Sicher in die Cloud

bei

 / 27. March. 2019

Die Zeit, in der die Cloud in deutschen Unternehmen als unberechenbares Sicherheitsrisiko galt, ist vorbei. Im aktuellen Cloud Security-Report von McAfee geben 96 Prozent der Unternehmen an, bereits auf Cloud-Angebote zu setzen. 85 Prozent sagen außerdem, dass in ihrem Unternehmen inzwischen ein größeres Vertrauen in die Cloud herrsche als noch vor zwölf Monaten. Die Stoßrichtung stimmt: Cloud-Lösungen bergen viele Vorteile für Endnutzer, darüber hinaus sind sie oftmals wirtschaftlicher, da insbesondere im Vergleich zu On-Premise-Alternativen ein Großteil des Administrationsaufwands entfällt. Auch hohe Anschaffungskosten für neue Hardware entfallen.

Trotz aller Vorteile dürfen Unternehmen aber nicht vergessen, ihre Infrastruktur adäquat abzusichern. Denn je mehr Daten vom eigenen Rechenzentrum in die Cloud wandern, desto höher das Risiko von Datenverlusten und teuren Verstößen gegen die europäische Datenschutzgrundverordnung (DSGVO). Um Cyber-Kriminellen das Leben möglichst schwer zu machen und auch in der Cloud ein Höchstmaß an Sicherheit und Datenschutz zu gewährleisten, müssen Unternehmen ihre IT-Sicherheit gezielt auf die neuen Herausforderungen einstellen.

Sicherheit auch außerhalb des Perimeters

Als die IT-Landschaften von Unternehmen noch ausschließlich aus On-Premise-Lösungen bestanden, waren die Daten auf den Servern so sicher wie das Gold in einer Schatzkammer. Es musste lediglich sichergestellt sein, dass niemand die Burgmauer überwand – beziehungsweise den Perimeter, wie das IT-Äquivalent heißt. Im Cloud-Zeitalter bewegen sich Daten hingegen mobil zwischen Cloud-Anwendungen und dem eigenen Rechenzentrum, die Verteidigung des Perimeters alleine reicht nicht mehr aus. Egal wie gut die On-Premise-Sicherheit auch sein mag, sie verhindert nicht, dass eine Cloud-Anwendung zum Einfallstor für Datendiebe werden kann.

Um sich gegen Datendiebstähle abzusichern, haben Unternehmen üblicherweise eine Data Loss Prevention (DLP)-Lösung im Einsatz. Diese kontrolliert den Zugriff auf Daten und spürt anhand von vordefinierten Sicherheitsrichtlinien illegitime Zugriffsversuche auf. Dabei kann es sich einerseits um Zugriffe von Cyber-Kriminellen handeln, die kompromittierte Accounts nutzen, oder um leichtsinniges Verhalten der eigenen Mitarbeiter. Wenn die Cloud ins Spiel kommt, verlieren DLP-Lösungen aber oft an Effektivität. Ein Beispiel: E-Mail-Richtlinien verhindern den Versand von sensiblen Dokumenten per E-Mail, sämtliche Versuche werden blockiert und dem Sicherheitsteam gemeldet. Dieser Mechanismus greift jedoch nur auf lokalen Geräten. Wenn sich ein Cyber-Krimineller stattdessen über den Browser bei Office365 oder einem anderen Anbieter einloggt, funktioniert der Versand sensibler Dokumente ohne Probleme. Um Daten auch außerhalb des eigenen Perimeters zu schützen, benötigen Unternehmen also einen neuen Ansatz.

CASB-Lösungen schaffen Abhilfe

 Cloud-Ressourcen sollen ihrer Bestimmung nach unkompliziert und flexibel zu erreichen sein – standortunabhängig und von jedem Endgerät. Gerade diese Einfachheit öffnet aber auch Cyber-Kriminellen Tür und Tor. Um sich vor Angriffen zu schützen, müssen Unternehmen den Cloud-Zugang deshalb besser absichern. Am besten gelingt dies mit einem Cloud Access Security Broker (CASB). Ein CASB ist eine Appliance, die zwischen die Nutzer von Cloud-Services und die Angebote der Cloud-Service-Provider geschaltet wird, um sämtliche Interaktionen zu überwachen, Sicherheits- und Datenschutzrichtlinien durchzusetzen sowie Bedrohungen zu erkennen und zu bekämpfen. Auch ein CASB folgt dabei vordefinierten Sicherheitsrichtlinien und blockiert sowie meldet sämtliche Verstöße. Die Branchenanalysten von Gartner prognostizieren, dass im Jahr 2020 85 Prozent der Großunternehmen einen CASB im Einsatz haben werden.

Bedeutet eine zusätzliche Lösung auch zusätzliche Arbeit? Wenn der Umstieg in die Cloud eine Vervielfachung des Aufwands für IT-Sicherheit bedeutet, dann könnte das die oben beschriebenen Effizienzgewinne auffressen. Deshalb ist entscheidend, den CASB mit der eingesetzten DLP-Lösung zu integrieren. So wird es möglich, einen einzelnen Katalog an Sicherheitsrichtlinien anzulegen, der dann sowohl für die durch eine DLP-Lösung abgesicherten On-Premise-Ressourcen als auch für die durch einen CASB geschützten Cloud-Anwendungen gilt. Über eine zentrale Verwaltung wird es außerdem möglich, Sicherheitsvorfälle in beiden Umgebungen zentral abzubilden. Das erleichtert den Mitarbeitern das Incident Management und verringert den Administrationsaufwand.

Verdächtige Nutzer immer im Blick

Einem Datendiebstahl gehen fast immer auffällige Verhaltensweisen voraus, unabhängig vom Hintergrund des Angriffs und der Professionalität des Vorgehens. Kommt es bei einem bestimmten Account etwa zu einer außergewöhnlich hohen Zahl an fehlerhaften Login-Versuchen, kann das ein Hinweis auf einen Bruteforce-Angriff sein. Probiert es ein einzelner Nutzer hingegen mit einer großen Zahl an Nutzername-Passwort-Kombinationen, handelt es sich möglicherweise um einen Fall von „Credential Stuffing“. Auch wenn ein Zugriff verschlüsselt über das Tor-Netzwerk erfolgt, deutet dies auf einen Angriff hin. All diese punktuellen Hinweise muss eine Sicherheitslösung routinemäßig auswerten. Erkennt sie einen Verstoß gegen die Richtlinien, muss sie den entsprechenden Account oder Nutzer blockieren, bis der Vorfall hinreichend untersucht wurde.

Gleichzeitig sind viele Risikobeurteilungen jedoch stark kontextrelevant. Wenn es zu Verhaltensweisen kommt, die zwar kein klarer Beweis für einen Angriff sind, aber zumindest verdächtig erscheinen, sollten alle weiteren Aktionen dieses Nutzers besonders kritisch beäugt werden. Verzeichnet etwa ein Account bislang ausschließlich Zugriffe aus Deutschland und dann plötzlich einen Login-Versuch über eine russische IP-Adresse, dann kann das bedeuten, dass der betroffene Mitarbeiter lediglich dort auf Geschäftsreise ist. Versucht der aus Russland eingeloggte Nutzer dann jedoch sofort, auf sensible Daten zuzugreifen, erscheint eine vorübergehende Sperrung des Accounts und eine nähere Überprüfung des Vorgangs unbedingt sinnvoll. Diese kontextabhängige Beurteilung fällt umso leichter, je einheitlicher die Sicherheitslandschaft ist. Fragmentierte Lösungen erfassen immer nur einen kleinen Teilbereich und sind bei solchen Vorgängen weitgehend nutzlos – auch das ist ein wichtiges Argument für die Integration von CASB und DLP-Lösung.

Sicherheit im Cloud-Zeitalter

Die Cloud steht On-Premise-Systemen heute nicht nur gleichberechtigt gegenüber, sondern wird in absehbarer Zeit das dominierende Bereitstellungsmodell werden – mancherorts ist sie das schon. Auf diesen Wandel müssen sich die IT-Sicherheitsteams in Unternehmen einstellen. Wo sie vormals jede Migration in die Cloud kritisch beäugten, wird in Zukunft eine „Cloud first“-Strategie Einzug erhalten. Konkret bedeutet das, nicht etwa vorhandene, lokale Sicherheitslösungen in die Cloud zu verlängern, sondern völlig neue Wege einzuschlagen. Vorhandene Modelle und Lösungen alleine schaffen keine Abhilfe, logische Erweiterungen wie SSL-Proxying oder DLP-Browser-Plugins mögen zwar punktuell sinnvoll sein, lösen aber nur einen kleinen Teil der Herausforderungen. Darüber hinaus lassen sich die Vorteile der Cloud nur dann mit den Sicherheitsanforderungen moderner Unternehmen ausbalancieren, wenn passgenaue Lösungen zum Einsatz kommen. Ein Umstieg auf Endnutzer-Anwendungen aus der Cloud und ein gleichzeitiges Festhalten an Sicherheitslösungen aus dem On-Premise-Zeitalter stellt vor diesem Hintergrund schlicht ein Versäumnis dar, das enorme Risiken mit sich bringt. Wer in die Cloud geht, muss auch seine IT-Sicherheit neu ausrichten.

 

Seit 2014 ist Rolf Haas Enterprise Technology Specialist EMEA bei McAfee. Er befasst sich mit allen Bereichen der IT Security, seine Schwerpunkte sind Forensic-, Cloud-, Content-, Gateway- und Netzwerksicherheit.

 

Vorheriger ArtikelLockerGoga, CottleAkela und Gorgon – Ransomware ist zurück
Nächster ArtikelSicherheitsansätze für Digitalisierungsprojekte: Das richtige Werkzeug ist Waffe und Segen zugleich