Sichere Cloud dank zertifiziertem Schutz

bei

 / 23. August. 2021

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Die Rolle von Cloud- und Multi-Cloud-Umgebungen in Unternehmen wächst stetig – verstärkt auch durch die Corona-Pandemie und den damit verbundenen Auswirkungen auf Unternehmen und Unternehmenskulturen. Viele Arbeitgeber haben bereits verlauten lassen, nach den Einschränkungen und Schutzmaßnahmen gegen Covid-19 vermehrt auf‚ Work from anywhere‘ zu setzen und den eigenen Mitarbeitern mehr Homeoffice zu ermöglichen. Zur Umsetzung dieser Pläne bedarf es allerdings einer entsprechenden Infrastruktur und eines dafür optimierten technologischen und prozessualen Ökosystems. Der Grad der Digitalisierung, besonders in kleinen und mittleren Unternehmen (KMU), muss entsprechend angehoben werden, um in der neuen Arbeitswelt wettbewerbsfähig zu bleiben.

Cloud- und Multi-Cloud-Lösungen bieten nicht nur einen schnelleren Zugriff auf Unternehmensdaten, als es viele VPN-Lösungen können, sondern die Verlagerung von Anwendungen und Services in Cloud-Umgebungen erleichtert oftmals die tägliche Arbeit der eigenen Mitarbeiter erheblich. Neben diesen Vorteilen birgt die Migration in die Cloud allerdings auch diverse Stolpersteine, besonders in Sachen der Sicherheit und des Datenschutzes, die vor dem Start von solchen Projekten beachtet und nach Abschluss regelmäßig geprüft werden müssen, um die Entstehung von Sicherheitslücken und Datenlecks zu verhindern bzw. auf diese schnellstmöglich zu reagieren.

Identitätsmanagement und Zero Trust sorgen für Sicherheit im Homeoffice

Neben möglichen Fehlkonfigurationen bleibt ein weiterer Angriffsvektor ein Problem für die Cloud: Zugangsdaten und Identitätsmanagement. Phishing ist nach wie vor eine der größten Cyber-Bedrohungen, die Mitarbeiter in Unternehmen unmittelbar betreffen. Die Bedrohungsakteure haben sich zudem das Homeoffice als neues Angriffsziel ausgesucht, um ihre Opfer mit falschen Liefer-Meldungen oder ausgefeilten Social-Engineering-Attacken auszutricksen und sich Zugangsdaten zu beschaffen. Durch die physische Trennung vom Unternehmensnetzwerk – und Kollegen – steigt die Verantwortung, die der einzelne Mitarbeiter als Teil einer Art menschlichen Firewall zur Bedrohungsabwehr trägt, enorm. Das erfordert nicht nur einen größeren Fokus auf Security Awareness, den es von Unternehmensseite zu setzen gilt, sondern eine Adaption von Least-Privilege- und Zero-Trust-Ansätzen. Dabei wird für jeden Nutzer initial und anschließend regelmäßig genau evaluiert, welche Rollen und Rechte er benötigt, und ob diese eventuell zu einem späteren Zeitpunkt nicht mehr benötigt werden. Das schränkt nicht nur dessen Bewegungsfreiheit innerhalb des Systems ein, sondern dadurch wird dafür gesorgt, dass selbst bei einem erfolgreichen Einbruch eines Kriminellen in das Netzwerk der dabei entstandene Schaden in Grenzen gehalten werden kann.

Ein starkes Identitätsmanagement zur eindeutigen Identifikation, bei Bedarf durch eine Mehr-Faktor-Authentifizierung, hilft ebenfalls, um Einbrüche und Datenlecks zu verhindern. Sogar wenn somit einmal Anmeldedaten und die dazugehörigen Passwörter durch Phishing abhandengekommen sein sollten, so helfen diese zusätzlichen Sicherheitsmaßnahmen dabei, die Kriminellen auszusperren.

Fehlkonfiguration als Gefahrenquelle in der Cloud

Eine Mehrheit der Sicherheitslücken in Cloud-Lösungen und der dadurch entstehenden Schäden lässt sich auf initiale Fehlkonfigurationen bei der Migration zurückführen. Unternehmen, beziehungsweise deren IT-Abteilungen, gehen nach wie vor zu häufig davon aus, dass die Verantwortung für die Sicherheit von Daten und Anwendungen innerhalb der Cloud lediglich beim Anbieter der IaaS-Lösung (Infrastructure-as-a-Service) liegt. Allerdings garantiert dieser zumeist nur die Sicherheit der Cloud selbst. Sollten also unternehmen Anwendungen oder Services dorthin verschieben, so sind sie auch selbst für die Absicherung dieser verantwortlich.

Im Zuge der Covid-19-Maßnahmen war es für viele KMU notwendig, schnell zu handeln, um die Geschäftskontinuität zu gewährleisten. Während nun IT-Sicherheitsabteilungen oftmals die Kräfte fehlen, um sich dem Problem der Fehlkonfigurationen anzunehmen, haben die Cyber-Kriminellen bereits reagiert: Mehr Malware und Ransomware wird über Sicherheitslücken in der Cloud in Unternehmen eingeschleust. Eine aktuelle Studie von IDG Research zeigt: Jedes dritte Unternehmen hat in den vergangenen 12 Monaten einen wirtschaftlichen Schaden durch Angriffe auf die von ihnen genutzten Cloud-Dienste erlitten – wiederum ein Drittel der betroffenen Unternehmen hatte sogar mit einem kompletten Stillstand aufgrund der Angriffe zu kämpfen.

Normen schaffen Vertrauen

Einer der zuverlässigsten Wege zur sicheren Nutzung der Cloud ist die Überprüfung des Systems durch unabhängige Experten. Diese können dabei helfen, die IT-Sicherheitsabteilungen zu entlasten und die Daten und Anwendungen innerhalb der Cloud-Umgebung zu sichern. Dabei helfen ihnen unter anderem die Normen ISO / IEC 27001 und deren Erweiterung 27701. Die Normenreihe fordert beispielsweise die Implementierung eines Informationssicherheits-Managementsystems (Information Security Management System, ISMS) zur Sicherung des technologischen Ökosystems von Unternehmen. Dabei handelt es sich um eine Aufstellung von Regelungen, Maßnahmen und Programmen, die innerhalb eines Unternehmens angewendet werden sollten. Wichtig ist, dass dabei aber mehr als nur die verwendete Technologie und die digitale Infrastruktur eines Unternehmens betrachtet wird. Dabei setzt ein ISMS bereits auf der Prozessebene an, um sein Ziel der Informationssicherheit im gesamten Unternehmen zu erreichen. Durch diesen ganzheitlichen Ansatz helfen die Normen dabei, jeden Aspekt der Arbeit mit Cloud-Lösungen sicherer zu gestalten: von der Migration über die Datenspeicherung bis hin zu den Zugriffen der Nutzer auf Anwendungen und Informationen.

Wer also dafür sorgt, dass eigene Lösungen nach den entsprechenden Normen zertifiziert sind, der kann wirklich von einer sicheren Cloud sprechen. Zudem hilft die Zertifizierung im Schadens- oder Haftungsfall: die Normenreihe ISO / IEC 2700x bietet Unternehmen im Falle eines Rechtsstreits ein solides Fundament für die Argumentation.

Nur eine sichere Cloud bringt Vorteile

Laut einer Umfrage von Gartner setzen nicht nur mehr Unternehmen auf Cloud-Lösungen, um ihre bestehenden technologischen Ökosysteme zu erweitern, sondern 75 Prozent der Unternehmen, die diese bereits verwenden, spekulieren, in Zukunft einen Cloud-First-Ansatz zu verfolgen. Viele dieser Unternehmen erkennen den Stellenwert der Sicherheit von Daten und Informationen innerhalb der Cloud an – daher steigt der Wunsch, diesen Schutz bestätigt zu bekommen. Eine Zertifizierung der verwendeten Cloud-Lösungen und -Dienste nach den Normen ISO / IEC 27001 und 27701 hilft dabei, das entsprechende Vertrauen zu schaffen, und somit den Weg zu einem sicheren ‚Work from anywhere‘ als Prinzip und einer sicheren, neuen Arbeitswelt zu schaffen.

Über den Autor / die Autorin:


Alexander Häußler Product Compliance Manager ISO/IEC 27001, TÜV SÜD Management Service