Sie sind hier: Startseite » Fachartikel » Hintergrund

Vertrauen in die Cloud wächst - oder doch nicht?


Sicherheitsexperten haben wachsendes Vertrauen in die Cloud – nur nicht bei hochsensiblen Daten
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich


Security first – IT-Sicherheit bleibt eine ständige Herausforderung für die IT-Verantwortlichen in den Unternehmen. Dabei spielt die Cloud eine immer wichtigere Rolle, denn einerseits verlagern die Unternehmen mehr und mehr Anwendungen ins Web. Andererseits bleiben Sicherheitsverletzungen ein Hauptziel für Datendiebstahl und DDoS-Attacken.

Reif für die Wolke
Eine Umfrage, die Barracuda unter seinen Kunden weltweit durchführte, zeigt ein beachtliches Vertrauen der 850 befragten Sicherheitsexperten verschiedenster Unternehmensgrößen und -industrien in Public-Cloud-Bereitstellungen. 44 Prozent glauben inzwischen, dass sie genauso sicher seien wie lokale Umgebungen. 21 Prozent meinen, dass sie sogar noch sicherer seien. Und wie schaut es hinter der eigenen Unternehmenstür aus? Deutlich entspannt! Denn 60 Prozent der Befragten stuften die Nutzung der Cloud-Technologie im eigenen Unternehmen als sicher ein.

Cloud-Anbieter betreiben eine modernere und sicherere Infrastruktur, als es viele Unternehmen in-house leisten können. So profitieren Unternehmen von neuester, nach höchsten Sicherheitsstandards zertifizierter Technologie, gegenüber heterogenen, legacy-lastigen Inhouse-Umgebungen. Um Cyberrisiken effektiv zu mindern, sollten einerseits unternehmensrelevante Drittanbieter-Lösungen der Security-Strategie hinzugezogen werden. Andererseits ist es wichtig, das Konzept der geteilten Verantwortung in der Cloud verstanden zu haben.

Konzept der "geteilten Verantwortung" in der Cloud verstehen
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich. Dieses Modell bietet die höchstmögliche Effizienz für den Cloud-Provider und entlastet zugleich den Kunden davon, die Infrastruktur wie ein Rechenzentrum oder die Server-Hardware bereitzustellen. Darüber hinaus profitiert der Kunde von flexibler Skalierbarkeit bei Bedarf.

Die Anbieter geben einem Unternehmen damit die Freiheit, all seine in die Cloud migrierten Daten und Anwendungen auf gewünschte Weise zu sichern. So liegt es in der Verantwortung der Unternehmen, die Sicherheit von Anwendungen, Workloads und Betriebssystemen zu konfigurieren, zu patchen und zu schützen.
Weitere Cloud-Optionen für Backup und Redundanz verringern das Risiko zusätzlich. Indem Public-Cloud-Provider mit Drittanbietern zusammenarbeiten, stellen sie sicher, dass die verfügbaren Security-Lösungen auf ihren Plattformen ordnungsgemäß funktionieren. Partnerschaftsprogramme von AWS, Azure und GCP ermöglichen den Security-Anbietern den Zugang zu den Tools und Spezifikationen, die sie benötigen, um ihre Produkte für eine optimale Performance auf jeder Plattform zu entwickeln. Sobald die Produkte des Anbieters die vom Cloud-Provider festgelegten Standards erfüllen, erteilt dieser eine Zertifizierung.

Sensible Daten doch lieber nicht in die Cloud
So weit, so gut! Zwar hören die Unternehmen die Cloud-Security-Botschaft, doch wenn es um die Sicherung hochsensibler Daten wie Kundeninformationen oder interne Finanzdaten geht, lässt das Vertrauen in die Public Cloud nach. Dieses Misstrauen ist aber eher hausgemacht: Viele IT-Verantwortliche beklagen ein fehlendes Know-how aufgrund des Mangels an Cyber-Security-Fachkräften. Überdies ist sich die Mehrheit nicht sicher, ob ihre Cloud-Einrichtung regelkonform ist.

Viel zu oft vernachlässigt: Patchen und Konfigurieren
Webanwendungen sind ein Hauptziel für Cyberkriminelle, die sensible Daten stehlen und wichtige Geschäftsprozesse unterbrechen wollen. Sich dieser Tatsache bewusst, setzen die befragten Unternehmen durchaus Web Application Firewalls (WAFs) ein, lassen aber häufig einen besorgniserregenden Schlendrian walten, wenn es darum geht, die Systeme aktuell zu halten. Rund 13 Prozent der befragten Sicherheitsexperten in den Unternehmen gaben zu, dass sie in den letzten 12 Monaten ihre Web-App-Frameworks oder Server überhaupt nicht gepatcht haben. Von denen, die es taten, benötigte dafür mehr als ein Drittel (38 Prozent) zwischen sieben und 30 Tage. Ein Fünftel (21 Prozent) ließ sich tatsächlich über einen Monat Zeit.

Ein weiteres potenzielles Risiko bei Webapplikationen ist menschliches Fehlverhalten. So war seinerzeit eine Fehlkonfiguration einer Open-Source-WAF für den massiven Angriff auf die US-Bank Capital One ursächlich, bei dem mehr als 100 Millionen Kundendaten gestohlen wurden. Nun konzentrieren sich Angriffe aber nicht nur auf den Diebstahl sensibler Daten, sondern können auch unternehmenskritische Dienste massiv beeinträchtigen. Und WAFs sind sicherlich keine Wunderwaffe. Aber als Teil eines mehrschichtigen Security-Ansatzes sind sie ein wichtiges Verteidigungswerkzeug im fortwährenden Kampf gegen Sicherheitsrisiken aus dem Web.

Tipps für die Sicherheit in der Cloud
• >> Sicherstellen, dass sämtliche Apps durch WAFs geschützt sind. Jede Applikation kann als Angriffsvektor dienen, auch wenn sie scheinbar kein externes Besucherverhalten aufweist. Einmal entdeckt, werden Angreifer alle gefundenen Schwachstellen nutzen, um Zugang zum Netzwerk zu erhalten.
• >> Web-App-Security ist nicht die Aufgabe des Entwicklerteams, denn Entwickler sind in der Regel keine Sicherheitsexperten.
• >> Implementierung einer Cloud Security Posture Management (CSPM)-Lösung für eine automatisierte Cloud-Sicherheit, um Konfigurationsveränderungen zu vermeiden.

Angreifer konzentrieren sich auch auf Schwachstellen, die in der Vergangenheit ignoriert wurden. Häufig sind sich die Unternehmen nicht bewusst, wie sich solch mehrschichtige Angriffe von einem einzigen Zugangspunkt aus entfalten können. Die Sicherheit von Webanwendungen und die Sicherheit in der Cloud sind wichtige und daher unbedingt notwendige Maßnahmen bei der Realisation der digitalen Transformationen in einer sicheren Cloud. (Barracuda Networks: ra)

eingetragen: 10.02.20
Newsletterlauf: 26.03.20

Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Datensicherheit auf mehreren Ebenen

    Unternehmen verlassen sich bei der Verwaltung und Bereitstellung ihrer Daten zunehmend auf Cloud-Dienstleistungen. Dadurch müssen sich die Datenverantwortlichen zunehmend mit der nötigen Datensicherheit und -integrität auseinandersetzen.

  • Schock über die Cloud-Rechnung?

    Die Relevanz von Cloud Computing-Technologie hat im vergangenen Jahrzehnt rasant zugenommen und damit auch die Anzahl an Geschäftsprozessen und Services, die Unternehmen in die Cloud auslagern. Viele Unternehmen verfolgen dabei einen "Cloud first"-Ansatz als zentralen Bestandteil ihrer digitalen Transformationsbemühungen.

  • Einführung in CRaaS

    In der Datenwelt findet ein Sicherheitswettlauf statt. Mit dem Fortschritt der Technologie entwickeln sich aber auch die Waffen und Taktiken der Cyberkriminellen weiter. Unternehmen müssen deshalb ständig ihre Performance optimieren und bessere Methoden entwickeln, um sich vor neuen Attacken und Angriffsmethoden zu schützen.

  • Wenn das Flussdiagramm in die Cloud zieht

    Business-Process-Management (BPM) hat in den letzten Jahren eine steile Weiterentwicklung hingelegt. Das Dokumentationstool von einst, dessen Zweck vorwiegend darin bestand, eine möglichst große Zahl von Prozessen präzise zu visualisieren, hat sich zu einer vielseitig vernetzbaren Technologie entwickelt, die Geschäftsprozesse systemübergreifend analysiert und überwacht, mit dem Ziel Optimierungspotenziale zu nutzen.

  • Kenntnisse über AWS-Cloud-Mechanismen

    Das Sysdig Threat Research Team entdeckte kürzlich eine ausgeklügelte Cloud-Operation, genannt Scarleteel, welche in einer Kundenumgebung, zum Diebstahl geschützter Daten führte. Der Angreifer nutzte eine containerisierte Arbeitslast aus und verschaffte sich so Zugang zu einem AWS-Konto, um geschützte Software und Anmeldeinformationen zu stehlen.

  • Den richtigen Cloud-Service-Anbieter auswählen

    Vorschriften zur Datenhoheit, wie der Data Governance Act in Europa, können für Unternehmen eine Herausforderung darstellen. Eine der Hauptschwierigkeiten besteht darin, den Überblick darüber zu behalten, wo Daten gespeichert sind. Zudem müssen Unternehmen sicherstellen, dass die Speicherung mit den lokalen Datenschutzbestimmungen übereinstimmt.

  • Compliance vs. oder sogar mit IT-Sicherheit?

    Kleine und mittelständische Unternehmen (KMU) sehen sich seit Jahren mit Cyberattacken konfrontiert, die vor allem auf ihre Daten abzielen. In den letzten Jahren hat sich diese Perspektive dahingehend geändert, dass sie sich mit immer mehr Ransomware-Bedrohungen auseinandersetzen müssen. Beispiele dafür lassen sich so viele finden, dass sie nicht einzeln erwähnt werden müssen, allerdings sind in jüngster Zeit bereits Fahrradhersteller, Chemieproduzenten oder Nachrichtenmagazine darunter zu finden.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things.

  • Mit richtiger Unterstützung zum MSSP-Erfolg

    Auch kleine und mittlere Unternehmen (KMU) benötigen heute eine ganzheitliche IT-Sicherheitsstrategie, inklusive einer 24/7-Überwachung durch ein Security Operations Center (SOC). Sie verfügen aber meist nicht über die nötigen personellen und finanziellen Ressourcen, um diese Aufgabe selbst zu stemmen. Mit den richtigen Managed-Security-Angeboten schließen Reseller diese Lücke.

  • Keine Bestnoten für Deutschlands Rechenzentren

    Rechenzentren werden geplant, gebaut, in Betrieb genommen und dann viele Jahre lang mehr oder minder unverändert genutzt. Doch die Anforderungen der betreibenden Unternehmen, die technologischen Möglichkeiten und die gesetzlichen Rahmenbedingungen ändern sich im Laufe der Zeit. Um böse Überraschungen zu verhindern, Kosten zu sparen und Risiken zu vermeiden, ist es notwendig, Defizite in Bestandsrechenzentren zu entfernen und Optimierungspotentiale zu nutzen. Hierzu sollten Rechenzentren regelmäßig einer ganzheitlichen Betrachtung unterzogen werden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen