Cloudsecurity mag zunächst wie eine wahre Herkulesaufgabe klingen, die immenses Wissen und ein riesiges Arsenal an Technologie erfordert. Doch wenn wir uns vor Augen führen, wie Angreifer tatsächlich vorgehen, sieht die Situation meist anders aus: Zwar gibt es auch ausgeklügelte, komplexe Angriffe, doch ist es wahrscheinlicher, dass jemand mit einem einfachen Phishing-Angriff in ein System eindringt oder ein triviales Passwort knackt und dann herausfindet, dass Mitarbeiter im Unternehmen immer wieder dieselben Passwörter verwenden. Es ist gar nicht so komplex, die meisten Cyberangriffe lassen sich durch funktionierende Sicherheitssysteme konsequente Wartung und Monitoring zu verhindern.

Zero Trust: Kein Hexenwerk
Immer wenn es um IT-Sicherheit in modernen Cloudumgebungen geht, fällt früher oder später der Begriff Zero Trust. Das Konzept beruht auf der Annahme, dass ein System keiner Anwendung, keinem Dienst und keinem Gerät grundsätzlich vertraut, da sie ein immer gewisses Maß an Fehlbarkeit aufweisen. Entsprechend hängen Zugriffs- und Nutzungsrechte nicht vom Standort und der Geräteautorisierung ab, sondern von Identitäten.

Die Implementierung von Zero Trust beginnt damit, dass die Identitäten aller Mitarbeiter in einem Gruppenverzeichnis oder einer Benutzerdatenbank zentralisiert erfasst sind. Idealerweise sollte das Benutzerverzeichnis mit den HR-Prozessen des Unternehmens synchronisiert werden, damit alle Veränderungen an der Rolle oder den Berechtigungen eines Angestellten direkt in die Benutzerdatenbank einfließen kann.

Eine solche Datenbank lässt sich sehr leicht durch die Synchronisation des eigenen Cloudproviders mit einem externen Identitätsanbieter wie Okta und CyberArk aufbauen. Nachdem diese Synchronisation erfolgt ist, können IT-Teams auch leicht Single Sign-On (SSO) einrichten. Dabei werden Benutzer anhand des Gruppenverzeichnisses geprüft und erhalten, wenn ihre Identität bestätigt ist, zeitlich begrenzten Zugriff auf die für sie freigegebenen Ressourcen. Über Zugriffsmanagement-Systeme lässt sich zudem leicht die Multifaktor-Authentifizierung (MFA) einrichten und verwalten.

Der nächste Schritt nach Identifikation und Authentisierung von Nutzern ist das Sichern der Geräte. Für das Mobile Device Management (MDM) gibt es ebenfalls Angebote externer Dienstleister. Sind einmal alle Geräte erfasst, lassen sich nach Kritikalität bestimmter Netzwerksegmente individuelle Zugangsrichtlinien definieren.

Nachdem Maßnahmen zur Verifizierung von Personen und Geräten implementiert wurden, ist es Zeit, auf die Ebene von einzelnen Anwendungen und Daten zu blicken. Dafür sollte ein Access-Management-System eingerichtet werden, das den Zugriff reglementiert. Der Zero-Trust-Ansatz basiert auf der Idee, dass Mitarbeiter nur das Minimum an Zugriffsrechten erhalten sollten, das sie benötigen, um ihre Arbeit effektiv zu erledigen. Selbst wenn ein Angreifer Zugriff auf die Zugangsdaten eines Junior-Softwareingenieurs erhält, kann er nicht auf vertrauliche Daten aus der Finanz-, Personal- oder Marketingabteilung zugreifen und der Schaden wird somit eingedämmt.

Alle für einen: Sicherheit in der Cloud
Bei der Frage der Cloudmigration gibt es in den Köpfen vieler Unternehmensverantwortlicher häufig noch Unsicherheiten, was die Sicherheit angeht. Manche Unternehmen sind immer noch davon überzeugt, im Rechenzentrum im eigenen Keller seien ihre Daten am sichersten. Gerade bei kleineren Firmen ist allerdings das Gegenteil der Fall. Warum? Nun, die Cloud ist eben doch mehr als der Computer eines anderen. Prinzipiell ist der Kundenstamm eines Hyperscalers oder SaaS-Anbieters auch eine Interessengemeinschaft, die Wert darauf legt, dass der Cloudprovider ihre Daten angemessen schützt.

Sicherheit in der Cloud kümmerst sich nämlich nicht ausschließlich um einzelne Accounts, es steht immer auch das Gesamtsystem im Fokus. Von diesem System profitieren alle Cloudnutzer, da sie mit mit einer Cloudinvestition Teil der "Interessengemeinschaft Sicherheit" sind und die bestmögliche Sicherheitsinfrastruktur erhalten. Je mehr Kunden sich für die Cloud entscheiden, desto größere Sicherheitsteams mit Spezialisten können die Cloudanbieter aufbauen. Bei kleineren On-Premises-Infrastrukturen sind dagegen meist wenige Generalisten für alles zuständig. In Zeiten des Fachkräftemangels sind diese zudem schwer zu finden. Letztendlich profitieren also vor allem kleinere Unternehmen überproportional von den Sicherheitsmechanismen der Cloud, da sie sich in einer Interessensgemeinschaft mit den finanzkräftigsten Kunden eines Providers befinden.

Ein Beispiel für eine solche Sicherheitsmaßnahme, die nur im großen Maßstab funktioniert, findet sich bei Atlassian. Dort sind sogenannte Red Teams – spezielle Teams, die berechtigt sind, gegnerische Angriffe vorzutäuschen –dafür zuständig Schwachstellen in den Produkten und der Cloudinfrastruktur des Unternehmens zu identifizieren und diese zu melden, bevor sie von echten Kriminellen ausgenutzt werden könnten. Sie führen sogar fingierte Phishing-Attacken gegen Mitarbeiter aus. Kundendaten werden dabei natürlich nicht in Mitleidenschaft gezogen, ansonsten sind diese Attacken allerdings völlig realistisch. Solche Vorkehrungen tragen dazu bei, die Sicherheitslage von Cloudprodukten zu verbessern und gleichzeitig die Prozesse zu optimieren, damit die Teams im Falle eines Sicherheitsangriffs besser vorbereitet sind.

Den Faktor Mensch bedenken
Laut dem Global Risk Report 2022 des Weltwirtschaftsforums gehen 95 Prozent der Cybersicherheitsvorfälle auf menschliche Fehler zurück. Der Faktor Mensch ist also unbedingt Teil aller Überlegungen zur Cyberresilienz. Der Begriff "Resilienz" stammt im Übrigen auch aus der Psychologie. Wenden Kriminelle diese geschickt an, können sie praktisch ohne IT-Kenntnisse Zugang zu gesicherten Systemen erlangen. Dies geschieht etwa durch das sogenannte Social Engineering, wo mit perfiden Methoden versucht wird, Mitarbeitern Zugangsdaten zu entlocken oder sie zu bestimmten Handlungen anzustiften – beispielsweise eine fragwürdige Überweisung freizugeben.

Um sich gegen derartige Angriffe auf der menschlichen Ebene zu wappnen, müssen Unternehmen die Resilienz ihrer Mitarbeiter stärken. Das geht nur, wenn diese die Methoden potenzieller Angreifer kennen und wissen, wie sie gegebenenfalls darauf zu reagieren haben. Für IT-Teams in Unternehmen bedeutet das, dass sie eine aktivere Rolle in der Kommunikation einnehmen und sich regelmäßig über aktuelle Cybervorfälle und neue Angriffsvektoren informieren sowie die Belegschaft dagegen immunisieren müssen. Das kann durch regelmäßige Updates geschehen, besser aber noch sind interaktive Trainings oder Life-Test mit von der IT selbst fingierten Phishing-Mails. Im Anschluss an solche Aktionen kann man direkt das Gespräch mit Kollegen suchen, denen der vermeintliche Betrugsversuch nicht aufgefallen ist.

Außerdem gilt es, klare Prozesse für die Kommunikation zwischen IT-Teams und der Belegschaft zu definiert. Wenn von Seiten des Unternehmens klar und wiederholt kommuniziert wird, dass die IT nie am Telefon nach Passwörtern fragt, fallen derartige Betrugsversuche viel eher auf. Nicht zuletzt sollten IT-Teams auch immer für Nachfragen zur Verfügung stehen und Mitarbeiter ermutigen, im Zweifelsfall lieber einmal zu oft nachzuhaken.

Fazit
Moderne Cloudarchitekturen erfordern neue Sicherheitsansätze, die über das alte Perimetermodell hinausgehen. IT-Teams können dafür auf eine Reihe von Produkten und Tools zurückgreifen, die es ihnen erleichtern, ein Zero-Trust-Framework aufzusetzen. Die Nutzung von Clouds und Cloudsoftware sollte dabei nicht als Manko, sondern als die bessere Alternative gesehen werden – mit den großen Ressourcen von Hyperscalern im Hintergrund, von denen besonders kleinere Unternehmen durch automatische Sicherheitsupdates profitieren können. Mindestens ebenso wichtig wie die technische Komponente von IT Security ist allerdings die menschliche Seite. Durch Manipulation über sogenanntes Social Engineering oder Phishing können Kriminelle Zugangsdaten abgreifen, ohne dass sie irgendetwas hacken müssten. Daher ist es wichtig, dass sich IT-Teams nicht nur auf die Technik konzentrieren, sondern immer auch mögliche menschliche Fehler einkalkulieren und mit der Belegschaft zusammenarbeiten, um diese zu verhindern.

ln/Bala Sathiamurthy, Chief Information Security Officer & Chief Trust Officer bei Atlassian