Cloud-basierte Netzwerke gelten als besonders sicher, ressourcensparend und in Zeiten von Remote Work als Mittel der Wahl. Wer allerdings glaubt damit komplett aus der Security-Verantwortung zu sein, täuscht sich. Cloud Services sind kein Standard-Modell für IT-Sicherheit. Denn wie so oft im Leben gilt auch hier: Es kommt ganz darauf an …
In den vergangenen Jahren haben sich immer mehr Unternehmen für ein Cloud-basiertes Netzwerk entschieden. Das bietet mehr Flexibilität bei Rechenleistung und Speicherkapazitäten, ist effizient und entlastet die IT-Abteilung. Allerdings hat sich zwischen 2019 und 2020 die Zahl der Cyberangriffe auf Cloud-Dienste verdoppelt, so dass Unternehmen mit Cloud-Umgebungen zu den am häufigsten angegriffenen Unternehmen gehören.
Gleichwohl gilt die Cloud als eine der sichersten Umgebungen – jedoch nur, wenn die besonderen Sicherheitsanforderungen auch von den jeweiligen Verantwortlichen erfüllt werden. Genau darüber sind sich viele Unternehmen nicht im Klaren.
Cloud-Sicherheit wird von vielen Kunden der Cloud Computing-Anbieter nicht hinreichend verstanden. In einer kürzlich von KPMG durchgeführten Umfrage gaben nur 10 % der Kunden-CISOs an, das Modell vollständig zu durchdringen, 82 % hatten Sicherheitsprobleme in Bezug auf das Verständnis des Modells.
Das Modell der „Shared Responsibility“ besagt im Wesentlichen, dass der Cloud-Anbieter für die Sicherheit der Cloud (den Schutz der Infrastruktur) verantwortlich ist, während der Kunde für seine Sicherheit in der Cloud (den Schutz der selbstgenutzten Anwendungssoftware) die Verantwortung trägt.
Die einzelnen Sicherheitsaufgaben hängen vom jeweiligen Cloud-Anbieter und dem gebuchten Bereitstellungsservice ab. In der Regel umfassen die Leistungen den Schutz
a) der physischen Infrastruktur
Das bedeutet, die physischen Rechenzentren befinden sich auf dem Gelände des Cloud-Unternehmens und fallen vollständig in dessen Zuständigkeit.
b) grundlegender Software-Komponenten
Diese sind für die Cloudfunktionen erforderlich und umfassen in der Regel die Kategorien: Datenverarbeitung, Speicherung, Datenbank und Netzwerke.
Die Verantwortung des Kunden für seine Sicherheit in der Cloud bedeutet, dass seine Netzwerk-, Anwendungs- und Datensicherheit, sein Betriebssystem und seine Firewall etc. NICHT von der Cloud geschützt werden!
Die meisten Sicherheitslücken entstehen durch falsche Konfigurationen. In der Cloud ist dies nicht anders. Bei Cloud-Modellen sind Anbieter und Nutzer beide gefordert. Cloud-Anbieter unterstützen zwar die IT-Sicherheit. Um ein Sicherheitskonzept und notwendige Konfigurationen kommen die Kunden dennoch nicht herum. Je nach Cloud Modell teilen sich die Verantwortlichkeiten unterschiedlich auf. Dabei kann die Verteilung von Anbieter zu Anbieter variieren.
Anbieter:
– Verfügbarkeit & Sicherheit der Cloud-Infrastruktur (virtuelle Maschinen, Festplatten, Netzwerke)
– Rechenleistung, Speicherplatz, Konnektivität
– Bereitstellung von Services und Tools
Kunde:
– Installation, Konfiguration, Sicherheit der Betriebssysteme sowie Software-Stack (zur Anwendungsausführung und Datenverarbeitung) beispielsweise:
Plattform-, Anwendungs-, Identitäts- und Zugriffsverwaltung
Client-seitige Datenverschlüsselung
Dateisystemverschlüsselung
Schutz von Netzwerk-Traffic
Schutz von Services und Kommunikation
Anbieter:
– Verfügbarkeit und Sicherheit der Plattform (Sicherheits Updates, Backups, Datenbanken)
Kunde:
– Verwaltung der implementierten Software
– Identitätsmanagement (Vergabe und Wartung von Rollen und Rechten)
Anbieter:
– Cloud-Infrastruktur und Software-Stack
Kunde:
– Sichere Konfiguration der Dienste
– Identitätsmanagement (Vergabe und Wartung von Rollen und Rechten)
Geteilte Verantwortung:
– Firewall-Wartung
– Patch-Management
– Konfigurationsverwaltung
– Schulungen …
Viele Unternehmen haben im Zuge von Remote-Work den Wechsel zum Cloud Computing vollzogen und wähnen die Sicherheitsverantwortung beim Anbieter. Doch das ist in vielen Fällen ein Trugschluss. Hier lohnt eine Überprüfung des gewählten Modells. Darüber hinaus ist eine IT-Sicherheitsanalyse das Mittel der Wahl, um mögliche Schwachstellen, beispielsweise durch Fehlkonfigurationen, veraltete Anwendungen, abgelaufene Zertifikate etc. zu identifizieren. Das Ergebnis liefert die notwendige Transparenz und sorgt regelmäßig für AHA-Erlebnisse.
Gleich mal eine Überprüfung starten? Hier geht’s zur kostenfreie IT-Sicherheitsbewertung Ihrer externen IT-Landschaft Kostenloses Rating
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Deutsch 
English 
Français