Seite 2 - Die Dos and Don'ts der Cloudsicherheit

Lesezeit
2 Minuten
Drucken
a- a+
Veröffentlicht Vor 2 Jahren
Zuletzt aktualisiert Vor 1 Jahr
Bis jetzt gelesen

Seite 2 - Die Dos and Don'ts der Cloudsicherheit

18.08.2021 - 14:00
Veröffentlicht in:
Überwachung und Transparenz
Unternehmen benötigen eine Sicherheitsstrategie für die Cloud, damit Aspekte wie die Kontrolle der Daten und die Compliance rechtssicher organisiert werden. Um jederzeit über die Cloud-Security informiert zu sein, sollte das Management auf jeden Fall die folgenden Punkte berücksichtigen:

  • Der Zugriff auf geschäftskritische Anwendungen und Daten muss die Netzwerkgrenzen berücksichtigen. Externe Zugriffe durch Systeme außerhalb des eigenen Netzwerkes sollten nicht möglich sein.
  • Die Unternehmen müssen wissen, wie die vom Cloudprovider angebotene Infrastruktur verwaltet und aktualisiert wird. Darüber hinaus muss es Möglichkeiten geben, wie sich Fehlkonfigurationen der Services frühzeitig erkennen lassen.
  • Die Unternehmen benötigen auf jeden Fall die Kontrolle über ihre Schlüssel. Kryptografische Schlüssel sind nur dann wirklich sicher, wenn die Cloudnutzer vollständige Kontrolle über das Schlüsselmanagement haben.
Governance und Compliance
Auf Seiten der Unternehmenssteuerung (Governance) gibt es eine ganze Reihe von Aspekten zu berücksichtigen. Dazu gehören beispielsweise Zertifizierungen für ISO 27001 oder den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie schreiben die Einführung eines systematischen Informationssicherheits-Managements vor, das sich auch auf Clouddienste erstrecken muss.

Zudem müssen Unternehmen auf die Compliance zu den regulatorischen Verpflichtungen der eigenen Branche achten. Hier gibt es eine Vielzahl an Regeln mit Rückwirkung auf die Cloudsicherheit. So gilt für alle Branchen der europäische Datenschutz. Darüber hinaus gibt es Regeln für jede Branche, etwa der Sarbanes-Oxley Act bei Banken. Und nicht zuletzt müssen die Organisationen Branchenstandards in ihre Sicherheitsstrategie integrieren, etwa PCI-DSS für die Abwicklung des Zahlungsverkehrs mit Kreditkarten.

Weiterhin gilt es, das kaufmännische Controlling nicht zu vernachlässigen. Hierzu gehört, alle internen und externen Nutzer mit Zugriff auf die Cloudinfrastruktur regelmäßig zu prüfen und die durch sie entstandenen Kosten zu bewerten. Doch es geht nicht nur um Geld. Ein Asset-basiertes Risikomanagement erfasst kritische Systeme und Daten mit regelmäßigen Risikobewertungen.


Drei wichtige Grundregeln
Diese Anmerkungen zeigen, dass Cloud-Security ein ausuferndes Thema ist. Deshalb ist es wichtig, dass Unternehmen darauf achten, jederzeit drei wichtige Grundregeln für die sichere Konfiguration ihrer Infrastruktur zu befolgen:
  1. Überprüfen Sie regelmäßig die Sicherheit ihrer Infrastruktur. Sie sollten den einmal getroffenen Maßnahmen nicht blind vertrauen.
  2. Interpretieren Sie Sicherheitsstandards nicht als zu erreichendes Ziel, sondern als Grundlage für Cloud-Security.
  3. Nutzen Sie Lösungen, die Netzwerk-, Endpunkt- und Zugriffssicherheit zu einem vereinfachten und einheitlichen Ansatz zusammenführen.
Das sollten Unternehmen vermeiden
Das Versprechen der Cloud lautet, dass sie alles einfacher macht. Das ist gemessen an der Komplexität der Aufgaben in digitalisierten Unternehmen richtig. Doch leider gibt es zahlreiche Fehler, die Unternehmen immer wieder machen. Deshalb zum Schluss noch die Liste der Fehler, die IT-Verantwortliche auf jeden Fall vermeiden sollten:

  • Vertrauen: Der häufigste Fehler besteht darin, Leuten zu vertrauen. Noch einmal: Setzen Sie auf eine Zero-Trust-Architektur. Denn viele Sicherheitsbrüche entstehen durch unachtsame oder gar böswillige Mitarbeiter oder Administratoren.
  • Überkomplexität: Eine überkomplexe Infrastruktur, aufwändige Workloads und komplizierte Betriebsprozesse sorgen dafür, dass Mitarbeiter die Security vernachlässigen.
  • Bequemlichkeit: Cloudprovider bieten eigene Routinen für Security und Authentifizierung. Doch dadurch werden sie zum Single-Point-of-Failure. Unternehmen sollten ein eigenes Identity & Access Management einsetzen und ihre Sicherheitsmaßnahmen so definieren, dass sie zu ihrer Branche und ihrem Geschäftsmodell passen.
  • Passwörter: Sie sind kein Schutz vor einem Cyberangriff, sondern oftmals das Einfallstor. Das Minimum für sichere Authentifizierung ist ein zusätzlicher Authentifizierungsfaktor, besser ist beispielsweise eine Kombination aus biometrischem Merkmalen und einem weiteren Faktor wie einem Einmalpasswort.
  • Ungeschulte Nutzer: Die Aufklärung der Nutzer über Bedrohungen und einen sicheren Umgang mit den Clouddiensten sind Pflichtprogramm für Unternehmen. Diese Schulungen sollten Sie regelmäßig wiederholen und vertiefen, da die Cyberkriminellen sehr kreativ sind und sich regelmäßig neue Tricks ausdenken.
Trotzdem gilt: Die geschilderten Maßnahmen und Ratschläge sind kein umfassendes Security-Konzept. Sie sind vielmehr die Basis, auf der jedes Unternehmen seine eigene Sicherheitsstrategie aufbauen kann.

Fazit
Mit der Cloud verlassen Daten und Anwendungen die Grenzen des eigenen Netzwerks und ermöglichen so ein modernes und ortsunabhängiges Arbeiten. Gleichzeitig entziehen sie sich dadurch der umfassenden Kontrolle durch die Unternehmen und externe Dienste und Dienstleister werden zum Risikofaktor. Dies gilt es in einer Cloud-Sicherheitsstrategie zu bedenken, insbesondere im Bereich der Zugriffskontrolle. Zero-Trust-Konzepte für den Zugang zu Unternehmensressourcen und die strenge Kontrolle des Identitätsmanagements gewinnen daher in der Cloud zunehmend an Bedeutung.


<< Vorherige Seite Seite 2 von 2


ln/Al Lakhani, Gründer und CEO der IDEE GmbH

Tags

Ähnliche Beiträge

Planen Sie, Teile Ihrer lokalen Infrastruktur dauerhaft zu Azure auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. (Quelle: merznatalia – 123RF)

Sicherheit in Microsoft Azure (3)

Vor 4 Tagen von Redaktion IT-A…
Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im letzten Teil des Workshops geht es unter anderem darum, wie Sie mit Microsoft Defender for Cloud für Sicherheit sorgen und warum Sie den Zugriff auf virtuelle Server einschränken sollten.
Planen Sie, Teile Ihrer lokalen Infrastruktur dauerhaft zu Azure auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. (Quelle: merznatalia – 123RF)

Sicherheit in Microsoft Azure (2)

Vor 1 Woche von Redaktion IT-A…
Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im zweiten Workshop-Teil schildern wir, wie Sie auf der Kommandozeile für den Security-Feinschliff sorgen und wie Sie den Azure-Login absichern.
Die Unterscheidung und das Zusammenspiel von Identity Access Management und Identity Governance and Administration sind entscheidend für eine robuste Cybersecurity-Strategie. (Quelle: Omada)

Identity Access Management vs. Identity Governance and Administration

Vor 2 Wochen von Redaktion IT-A…
Die IT-Sicherheit differenziert zwischen Identity Access Management (IAM) und Identity Governance and Administration (IGA). Beide sind für Sicherheit und Compliance essenziell, aber in ihren Funktionen leicht verwechselbar. Wer IAM und IGA differenzieren kann, dem bereiten Authentifizierung, Berechtigungsmanagement und Cyberangriffe weitaus weniger Kopfzerbrechen. Der Fachbeitrag klärt, wie sich IGA und IAM unterscheiden und warum beide Konzepte komplementär zu betrachten sind.

Copyright © 2023, Heinemann Verlag