Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

von Jörg Hecke

Cloud-Security-Strategie: In die Cloud, aber mit Sicherheit!

Analyse
31 Oktober 20236 Minuten
Risikomanagement

Unternehmen müssen auch für die Cloud eine umfassende Sicherheitsstrategie entwickeln, um ihre ausgelagerten Daten und Prozesse vor Bedrohungen zu schützen.

Um Sicherheitsbedrohungen und Schwachstellen im Vorfeld zu erkennen, muss die gesamte Cloud-Infrastruktur überwacht werden.

Um Sicherheitsbedrohungen und Schwachstellen im Vorfeld zu erkennen, muss die gesamte Cloud-Infrastruktur überwacht werden.

Foto: UnderhilStudio – shutterstock.com

Oft werden die erforderlichen Cybersicherheitsmaßnahmen vernachlässigt, da die Cloud sehr schnell einsatzbereit ist. Zwar bieten die seriösen Cloud-Anbieter bereits wirksame Regelwerke und gute Ansätze, doch die juristische Verantwortung und damit auch die Haftungsfolgen für die Daten- und Anwendungssicherheit liegt immer beim Unternehmen selbst.

Die Folgen von Datenpannen und Datenschutzverletzungen können für Betriebe jedweder Größe dramatisch sein. Neben finanziellen Einbußen leiden Unternehmen auch unter dem Verlust von Vertrauen sowie Reputationsschäden bei Kunden, Lieferanten und anderen Partnern.

Die Kosten für die Wiederherstellung nach einer Datenpanne übersteigen schnell die Kosten für eine effektive Sicherheitsstrategie. Ein Beispiel ist der Fall Equifax bei dem persönliche und finanzielle Daten von Millionen von Menschen gestohlen wurden. Equifax wurde mit zahlreichen Klagen konfrontiert, musste hohe Strafen zahlen und verlor das Vertrauen der Kunden.

Der IBM Report “Cost of a Data Breach” zeigt sehr klar die Bedeutung einer guten Sicherheitsstrategie auf. Die Gesamtkosten einer Datenpanne belaufen sich im Durchschnitt auf 4,35 Millionen US-Dollar. Doch kann man sich leider nicht darauf verlassen, dass höhere Investitionen in die Datensicherheit automatisch mehr Schutz bedeuten.

Experten raten dazu, sich niemals 100-prozentig sicher zu fühlen. Es ist wie beim Wettlauf zwischen Hase und Igel: neue Technologien werden auch von Cyberkriminellen umgehend in neue Angriffstechniken umgewandelt und neue Angriffswege schnell benutzt. Attacken auf Datensammlungen, die für Cyberkriminelle nützlich und lukrativ scheinen, sind demzufolge kaum zu vermeiden. Eine Lücke im Schutzschild findet sich fast immer.

Cyberangriffe auf Cloud-Systeme sind quasi Alltag, was manchmal katastrophale Folgen haben kann: 69 Prozent der Unternehmen berichten von Datenschutzverletzungen aufgrund zu komplexer Multicloud-Sicherheitskonfigurationen. Unternehmen sollten also dringend einen proaktiven Ansatz verfolgen, um dauerhaft die Cloud-orientierten Cyber-Bedrohungen zu minimieren.

Lesetipp: Diese Sicherheitsrisiken lauern bei der Cloud-Migration

Sicherheitsmaßnahmen für die Cloud

Cybersicherheit sollte bereits im Grundstein einer Cloudstrategie angelegt sein. Unternehmen müssen ein Rahmenwerk für die IT-Sicherheit aufbauen, das den gesamten Lebenszyklus der Daten berücksichtigt: von der Erstellung bis zur Vernichtung. Die wichtigsten vier Pfeiler für Cybersicherheit in der Cloud sind:

  • Starke Authentifizierung und Zugriffskontrolle: Unternehmen sollten Multi-Faktor-Authentifizierung (MFA) implementieren, um sicherzustellen, dass nur autorisierte Benutzer auf Cloud-Ressourcen zugreifen können. Eine feingranulare Zugriffskontrolle hilft, Daten nur denjenigen zugänglich zu machen, die sie benötigen.

  • Datenverschlüsselung: Sowohl in Transit als auch im Ruhezustand sollten Daten verschlüsselt werden. Dies schützt vor unbefugtem Zugriff, selbst wenn ein Angreifer Zugriff auf die Daten erhält.

  • Kontinuierliche Überwachung und Erkennung: Ein robustes, automatisiertes Überwachungssystem ermöglicht es, Bedrohungen und verdächtigem Verhalten in Echtzeit zu erkennen. Lösungen für Intrusion Detection Systems (IDS) und Security Information and Event Management (SIEM) sind unverzichtbar. Auch sollte das Potential von KI-basierten Systemen zur Erkennung von Anomalien beim Datenzugriff genutzt werden.

  • Patch- und Schwachstellenmanagement: Die regelmäßige Aktualisierung von Software und Betriebssystemen ist entscheidend, um bekannte Schwachstellen zu schließen und Angriffsvektoren zu minimieren.

Einhaltung gesetzlicher Vorschriften

Die Folgen der Nichteinhaltung von Gesetzen und Vorschriften in Bezug auf Datensicherheit und Datenschutz können schwerwiegend sein und zu hohen Geldstrafen führen. Sie können zu Gerichtsverfahren oder dem Verlust von Firmenwerten führen. Viele Vorschriften, wie die Datenschutzgrundverordnung (DSGVO), enthalten spezifische Anforderungen an die Cloud-Sicherheit. Darunter fallen etwa Datenverschlüsselungsarten, Zugriffskontrolle, Planung der Reaktion auf Zwischenfälle (Krisenmanagement) und regelmäßige Sicherheitsbewertungen.

Unternehmen müssen gewährleisten, dass ihre Cloud-Provider die DSGVO-Anforderungen erfüllen. Dazu gehört die Sicherung der Verarbeitung personenbezogener Daten, die Einhaltung von Datenschutzrechten und die sofortige Benachrichtigung bei Datenschutzverletzungen. Datenschutzvorschriften zu ignorieren kann ebenfalls zu schweren Strafen führen. Laut DSGVO können Unternehmen mit einer Geldstrafe von bis zu 4 Prozent ihres weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachdem, welcher Betrag höher ist.

Datenschutzverstöße machen immer häufiger Schlagzeilen. Das liegt auch an der gesetzlichen Meldepflicht von Zwischenfällen, aber vielmehr an den sozialen Medien, die dafür sorgen, dass derartige Vorfälle schneller, häufiger und breiter bekannt werden.

Vier Vorteile durch Cloud-Sicherheit

Die Umsetzung effektiver Sicherheitsstrategien für die Cloudnutzung bietet eine Reihe von Vorteilen:

  1. Skalierbarkeit und Flexibilität: Unternehmen können ihre Sicherheitsinfrastruktur leicht skalieren, um den Anforderungen gerecht zu werden, ohne kurzfristig in Hardware und Personal investieren zu müssen.

  2. Zentrale Verwaltung: Cloudsicherheit erlaubt die zentralisierte Verwaltung und Überwachung von Sicherheitsrichtlinien, was zu mehr Konsistenz und höherer Effizienz führt.

  3. Automatisierung: Automatisierte Sicherheitsmaßnahmen gestatten die schnelle Implementierung und rigorose Durchsetzung von Sicherheitsrichtlinien.

  4. Kosteneinsparungen: Kosten für Datenwiederherstellung, Bußgelder und indirekte Verluste durch Reputationsschäden werden minimiert oder entfallen bestenfalls ganz.

Risiken beachten

Trotz der vielen Vorteile der Cloud-Nutzung gibt es auch Gefahren, die Unternehmen bedenken sollten:

  • Abhängigkeit von Drittanbietern kann zu Kontrollverlust führen: Unternehmen setzen auf Cloud-Provider, um ihre Daten und Systeme sicher zu halten. Damit geben sie aber einen Teil der Kontrolle aus der Hand.

  • Menschliches Versagen kann nicht ausgeschlossen werden: Der Faktor Mensch bleibt eine der häufigsten Ursachen von Sicherheitsvorfällen. Unachtsame Mitarbeiter können versehentlich sensible Daten freigeben. Falsche Handhabung oder Konfiguration kann zu Sicherheitslücken führen.

  • Hohe Komplexität von Cloud-Umgebungen: In komplexen Multi-Cloud-Umgebungen kann es schwierig sein Cyberangriffen zu identifizieren und zu bekämpfen.

Kontrolle ist gut, prüfen ist besser

Das Motto “Vertrauen ist gut, Kontrolle ist besser” trifft auch für die Cloud zu. Die gesamte Cloud-Infrastruktur, inklusive Anwendungen und Datenfluss, muss überwacht, gemessen und analysiert werden um Sicherheitsbedrohungen und Schwachstellen im Vorfeld zu erkennen. Da die Datenmengen laufend wachsen und die Bedrohungslage immer differenzierter wird, stehen IT-Sicherheitsteams unter Druck, mit den schnell wechselnden Anforderungen und Bedürfnissen Schritt zu halten.

Durch den Einblick in die verschiedenen Komponenten der Cloud-Infrastruktur können Sicherheitsverantwortliche anomales Verhalten oder verdächtige Aktivitäten schnell erkennen, die auf ein potenzielles Sicherheitsrisiko hinweisen könnten. Laufendes teilautomatisiertes Monitoring hilft Unternehmen dabei, ihre Cloud-Umgebung besser zu verstehen. Zum Beispiel zeigen sie auf, wie Daten durch das Netzwerk fließen, welche Ressourcen genutzt werden und wer auf sie zugreift. Diese Informationen sind wichtig, um Sicherheitsrichtlinien und -kontrollen zu entwickeln, laufend zu optimieren und Sicherheitsinvestitionen zu priorisieren.

Ein detaillierter Überblick über Daten, Anwendungen und Prozesse in der Cloud-Umgebung ist entscheidend für die (Weiter-) Entwicklung einer erfolgreichen Cloud-Sicherheitsstrategie. Auch wenn der Personal- und Mitteleinsatz dafür zunächst hoch erscheint, können die Kosten einer Datenpanne oder eines Sicherheitsvorfalls weitaus höher sein und einen größeren Schaden anrichten. (jm)

Lesetipp: Drei Tipps für die Datensicherung in der Cloud

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild