:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Der Blick in die Glaskugel Was 2022 für die Cloud-Sicherheit wichtig wird
Niemand zweifelt an einer weiter steigenden Bedeutung der Cloud. Doch was wird sich bei den Cloud-Risiken und was bei der Cloud-Sicherheit tun? Worauf sollten sich Unternehmen 2022 einstellen? Wir haben die Prognosen von Analystenhäusern näher angesehen und ausgewertet.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Betrachtet man die Vorhersagen der Marktforscher zu Cloud Computing im allgemeinen und Cloud-Sicherheit im speziellen, kommt man an den neuen Arbeitsmodellen wie Hybrid Work nicht vorbei.
Hybrid Work erhöht weiter die Cloud-Risiken
„Die Transformation der Arbeit und Remote Work hat sich durch die Pandemie fraglos beschleunigt“, so Sabrina Schmitt, Senior Consultant und Projektleiterin bei IDC. „29 Prozent der befragten Entscheider wollen auch in Zukunft remote arbeiten, das sind fast dreimal so viel wie noch vor dem Jahr 2020.“ 79 Prozent der Unternehmen planen ein neues bzw. verändertes Arbeitsplatzmodell, 36 Prozent davon eine Mischung aus Präsenz am Unternehmensstandort und Remote-Arbeit – also ein hybrides Arbeitsplatzmodell. Die Bürozentriertheit ist damit auch hierzulande passé. Elf Prozent wollen ihre Büroflächen sogar gänzlich aufgeben und verfolgen einen rein virtuellen Ansatz.
Für die flexible Arbeit unterwegs, im Homeoffice, im klassischen Büro und am geteilten Schreibtisch (Desk Sharing) sind Cloud-Dienste als Basis des Digital Workplace unabdingbar. Das gilt natürlich auch für das Jahr 2022. Dabei wird in den nächsten Monaten das Bewusstsein dafür zunehmen, dass hybride Arbeit nicht nur mehr Sicherheit bei den Endgeräten und sichere Verbindungen voraussetzt, sondern auch ein ausgefeilteres Identitäts- und Berechtigungsmanagement für die genutzten Cloud-Services.
Mit Hybrid Work wird deshalb nicht nur vermehrt die IAM-Lösung aus der Cloud stammen, sondern umgekehrt braucht es für die Cloud-Dienste IAM-Funktionen, die alles abbilden, was man auch in der On-Premises-IT geregelt hat, und hätte zudem die cloud-spezifischen Berechtigungen.
Cloud-Strukturen sind weiterhin zu komplex
Auch der nächste Punkt, der die Cloud-Sicherheit 2022 betreffen wird, ist eine Fortsetzung der Herausforderungen, die bereits in diesem Jahr und davor begonnen haben. Denn mit der zunehmenden Cloud-Nutzung wird auch dieses Problem größer, nämlich die Cloud-Komplexität.
Mehr als 80 Prozent der IT-Führungskräfte in Deutschland halten die Technologie, Daten und Betriebsumgebungen in ihren Unternehmen für unnötig komplex und schätzen, dass die Betriebe daher nicht optimal gegen Cyberangriffe geschützt sind, so die Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Dabei sagen dies 85 Prozent auch über die genutzten Cloud-Umgebungen.
Komplex sind teilweise auch die Beziehungen zu Zulieferern: Rund ein Drittel (32 %) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 %).
Bekanntlich sind Unklarheiten und fehlende Transparenz der ideale Nährboden für Fehler und Sicherheitslücken, zum Beispiel durch Schatten-IT bei den Cloud-Diensten und durch fehlerhafte Cloud-Konfigurationen. Unternehmen müssen deshalb dringend Transparenz erlangen in ihren Cloud-Strukturen und Cloud-Lieferbeziehungen. Cloud-Visibilität ist mehr denn je Trumpf.
Cloud-Strategien sind noch unvollständig
Bisher war die Cloud lediglich ein Element der Informationstechnologie. Künftig wird sie die zentrale Komponente und das dominierende Gestaltungsprinzip sein, so IDC. Organisationen müssen also ihre Cloud-Strategien und ihre IT-Infrastruktur zügig aufeinander abstimmen, um sich auf eine Zukunft integrierter IT-Landschaften vorzubereiten, in denen eine umfassende Abstrahierung von Hardware, Automatisierung, Vernetzung, Cloud-Native, Colocation und Edge Computing eine zentrale Rolle spielen.
Dabei zeichnen sich auch bestimmte Cloud-Entwicklungen ab, die man aus Security-Sicht beleuchten sollte: 80 Prozent der von IDC Befragten nutzen verschiedene Cloud-Typen, die Hybrid Cloud ist dabei klar das dominierende Modell. Die Unternehmen konzentrieren sich in der Regel auf einen Hyperscaler bzw. Infrastrukturanbieter, mit dem sie die Zusammenarbeit Schritt für Schritt vertiefen. Ein zweiter Hyperscaler wird in Betracht gezogen bzw. evaluiert, um benchmarken zu können oder um punktuell Services nutzen zu können. Nur sehr große Unternehmen verfolgen eine Strategie, die mehrere Hyperscaler umfasst.
Das bedeutet aber, dass sich Unternehmen weniger auf Multi-Cloud-Sicherheit als vielmehr auf Hybrid-Cloud-Security konzentrieren müssen. Das ist jedoch keine Vereinfachung, da man scheinbar nur die On-Premises-IT und einen Cloud-Anbieter im Security-Konzept berücksichtigen muss. Stattdessen bedeutet dies eine stärkere Abhängigkeit von der Security des gewählten Cloud-Anbieters im Rahmen der geteilten Verantwortung: die Cloud-Sicherheit des gewählten Providers hat höchste Priorität. Zudem müssen ergänzende Cloud-Sicherheitslösungen passend für den Cloud-Dienst der Wahl ausgesucht und konfiguriert werden.
Es geht somit künftig weniger um das Management der verschiedenen Cloud-Sicherheitsfunktionen in Multi-Clouds, sondern um eine ganz genaue Kontrolle und Überwachung der Sicherheit bei dem Cloud-Provider der Wahl, bei den eigenen Aufgaben der Cloud-Sicherheit (Shared Responsibility) und bei der On-Premises-Sicherheit. Das gilt es auch gerade bei den Konzepten für Cloud-Verfügbarkeit und Cloud-Ausfallsicherheit zu berücksichtigen.
Security by Design darf in der Cloud nicht mehr fehlen
Die Cloud ist der kritische Faktor für digitales Business der nächsten Generation. Die Anwendungsmodernisierung und -entwicklung für die Cloud und in der Cloud entwickeln sich dabei zunehmend zum Enabler für hohe Geschwindigkeit, Flexibilität und Agilität, so IDC. Den Unternehmen steht ein umfassendes Toolset aus Lösungen, Prozessen und Methoden mit DevOps im Zentrum zur Verfügung. Die Beherrschung dieser komplexen Gemengelage ist alles andere als trivial.
Eines der größten Risiken sind Löcher in der Security-Kette. Zwar stehen den Unternehmen bei Cloud Native und DevOps viele unterschiedliche Security Tools zur Verfügung und die große Zahl der am Markt verfügbaren Lösungen ist ein klarer Beleg für die Komplexität und Vielfältigkeit des Themas, dennoch kommen sie offenbar nicht umfassend zum Einsatz.
Offensichtlich kann dann aber Security by Design nicht gelingen, nicht in der Cloud und nicht in den Applikationen, die in der Cloud entwickelt werden. Unternehmen müssen deshalb den Einsatz geeigneter Security-Tools für die Entwicklung der Cloud und in der Cloud forcieren.
(ID:47826238)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934609/original.jpg "Der schlechteste Zeitpunkt, um festzustellen, dass Backups nicht funktionieren, ist unmittelbar nach einem Cyber-Angriff – deshalb muss die Datensicherung vorher getestet werden. (Gorodenkoff Productions OU)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941300/1941357/original.jpg "Die Unternehmen in Deutschland reagieren auf die angespannte IT-Sicherheitslage und investieren mehr in Cyber-Security. (© kras99 - stock.adobe.com)")