von Redaktion IT-A…
Lesezeit
2 Minuten
Die Dos and Don'ts der Cloudsicherheit
Für den Aufbruch der Unternehmen in die Cloud fehlen oft die passenden Sicherheitskonzepte. Denn der Wechsel vom eigenen Rechenzentrum in die Wolke erfordert ein Umdenken. Ein Beispiel: IT-Organisationen unterscheiden zwischen internen und externen Zugriffen und sichern deshalb in erster Linie die Außengrenze ihrer Infrastruktur ab. Doch für die Cloud ist alles extern, sodass eine Zero-Trust-Policy gelten sollte – vertraue niemandem, auch nicht den eigenen Anwendern. Unser Fachartikel beleuchtet diesen und weitere Punkte.
Dienste in der Cloud sind populär und ein weltweiter Wirtschaftsfaktor. Laut einer IDC-Studie liegt der gesamte Umsatz von Public-Cloud-Services bei 312 Milliarden US-Dollar. Das jährliche Wachstum übersteigt 20 Prozent. Auch in Deutschland ist die Cloud angekommen: Nach dem Cloud-Monitor 2020 nutzen sie etwa 76 Prozent der Unternehmen. Die Cloud ist also für die Mehrheit schon Alltag.
Die Popularität der Cloud liegt in erster Linie an der hohen Attraktivität der Lösungen. Die Nutzer sparen Betriebskosten, haben unkomplizierte Remote-Zugriffe beispielsweise von unterwegs oder aus dem Home Office und können innovative Lösungen nutzen, die es als On-Premises-Software in der Form nicht gibt – etwa im Bereich Messaging, Projektmanagement oder Teamarbeit.
Trotzdem gibt es bei vielen Unternehmen noch Bedenken. Angst vor Datenverlusten und unberechtigten Zugriffen auf sensible Daten gehören für mehr als zwei Drittel der Firmen zu den Hinderungsgründen. Zudem ist fast jedem Unternehmen wichtig, dass die Cloudprovider die Grundanforderungen der europäischen Datenschutzgrundverordnung (DSGVO) erfüllen.
Die Cloud erfordert neue Sicherheitskonzepte
Doch die "Cloudifizierung" der Unternehmens-IT bringt auch Herausforderungen. Einerseits entstehen durch den Wechsel in die Cloud neue Betriebsrisiken, andererseits drohen hohe Kosten durch mangelhafte Compliance bei der Anwendung der Cloud. Vor allem das Identity & Access Management (IAM) ist in der Cloud anspruchsvoll, da viele Unternehmen nicht nur einen Service nutzen.
Fast schon Standard ist die hybride Multicloud, bei der Unternehmen einzelne (ältere) Kernanwendungen im Rechenzentrum betreiben und parallel dazu mehrere Clouddienste nutzen. Dies geschieht oft in allen drei Darreichungsformen als Infrastruktur-, Plattform- und Software-as-a-Service (SaaS). Natürlich gibt es dafür entsprechende Werkzeuge, beispielsweise Single Sign-on und Identitätsmanagement. Solche Security-Services kommen allerdings häufig wiederum aus der Cloud, sodass eine ganz eigene Komplexität entsteht.
Deshalb sollten Unternehmen nicht überstürzt in die Cloud aufbrechen, sondern das Thema Cloud-Security ganz oben auf die Tagesordnung setzen. Vor allem der Wechsel von klassischen On-Premises-Anwendungen zu SaaS ist anspruchsvoll. So müssen die IT-Organisationen häufig völlig neue Sicherheitskonzepte einführen, um auf die Besonderheiten der Cloud zu reagieren.
Welche konkreten Maßnahmen die Unternehmen ergreifen müssen, hängt vom Einzelfall ab und der kann sich in unterschiedlichen Branchen und Unternehmensgrößen erheblich unterscheiden. Doch es gibt eine Reihe von dringenden Empfehlungen, die Unternehmen auf jeden Fall beachten müssen.
Datensicherheit und -schutz
Für das Management der Zugriffsrechte und Benutzerkonten in der Cloud sollten sich die Unternehmen nicht auf die entsprechenden Routinen der Cloudprovider verlassen. Stattdessen ist die Wahl einer externen Lösung sinnvoll, die ein Zero-Trust-Modell unterstützt. Es basiert auf dem Grundsatz, dass kein menschlicher und technischer Anwender vertrauenswürdig ist. Alle Geräte, Dienste und Anwender müssen sich authentifizieren – auch im internen Datenverkehr.
Eine weitere, empfehlenswerte Vorgehensweise beim Identitätsmanagement ist das sogenannte Least-Privilege-Modell. Dabei werden jedem Benutzerkonto nur genau diejenigen Zugriffsrechte zugestanden, die es tatsächlich benötigt. Im Falle eines Anwenders aus einem regional organisierten Vertrieb bedeutet das beispielsweise, dass er lediglich Zugriff auf Vertriebsanwendungen und -daten aus seiner Fokusregion hat.
Zu sicherem Identitätsmanagement gehört die Absicherung der Root-User. Sie legen als primäre Administratoren die Zugriffsrechte der anderen fest. Diese Benutzerkonten sind attraktive Ziele für Cyberkriminelle und erfordern deshalb einen starken Schutz. Hier empfiehlt sich eine Multifaktor-Authentifizierung auf Basis eines physischen Geräts – etwa dem Smartphone. Zudem sollten die verwendeten Credentials nicht bei den Nutzern liegen, sondern separat vorgehalten werden, damit sich diese nur im Notfall und durch eine autorisierte Person verwenden lassen.
ln/Al Lakhani, Gründer und CEO der IDEE GmbH
Die Popularität der Cloud liegt in erster Linie an der hohen Attraktivität der Lösungen. Die Nutzer sparen Betriebskosten, haben unkomplizierte Remote-Zugriffe beispielsweise von unterwegs oder aus dem Home Office und können innovative Lösungen nutzen, die es als On-Premises-Software in der Form nicht gibt – etwa im Bereich Messaging, Projektmanagement oder Teamarbeit.
Trotzdem gibt es bei vielen Unternehmen noch Bedenken. Angst vor Datenverlusten und unberechtigten Zugriffen auf sensible Daten gehören für mehr als zwei Drittel der Firmen zu den Hinderungsgründen. Zudem ist fast jedem Unternehmen wichtig, dass die Cloudprovider die Grundanforderungen der europäischen Datenschutzgrundverordnung (DSGVO) erfüllen.
Die Cloud erfordert neue Sicherheitskonzepte
Doch die "Cloudifizierung" der Unternehmens-IT bringt auch Herausforderungen. Einerseits entstehen durch den Wechsel in die Cloud neue Betriebsrisiken, andererseits drohen hohe Kosten durch mangelhafte Compliance bei der Anwendung der Cloud. Vor allem das Identity & Access Management (IAM) ist in der Cloud anspruchsvoll, da viele Unternehmen nicht nur einen Service nutzen.
Fast schon Standard ist die hybride Multicloud, bei der Unternehmen einzelne (ältere) Kernanwendungen im Rechenzentrum betreiben und parallel dazu mehrere Clouddienste nutzen. Dies geschieht oft in allen drei Darreichungsformen als Infrastruktur-, Plattform- und Software-as-a-Service (SaaS). Natürlich gibt es dafür entsprechende Werkzeuge, beispielsweise Single Sign-on und Identitätsmanagement. Solche Security-Services kommen allerdings häufig wiederum aus der Cloud, sodass eine ganz eigene Komplexität entsteht.
Deshalb sollten Unternehmen nicht überstürzt in die Cloud aufbrechen, sondern das Thema Cloud-Security ganz oben auf die Tagesordnung setzen. Vor allem der Wechsel von klassischen On-Premises-Anwendungen zu SaaS ist anspruchsvoll. So müssen die IT-Organisationen häufig völlig neue Sicherheitskonzepte einführen, um auf die Besonderheiten der Cloud zu reagieren.
Welche konkreten Maßnahmen die Unternehmen ergreifen müssen, hängt vom Einzelfall ab und der kann sich in unterschiedlichen Branchen und Unternehmensgrößen erheblich unterscheiden. Doch es gibt eine Reihe von dringenden Empfehlungen, die Unternehmen auf jeden Fall beachten müssen.
Datensicherheit und -schutz
Die Sicherheitsarchitektur für die Cloud sollte als umfassende Ende-zu-Ende-Konstruktion ausgelegt sein. Dazu gehört die besondere Absicherung von Speicherdaten und die sichere Datenkommunikation zwischen Private und Public Cloud. Datenlecks von geschäftskritischen Daten lassen sich mit Verschlüsselung und einem abgesicherten Schlüsselmanagement vermeiden.
Eine weitere, empfehlenswerte Vorgehensweise beim Identitätsmanagement ist das sogenannte Least-Privilege-Modell. Dabei werden jedem Benutzerkonto nur genau diejenigen Zugriffsrechte zugestanden, die es tatsächlich benötigt. Im Falle eines Anwenders aus einem regional organisierten Vertrieb bedeutet das beispielsweise, dass er lediglich Zugriff auf Vertriebsanwendungen und -daten aus seiner Fokusregion hat.
Zu sicherem Identitätsmanagement gehört die Absicherung der Root-User. Sie legen als primäre Administratoren die Zugriffsrechte der anderen fest. Diese Benutzerkonten sind attraktive Ziele für Cyberkriminelle und erfordern deshalb einen starken Schutz. Hier empfiehlt sich eine Multifaktor-Authentifizierung auf Basis eines physischen Geräts – etwa dem Smartphone. Zudem sollten die verwendeten Credentials nicht bei den Nutzern liegen, sondern separat vorgehalten werden, damit sich diese nur im Notfall und durch eine autorisierte Person verwenden lassen.
| Seite 1 von 2 | Nächste Seite >> |
ln/Al Lakhani, Gründer und CEO der IDEE GmbH
