Wie sicher ist eine Cloud? Welche Cloud sicher ist

Wie sicher ist Cloud Computing? Datensicherheit und Compliance in der Cloud

Ein Großteil aller deutschen Unternehmen hat bereits den Weg in die Cloud beschritten. Über 80 Prozent von ihnen geben laut des diesjährigen Cloud-Monitors 1 an, dass sie Cloud Computing nutzen. Lediglich drei Prozent der befragten Unternehmen haben sich bisher noch gar nicht mit dem Thema Cloud beschäftigt.

Die Akzeptanz von Cloud Computing ist so hoch wie nie – doch Unternehmen vertrauen meist nur einen Teil ihrer Systeme der Cloud an. Mitnichten sind alle Unsicherheiten hinsichtlich Infrastruktur und Software aus der Cloud ausgeräumt. Compliance- und Datensicherheitsbedenken gehören zu den häufigsten Hindernissen bei der Migration in die Cloud. Viele Unternehmen stellen sich deshalb die Frage: Wie sicher ist Cloud Computing?

Cloud: Ja, aber nicht für alle Systeme und Anwendungen

Dass Infrastruktur, Plattformlösungen und Software auf Basis von Cloud Computing zahlreiche Vorteile mit sich bringen, ist inzwischen allgemein bekannt. Durch die einfache Skalierbarkeit können Unternehmen nicht nur ihre Kosten senken, sondern auch flexibel auf neue Anforderungen ihrer IT reagieren. Hinzu kommt, dass sich Cloud-Lösungen immer auf dem neuesten technologischen Stand befinden und Kosten für die Anschaffung, Wartung und Modernisierung von Hardware für den Nutzer komplett entfallen.

Kein Wunder, dass sich immer mehr Unternehmen für die schnelle Lösung aus der Cloud entscheiden. Gleichzeitig sind „Cloud-Only“-Strategien jedoch eher die Ausnahme als die Regel. Nur fünf Prozent aller Unternehmen verfolgen den Plan, alle ihre Anwendungen und Systeme aus der Cloud zu nutzen. Der Großteil setzt auf Cloud-First- und Cloud-Too-Strategien, bei denen neue Entwicklungen und bestehende Systeme nach Bedarf in die Cloud überführt werden.

Private Cloud-Umgebungen immer noch beliebter als Public Clouds

Auch wenn sich Public Cloud-Lösungen weiterhin auf dem Vormarsch befinden: Private Cloud-Umgebungen gehören nach wie vor zu den beliebtesten Betriebsmodellen in der Cloud. Fast zwei Drittel der Unternehmen nutzen bereits Private Clouds, Public Clouds sind dagegen etwas weniger vertreten. Dies liegt oft daran, dass Security und Compliance Anforderungen von Unternehmen die Migration oder Nutzung einer Public Cloud erschweren. Immer öfter ziehen Unternehmen deshalb auch deutlich komplexere Multi-Cloud-Umgebungen bzw. Hybrid Clouds in Betracht.

Security- und Compliance-Bedenken gegenüber Public Clouds

Viele Unternehmen stehen im Zuge der Integration von Cloud-Lösungen vor Problemen bei der Umsetzung der Compliance und Security Anforderungen. Sicherheitsbedenken gegenüber der Cloud manifestieren sich vor allem in Bezug auf Public Cloud-Umgebungen – und halten sich dort hartnäckig. Gerade in Bezug auf die Verlagerung von kritischen Anwendungen in die öffentliche Cloud gibt es Vorbehalte. Viele Anwender fürchten den unberechtigten Zugriff auf ihre Daten oder haben Bedenken gegenüber Hardwareschwachstellen. Auch die Rechtslage einer Public Cloud-Nutzung sorgt bei zahlreichen Unternehmen für Unsicherheiten und Fragezeichen.

Wie sicher ist Cloud Computing?

Doch was ist an diesen Bedenken dran? Wer seine IT in die Cloud auslagert, gibt auch ein Stück weit die Kontrolle über die eigene technische Infrastruktur ab. Dass dabei Unsicherheiten hinsichtlich der Datensicherheit entstehen, ist vollkommen natürlich. Gleichzeitig sollten sich Unternehmen jedoch klar machen, dass gerade Hyperscaler wie Microsoft, Amazon oder Google einen enormen Aufwand betreiben, um ihre Cloud-Infrastruktur so sicher und rechtskonform wie möglich zur Verfügung zu stellen. Microsoft gibt beispielsweise jährlich rund eine Milliarde Euro für den Erhalt und die Verbesserung der Sicherheit ihrer eigenen Rechenzentren aus und betreibt Data Center innerhalb der EU, um eine dortige Datenresidenz zu ermöglichen. Um auf den Wegfall des Privacy Shields und des Safe-Harbor-Abkommens zu reagieren, hat Microsoft bereits angekündigt, eine Datengrenze für die eigenen Cloud-Dienste einzurichten. Und auch wenn Cloud-Anbieter auf dem Papier keine hundertprozentige Sicherheit garantieren können – das kann das heimische Rechenzentrum ebenfalls nicht. Weder ist das eigene Rechenzentrum zwangsläufig sicher, noch Cloud Computing zwangsläufig unsicher – und umgekehrt. Eine pauschale Antwort auf die Frage „Wie sicher ist Cloud Computing“ ist daher kaum möglich. Am Ende kommt es immer auf den individuellen Cloud-Anbieter und den eigenen Umgang mit Daten an.

Sicher in die Cloud? So geht es!

Am besten verfahren Unternehmen, wenn sie Datenschutz und Informationssicherheit ernst nehmen und die Einhaltung von Standards und Gesetzen bei ihren IT-Partnern gewissenhaft nachprüfen. Unternehmen sollten immer im Blick haben, wem sie ihre Daten anvertrauen, wenn sie eine Cloud-Migration in Betracht ziehen oder Lösungen aus der Cloud nutzen wollen. Schließlich sind sie weiterhin für eine sichere Speicherung und Verarbeitung ihrer Daten verantwortlich. Im ersten Schritt sollten sie deshalb einige Fragen mit ihrem potenziellen Cloud-Anbieter klären. Dazu gehört beispielsweise der Standort der Server, die Verschlüsselung von Daten oder die Umsetzung von Informationssicherheitsmaßnahmen. Gleichzeitig hat jedes Unternehmen individuelle Compliance- und Datensicherheitsbestimmungen, die ebenfalls berücksichtigt werden müssen. Zudem ist es wichtig, sich in regelmäßigen Abständen über neue Regelungen in Bezug auf Daten- und IT-Sicherheit, wie z.B. der DSVGO, zu informieren, um gegebenenfalls beim eigenen Cloud-Anbieter nachfragen zu können.

Sie wollen wissen, welche Fragen Sie Ihrem Cloud-Provider stellen sollten? In unserer kostenlosen Checkliste „Sicher in die Cloud“ erhalten Sie einen Überblick über die wichtigsten Fragestellungen rund um eine sichere und datenschutzkonforme Migration in die Cloud.

Cloud Computing-Sicherheit

Sicherheit für die Cloud neu gedacht – einfach zu erwerben, schnell skalierbar und in DevOps-Methoden integriert

Cloud-Sicherheit ist eine gemeinsame Verantwortung

Cloud-Service- und SaaS-Anbieter arbeiten intensiv daran, ein sicheres Umfeld zu schaffen. Im Modell gemeinsamer Verantwortung für Sicherheit sind Sie letztlich jedoch selbst für die Daten und Workloads verantwortlich, die Sie in der Cloud ablegen. Trend Micro kann Ihnen weiterhelfen: durch zusätzliche Sicherheitskontrollen, um interne oder externe Compliance-Anforderungen (z. B. PCI, HIPAA, NIST) zu erfüllen, oder durch Schutz vor Ransomware-Angriffen (z. B. WannaCry), Zero-Day-Schwachstellen und anderen komplexen Angriffen.

Ob Sie Cloud-Anbieter wie AWS oder Microsoft Azure für sensible Anwendungen und Daten verwenden oder die Geschwindigkeit von Microsoft Office 365, Dropbox und anderen SaaS-Anbietern in der Cloud nutzen – Sie selbst spielen für die Cloud-Sicherheit eine wichtige Rolle.

Unabhängig davon, welchen Cloud-Anbieter Sie nutzen, benötigen Sie zusätzlichen Schutz für Ihre in der Cloud abgelegten Daten. Trend Micro™ Deep Security™ setzt auf eine Kombination aus generationsübergreifenden Technologien zur Abwehr von Bedrohungen, um Cloud-Workloads vor Sicherheitsverletzungen zu schützen, und erleichtert die Compliance durch folgende Komponenten:

IDS/IPS, Anti-Malware, Integritätsüberwachung, Applikationskontrolle und mehr in einem einzigen schlanken Agenten

Für den Schutz von SaaS-Anwendungen kann Cloud App Security auch File-Sharing-Anwendungen in der Cloud vor Bedrohungen und Datenverlust schützen, z. B. Dropbox, Box, Google Drive und SharePoint Online.

Trend Micro hat Pionierarbeit bei der Nutzung der Cloud im Trend Micro Smart Protection Network geleistet, das täglich 100 TB an Bedrohungsdaten effizient analysiert, um neue Bedrohungen schnell zu erkennen. Diese Erkenntnisse fließen sofort in die marktführenden Sicherheitsprodukte zum Schutz von Unternehmen , Kleinunternehmen und Verbrauchern vor neuesten Bedrohungen, einschließlich Ransomware.

Trend Micro bietet Unternehmen die Flexibilität, die Software oder – für eine Reihe von Sicherheitslösungen – ein As-a-Service-Konzept zu wählen. Bei einem Servicemodell ist keine Installation oder Konfiguration erforderlich. Trend Micro kümmert sich um das Infrastruktur-Management und um alle Produkt-Updates.

Schützen Sie Ihre Ressourcen in der Cloud mithilfe einer Sicherheitslösung, die in der Cloud bereitgestellt wird. Siehe Deep Security as a Service.

Wie sicher ist eine Cloud? Welche Cloud sicher ist

Cloud Computing – ein weit gefasster Begriff, der den Umzug in die Cloud und eine mobile Belegschaft beschreibt – hat neue Sicherheits- und Compliance-Risiken mit sich gebracht. Die unberechtigte Übernahme von Cloud-Konten, das übermäßige Teilen von Dateien und die Nutzung nicht genehmigter Cloud-Apps stellen die Sicherheitsteams vor große Herausforderungen. Fahrlässigkeit oder mangelnde Schulung der Mitarbeiter kann dazu führen, dass Dateien über öffentliche Links, auf die jedermann zugreifen kann, pauschal geteilt werden. Datendiebstahl durch Insider (ein sogenannter Insider Threat) ist ebenfalls häufig. So kann es beispielsweise vorkommen, dass Vertriebsmitarbeiter, die Ihr Unternehmen verlassen, Daten aus Cloud-CRM-Diensten stehlen. Aus diesem Grund ist es für die Cloud-Sicherheit von entscheidender Bedeutung, Einblick in und Kontrolle über die Anwendungen zu erhalten, die von der IT-Abteilung zugelassen sind. Viele Unternehmen möchten u. a. Microsoft Office 365, Google G Suite, Box, Dropbox, Salesforce, Slack, AWS und ServiceNow sichern.

Häufige Sicherheitsrisiken in Cloud-Computing-Systemen sind:

Schatten-IT

Mitarbeiter und Abteilungen innerhalb eines Unternehmens nutzen neue Cloud-Anwendungen und -Dienste oft ohne die Genehmigung, oder auch nur das Bewusstsein, von IT-Sicherheitsmanagern. Die Nutzung dieser Dienste kann u.a. zu Datenverlust, pauschalen Datenfreigaben und Compliance-Problemen führen. Benutzer verwenden in der Regel nicht genehmigte SaaS-Anwendungen (Software-as-a-Service) für Dateifreigaben, soziale Medien, Kollaborationen und Webkonferenzen. Wenn Benutzer Unternehmensdaten in nicht genehmigte Anwendungen hochladen, verletzen sie möglicherweise datenschutzrechtliche Bestimmungen.

Gleichzeitig installieren viele Nutzer Anwendungen und Skripte von Drittanbietern mit OAuth-Berechtigungen, die auf von der IT genehmigte Cloud-Dienste wie Microsoft Office 365 und Google G Suite zugreifen.

Viele dieser Anwendungen sind nützlich und ergänzen die Standard-Cloud-Computing-Anwendungen um hilfreiche Funktionen. Einige stellen jedoch ein Risiko dar, weil sie offenkundig schädlich oder einfach nur schlecht programmiert sind und zu breite Datenberechtigungen enthalten. Und sobald ein OAuth-Token autorisiert ist, bleibt der Zugriff auf Unternehmensdaten und -anwendungen so lange bestehen, bis er explizit widerrufen wird – selbst wenn sich das Kennwort des Benutzers ändert.

CASBs bieten Einblick in und Kontrolle über Schatten-IT, um personenbezogene Risiken zu begrenzen.

Kompromittierte Cloud-Konten

Cyberkriminelle nutzen oft kompromittierte Cloud-Konten, um Zugang zu wertvollen Daten und sogar Geldern zu erhalten. Sobald die Angreifer die Zugangsdaten zu Cloud-Konten in die Hände bekommen, geben sie sich als legitime Benutzer aus. Sie können dann Ihre Mitarbeiter dazu bringen, Geld an sie zu überweisen oder Unternehmensdaten freizugeben. Sie können auch E-Mail-Konten kapern, um Spam- und Phishing-E-Mails zu verbreiten.

In einer Studie unter mehr als 1.000 Cloud-Service-Mietern mit mehr als 20 Millionen Benutzerkonten wurden allein in der ersten Hälfte des Jahres 2019 mehr als 15 Millionen unbefugte Anmeldeversuche unternommen. Mehr als 400.000 dieser Versuche führten zu erfolgreichen Anmeldungen. Insgesamt waren etwa 85% der Mieter Ziel von Cyber-Angriffen, und 45% hatten mindestens ein kompromittiertes Konto in ihrer Umgebung.[3] Angreifer kompromittieren Konten in der Regel auf eine von drei Arten:

Brute-Force-Angriffe, eine Versuch-und-Irrtum-Methode, bei der die Angreifer so viele Kombinationen von Benutzername und Passwort ausprobieren, bis etwas funktioniert.

Credential Phishing, bei dem der Angreifer Social-Engineering-Mails verwendet, um Benutzer dazu zu verleiten, ihre Passwörter preiszugeben.

Passwort-Recycling, bei dem die Angreifer Passwörter verwenden, die bei einer nicht damit zusammenhängenden Datenverletzung durchgesickert sind. Sie verlassen sich dabei darauf, dass der Benutzer ein anderes Konto mit demselben Benutzernamen (oft eine E-Mail-Adresse) und demselben Passwort hat.

Schädliche Dateifreigaben. Hierbei werden in der Regel Phishing-Links, der Diebstahl von Authentifizierungsdaten und Downloader verwendet. Bedrohungsakteure verbreiten Malware auch über Cloud-Dienste wie Dropbox.

Die heutigen Angriffe zielen auf Menschen ab, nicht auf Technologie. Das gilt für die Cloud genauso wie für vor Ort. Wenn Unternehmen ihre Messaging- und Kollaborationsplattformen vom Unternehmensnetzwerk in die Cloud verlagern, werden sie anfällig für Angriffe.

Cyberkriminelle neigen dazu, beliebte SaaS-Anwendungen wie Microsoft Office 365 und Google G Suite ins Visier zu nehmen. So gut wie jeder in Ihrem Unternehmen nutzt diese Anwendungen, und sie sind der Schlüssel zur Geschäftskommunikation und zu wichtigen Daten.

Datenverlust und IP-Diebstahl

An jedem typischen Arbeitstag tauschen Menschen Informationen mit Kollegen, Partnern und anderen über Cloud-basierte Kollaborations- oder Messaging-Tools aus. Mangelnde Mitarbeiterschulung oder Böswilligkeit der Mitarbeiter könnte jedoch dazu führen, dass sensible Daten an diejenigen weitergegeben werden, die sie eigentlich nicht sehen sollten.

Angesichts der sich ständig ändernden Cybersicherheitsbestimmungen sind Unternehmen mit wachsenden Risiken bei der Einhaltung von Cloud-Richtlinien konfrontiert. Regierungs- und Branchenvorschriften verlangen, dass Sie wissen, wo sich Ihre Daten in der Cloud befinden und wie sie weitergegeben werden. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) betrifft Millionen von Unternehmen, sodass die Entwicklung eines Plans zur Einhaltung der neuen Vorschriften von entscheidender Bedeutung ist. CASBs können eine zentrale Rolle hierbei spielen.