklärt sein, was mit den Daten nach Beendigung des Vertragsverhältnisses passiert.
Normalerweise fertigt der Cloud-Anbieter regelmäßig Kopien der gespeicherten Daten an. Hilfreich, da man bei Problemen auf diese zurückgreifen kann. Doch mit dem Ende des Vertrages und nach dem Umzug der Daten sollten diese, und auch Metadaten, beim Anbieter vollständig vernichtet werden.
Zu guter Letzt: Datenverschlüsselung. Bei vielen kostenlosen Cloud-Anwendungen werden die Unternehmensdaten nicht automatisch verschlüsselt gespeichert. Das heißt, wer durch eine Sicherheitslücke in das System eindringt, sieht alles. Deshalb sollte ein Cloud-Anbieter ausgewählt werden, der die Daten ausnahmslos Ende-zu-Ende verschlüsselt oder noch besser: Eine private bzw. hybride Lösung, die die Daten vor Ort speichert. Ermöglicht ein Anbieter zusätzlich den Login via Zwei-Faktor-Authentifizierung, existiert ein weiterer wertvoller Sicherheitsmechanismus: Selbst wenn das eigene Passwort in die falschen Hände gerät, hat ein Login Versuch Dritter keinen Erfolg, weil zum Beispiel ein Code auf dem Smartphone als zweites Sicherheitsmerkmal verlangt wird.
Risikofaktor Mensch – So lassen sich vermeidbare Fehler reduzieren
Ein weiterer Punkt, um Datenlecks zu minimieren, ist der richtige Umgang der Mitarbeitenden. Konkrete Vorgaben und Hilfestellungen bei grundlegenden Themen sind bereits sehr effektiv. Beispielsweise eine definierte Passwort-Policy. Dabei sehr hilfreich: Ein Passwort Manager in der Cloud, welcher komplizierte Zugangsdaten sicher speichert und ganz einfach durch ein Generalpasswort zu entsperren ist.
Sicherheitsrisiken lassen sich demnach durch den richtigen Cloud-Anbieter deutlich verringern. Meistens müssen hierfür keine großen Investitionssummen getätigt werden, jedoch sollten potentielle Anbieter genau betrachtet werden. Am Ende muss trotzdem auf die Kompetenzen des Anbieters vertraut werden, aber dieses Vertrauen sollte auf einer begründeten und verständlichen Basis beruhen. Werden zusätzlich die Mitarbeitenden auf Gefahren in der Cloud sensibilisiert und Hilfestellungen zur Verfügung gestellt, wird auf regelmäßige Sicherheitsscans, einen europäischen Standort des Cloud Anbieters und das regelmäßige Aufspielen von Updates geachtet, ist ein Großteil der bestehenden Gefahren bereits minimiert.
Über den Autor: Matthias Bollwein ist Mitgründer des IT-Startups Uniki, das mit ELLY ein Private-Cloud-as-a-Service Modell als einfache und hochsichere IT-Lösung für mittelständische Unternehmen anbietet. In der privaten ELLY Cloud werden Daten DSGVO konform gespeichert und automatisch Ende-zu-Ende verschlüsselt. Neben einer Anwendung zum Datenaustausch werden in der Cloud weitere Programme, wie z.B. E-Mail, (Video) Chat oder Passwortmanager bereitgestellt.
(ID:47569789)
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")