Luft nach oben: Die unschöne Cloud-Security-Realität

Foto: Fast_Cyclone – shutterstock.com

Laut der aktuellen Cloud-Security-Studie von Sicherheitsanbieter Thales haben 45 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten einen Cloud-Databreach erlebt – oder sich die Audits gespart. Gegenüber dem Vorjahr ein Anstieg von fünf Prozent.

Das dürfte einem unguten Mix geschuldet sein, nämlich:

• fehlenden Investitionen in die Cloud-Sicherheit,

• einer erheblichen Abhängigkeit von Cloud-basierten Plattformen sowie

• einem ausgeprägten Mangel an Cloud-Security-Profis.

Im Zusammenspiel mit gerade aufkeimenden, neuen Bedrohungen – etwa durch Generative AI – stellt das eine Challenge dar, auf die die meisten Unternehmen aktuell schlecht vorbereitet sind. Das sollte sich dringend ändern.

Daten außer Rand und Band

Besorgniserregend ist in diesem Zusammenhang vor allem der Trend zu “Shadow Data”. Dabei handelt es sich um Daten, die innerhalb der IT-Infrastruktur eines Unternehmens ohne Wissen (und folglich Kontrolle) der IT-Abteilung erstellt, gespeichert oder übertragen werden. Diese Schattendaten befinden sich in der Regel außerhalb der genehmigten und überwachten Systeme und umfassen Informationen, die auf den Devices der Mitarbeiter, in Cloud-Diensten oder anderen unbekannten Anwendungen gespeichert sind.

Die Wahrscheinlichkeit, dass auch Sie schon einmal Schattendaten genutzt haben, ist groß. Zwei gängige Beispiele aus der Praxis wären etwa:

• ein Dokument mit sensiblen Geschäftsdaten aus einer Cloud-Datenbank auf einen USB-Stick zu legen, um zu Hause daran zu arbeiten;

• eine Kundenliste aus einer SaaS-basierten Anwendung vor der Geschäftsreise per E-Mail an sich selbst zu schicken;

Shadow Data können entsprechend sensible oder auch vertrauliche Informationen enthalten und bergen damit Risiken für Datensicherheit, Compliance und Governance.

Allerdings handelt es sich bei diesem Aspekt mehr um ein Schulungs- beziehungsweise Awareness-Problem denn um eines der Cloud-Sicherheit. Das macht es allerdings nicht einfacher, dieses Problem anzugehen: IT-Sicherheitsprofis sind daran gewöhnt, solche Herausforderungen mit Tools und Technologien zu lösen – was ein falsches Gefühl der Sicherheit vermitteln kann.

Was stattdessen nötig wäre: Ein Schulungs-Layer, der sich dediziert damit befasst, wie mit (vertraulichen) Daten umzugehen ist. Solche Aufgaben werden leider zu oft in Richtung Personalabteilung “abgeschoben”, wo jedoch meist andere Themen eine höhere Priorität genießen.

Wer skaliert schneller?

Ein anderes Problem und oft das größte Risiko für Daten in der Cloud: Konfigurationsprobleme und menschliche Fehler. Ein aktuelles Beispiel: Toyota musste im Mai 2023 eingestehen, dass zwei Millionen Kundendatensätze aufgrund von Fehlkonfigurationen in den Cloud-Storage-Systemen des Unternehmens offengelegt wurden.

Eines muss den Verantwortlichen klar sein: Ordnungsgemäß konfigurierte Security-Systeme werden nur selten angegriffen, um sich Zugang zu Daten zu verschaffen. Vielmehr stehen die Systeme und die Datenbanken im Visier der Hacker, die ungeschützt und unverschlüsselt im Netz liegen. Das wiederum könnte auf mangelnde Erfahrung oder nicht existentes Knowhow zurückzuführen sein – womit wir beim eingangs genannten Cloud-Security-Fachkräftemangel angekommen wären, der nicht wenige Unternehmen dazu veranlasst, weniger gut qualifizierte Menschen für diese Zwecke einzustellen.

Dazu kommen auch noch neue Bedrohungen, beispielsweise durch unsichere APIs. Die bestimmen einen Großteil Ihres Arbeitsalltags, wenn Sie Software auf Cloud-basierten Plattformen entwickeln und bereitstellen. Schnittstellen werden dafür nicht nur von den Cloud-Anbietern zur Verfügung gestellt, sondern sind auch direkt in Business-Applikationen integriert. Das macht sie zu willkommenen Einfallstoren für Angreifer.

Von der dunklen Seite generativer KI ganz zu schweigen: Cyberkriminelle werden zusehends besser im Umgang mit KI-Systemen und nutzen vermehrt auch kostenlose Cloud Services, um Angriffe zu automatisieren und Sicherheitssysteme zu umgehen. In diesem Bereich mit den Angreifern Schritt zu halten, ist für Unternehmen eine Herausforderung. Die meisten IT- und Security-Entscheider in Unternehmen können ihre Verteidigungsmaßnahmen meist nicht so schnell skalieren wie die Angreifer.

Was jetzt zu tun ist

Für (Cloud-)Sicherheitsentscheider waren das bislang keine guten Nachrichten. Doch Sie können etwas tun: Der Weg zur sicheren Cloud-Plattform führt über die Basics. Setzen Sie also auf:

• einen Zero-Trust-Sicherheitsansatz,

• hochwertige Cloud-Sicherheits-Tools und

• bauen Sie ein Verteidigungssystem auf, das Ihr Unternehmen für Hacker unattraktiv macht.

Das allein reicht jedoch nicht: Immer größer werdende Sicherheitslücken erfordern mehr Zusammenarbeit im gesamten Unternehmen. Nur so lässt sich in Sachen Cloud Security breite Awareness schaffen. Meiner Meinung nach gibt es hier zwei wesentliche To-Dos:

1. die “normalen” Cloud-Nutzer, von den Vertriebsleitern bis hin zur Assistenz der Geschäftsführung, müssen ihre Sicherheitspraxis verbessern. Dazu müssen sie entsprechend geschult und bei Verstößen gegen die Richtlinien auch zur Rechenschaft gezogen werden.

2. die Security-Fachkräfte im Unternehmen müssen gefördert werden. Soll heißen: Konkurrenzfähige Gehälter zahlen, fortlaufende Schulungsinitiativen anstoßen und die dafür nötigen Zeitfenster schaffen.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

(fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Infoworld.com.