Seite 2 - Die Dos and Don'ts der Cloudsicherheit

Lesezeit
2 Minuten
Drucken
a- a+
Veröffentlicht Vor 2 Jahren
Zuletzt aktualisiert Vor 1 Jahr
Bis jetzt gelesen

Seite 2 - Die Dos and Don'ts der Cloudsicherheit

18.08.2021 - 14:00
Veröffentlicht in:
Überwachung und Transparenz
Unternehmen benötigen eine Sicherheitsstrategie für die Cloud, damit Aspekte wie die Kontrolle der Daten und die Compliance rechtssicher organisiert werden. Um jederzeit über die Cloud-Security informiert zu sein, sollte das Management auf jeden Fall die folgenden Punkte berücksichtigen:

  • Der Zugriff auf geschäftskritische Anwendungen und Daten muss die Netzwerkgrenzen berücksichtigen. Externe Zugriffe durch Systeme außerhalb des eigenen Netzwerkes sollten nicht möglich sein.
  • Die Unternehmen müssen wissen, wie die vom Cloudprovider angebotene Infrastruktur verwaltet und aktualisiert wird. Darüber hinaus muss es Möglichkeiten geben, wie sich Fehlkonfigurationen der Services frühzeitig erkennen lassen.
  • Die Unternehmen benötigen auf jeden Fall die Kontrolle über ihre Schlüssel. Kryptografische Schlüssel sind nur dann wirklich sicher, wenn die Cloudnutzer vollständige Kontrolle über das Schlüsselmanagement haben.
Governance und Compliance
Auf Seiten der Unternehmenssteuerung (Governance) gibt es eine ganze Reihe von Aspekten zu berücksichtigen. Dazu gehören beispielsweise Zertifizierungen für ISO 27001 oder den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie schreiben die Einführung eines systematischen Informationssicherheits-Managements vor, das sich auch auf Clouddienste erstrecken muss.

Zudem müssen Unternehmen auf die Compliance zu den regulatorischen Verpflichtungen der eigenen Branche achten. Hier gibt es eine Vielzahl an Regeln mit Rückwirkung auf die Cloudsicherheit. So gilt für alle Branchen der europäische Datenschutz. Darüber hinaus gibt es Regeln für jede Branche, etwa der Sarbanes-Oxley Act bei Banken. Und nicht zuletzt müssen die Organisationen Branchenstandards in ihre Sicherheitsstrategie integrieren, etwa PCI-DSS für die Abwicklung des Zahlungsverkehrs mit Kreditkarten.

Weiterhin gilt es, das kaufmännische Controlling nicht zu vernachlässigen. Hierzu gehört, alle internen und externen Nutzer mit Zugriff auf die Cloudinfrastruktur regelmäßig zu prüfen und die durch sie entstandenen Kosten zu bewerten. Doch es geht nicht nur um Geld. Ein Asset-basiertes Risikomanagement erfasst kritische Systeme und Daten mit regelmäßigen Risikobewertungen.


Drei wichtige Grundregeln
Diese Anmerkungen zeigen, dass Cloud-Security ein ausuferndes Thema ist. Deshalb ist es wichtig, dass Unternehmen darauf achten, jederzeit drei wichtige Grundregeln für die sichere Konfiguration ihrer Infrastruktur zu befolgen:
  1. Überprüfen Sie regelmäßig die Sicherheit ihrer Infrastruktur. Sie sollten den einmal getroffenen Maßnahmen nicht blind vertrauen.
  2. Interpretieren Sie Sicherheitsstandards nicht als zu erreichendes Ziel, sondern als Grundlage für Cloud-Security.
  3. Nutzen Sie Lösungen, die Netzwerk-, Endpunkt- und Zugriffssicherheit zu einem vereinfachten und einheitlichen Ansatz zusammenführen.
Das sollten Unternehmen vermeiden
Das Versprechen der Cloud lautet, dass sie alles einfacher macht. Das ist gemessen an der Komplexität der Aufgaben in digitalisierten Unternehmen richtig. Doch leider gibt es zahlreiche Fehler, die Unternehmen immer wieder machen. Deshalb zum Schluss noch die Liste der Fehler, die IT-Verantwortliche auf jeden Fall vermeiden sollten:

  • Vertrauen: Der häufigste Fehler besteht darin, Leuten zu vertrauen. Noch einmal: Setzen Sie auf eine Zero-Trust-Architektur. Denn viele Sicherheitsbrüche entstehen durch unachtsame oder gar böswillige Mitarbeiter oder Administratoren.
  • Überkomplexität: Eine überkomplexe Infrastruktur, aufwändige Workloads und komplizierte Betriebsprozesse sorgen dafür, dass Mitarbeiter die Security vernachlässigen.
  • Bequemlichkeit: Cloudprovider bieten eigene Routinen für Security und Authentifizierung. Doch dadurch werden sie zum Single-Point-of-Failure. Unternehmen sollten ein eigenes Identity & Access Management einsetzen und ihre Sicherheitsmaßnahmen so definieren, dass sie zu ihrer Branche und ihrem Geschäftsmodell passen.
  • Passwörter: Sie sind kein Schutz vor einem Cyberangriff, sondern oftmals das Einfallstor. Das Minimum für sichere Authentifizierung ist ein zusätzlicher Authentifizierungsfaktor, besser ist beispielsweise eine Kombination aus biometrischem Merkmalen und einem weiteren Faktor wie einem Einmalpasswort.
  • Ungeschulte Nutzer: Die Aufklärung der Nutzer über Bedrohungen und einen sicheren Umgang mit den Clouddiensten sind Pflichtprogramm für Unternehmen. Diese Schulungen sollten Sie regelmäßig wiederholen und vertiefen, da die Cyberkriminellen sehr kreativ sind und sich regelmäßig neue Tricks ausdenken.
Trotzdem gilt: Die geschilderten Maßnahmen und Ratschläge sind kein umfassendes Security-Konzept. Sie sind vielmehr die Basis, auf der jedes Unternehmen seine eigene Sicherheitsstrategie aufbauen kann.

Fazit
Mit der Cloud verlassen Daten und Anwendungen die Grenzen des eigenen Netzwerks und ermöglichen so ein modernes und ortsunabhängiges Arbeiten. Gleichzeitig entziehen sie sich dadurch der umfassenden Kontrolle durch die Unternehmen und externe Dienste und Dienstleister werden zum Risikofaktor. Dies gilt es in einer Cloud-Sicherheitsstrategie zu bedenken, insbesondere im Bereich der Zugriffskontrolle. Zero-Trust-Konzepte für den Zugang zu Unternehmensressourcen und die strenge Kontrolle des Identitätsmanagements gewinnen daher in der Cloud zunehmend an Bedeutung.


<< Vorherige Seite Seite 2 von 2


ln/Al Lakhani, Gründer und CEO der IDEE GmbH

Tags

Ähnliche Beiträge

Zero Trust richtig umsetzen
Zero Trust funktioniert nur, wenn es im Netzwerk keine blinden Flecken gibt – Deep-Observability-Werkzeuge können hierbei helfen. (Quelle: welcomia – 123RF)
Redaktion IT-A… Mi., 01.05.2024 - 14:08
Zero Trust ist mittlerweile state of the art in Sachen Sicherheit. Was dabei häufig unter den Tisch fällt: Ganzheitliche Sichtbarkeit – und zwar bis auf Netzwerkebene – ist die Grundvoraussetzung für das Konzept. Ausgerechnet hier scheitern bereits viele Unternehmen. Die Folge: Blind Spots nehmen ihnen die Sicht. Erfahren Sie im Fachbeitrag, warum Deep Observability bei einer Zero-Trust-Strategie nicht fehlen darf.
Im Test: sayTEC sayTRUST VPSC
Ohne die Eingabe eines Passworts öffnet sich bei sayTRUST nicht einmal das Menü.Ohne die Eingabe eines Passworts öffnet sich bei sayTRUST nicht einmal das Menü.
Redaktion IT-A… Mo., 29.04.2024 - 07:01
Mit VPNs stellen Administratoren den Zugriff für mobile User zur Verfügung. Jedoch ist es nicht immer gewollt, dass die Endgeräte auch zum Teil des Netzwerks werden. Zudem bringen klassische VPNs nach wie vor eine Reihe von Unzulänglichkeiten mit sich, etwa in der Verwaltung oder bei der Performance. Mit sayTECs sayTRUST VPSC steht ein anderer Weg des geschützten Zugangs offen, der im Test überzeugte.
Bei der Vorbereitung auf NIS-2 profitieren Firmen von klaren Handlungsanweisungen. Diese zeigen auf, welche Maßnahmen Priorität haben. (Quelle: vvetc – 123RF)

Richtig auf NIS-2 vorbereiten

Vor 1 Woche von Redaktion IT-A…
Bis zum 17. Oktober 2024 müssen zahlreiche Unternehmen ihre Informations- und Cybersicherheitsstrategien anpassen. Dazu gehören regelmäßige Penetrationstests und Meldesysteme für Cybervorfälle. Außerdem sind umfassende Risikobewertungen erforderlich. Die NIS-2-Richtlinie stellt Unternehmen vor Herausforderungen, bietet aber auch Chancen. Sie kann Organisationen sicherer und widerstandsfähiger machen.

Copyright © 2023, Heinemann Verlag