Cloud Computing
Was 2022 für die Cloud-Sicherheit wichtig wird
Cloud: Risiken und Sicherheitstipps
Cloud : Risiken und Sicherheitstipps
Grundsätzliches zur Cloud-Nutzung
Der Zugang zu Cloud-Diensten erfolgt über ein internetfähiges Gerät. Dies kann beispielsweise ein PC , ein Smartphone oder ein internetfähiger Fernseher sein. Ist ein Gerät zum Beispiel durch einen Trojaner infiziert, sind somit auch die Cloud-Dienste, auf die von diesem Gerät zugegriffen wird, angreifbar. Die Endgeräte sind schützenswert und sollten sicher eingerichtet sein.
Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT -Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.
Auf die Daten in der Cloud greift man über die Webseite des Cloud-Anbieters zu oder nutzt eine entsprechende App z.B. auf einem PC oder Smartphone. Der Zugang zu Cloud-Diensten muss besonders geschützt werden: Ein fehlender oder schwacher Passwortschutz öffnet Datendieben Tür und Tor. Denn ist die Zugangshürde genommen, steht der Zugriff auf alle Daten offen, sofern sie nicht zusätzlich verschlüsselt sind. Beachten Sie daher unsere Tipps für ein sicheres Passwort.
Quelle Bundesamt für Sicherheit in der Informationstechnik
Mittlerweile bieten viele Cloud-Anbieter außerdem eine Zwei-Faktor-Authentisierung an, wie sie beispielsweise auch beim Online-Banking eingesetzt wird: Hier wird zusätzlich zu Benutzername und Passwort ein Merkmal benötigt, um sich zweifelsfrei zu authentisieren. Das kann ein einmalig gültiger Zugangscode (eine TAN ) sein ein USB -Stick mit einem geheimen Schlüssel,der Personalausweis oder ein Fingerabdruck. Die Informationen zur Authentisierung (Benutzername/Passwort) sollten nicht im Gerät, beispielsweise als gespeichertes Passwort im Browser, hinterlegt sein und automatisch beim Aufruf des Cloud-Dienstes genutzt werden. Die Verwendung einer Zwei-Faktor-Authentisierung erhöht die Sicherheit beachtlich und sollte deshalb nach Möglichkeit genutzt werden.
Ebenso stellt der Zugriff über unsichere Netze – etwa WLAN Hotspots am Flughafen – ein Risiko dar. In diesen Netzen könnten Angreifer Zugangsdaten abfangen und missbrauchen. Dies ist besonders kritisch, wenn keine Zwei-Faktor-Authentisierung verwendet wird. Im Idealfall werden Daten deshalb nur in verschlüsselter Form in die Cloud übertragen. Wenn Sie an Ihrem PC beispielsweise ein Textdokument erstellt haben und dieses in Ihren Online-Speicher hochladen, kann die Übertragung verschlüsselt oder unverschlüsselt erfolgen. Wird die Datei nicht verschlüsselt übertragen, ist diese theoretisch für Unbefugte einsehbar, die sich in Ihre Datenübertragung einklinken. Eine Verschlüsselung der Datenübertragung kann erfolgen, indem die Daten über eine sichere Verbindung mit "https" übertragen werden. Falls der Anbieter die Möglichkeit einer solchen Transportverschlüsselung nicht anbietet, sollte die weitere Verwendung des Dienstes in Frage gestellt werden.
Ein besonderes Risiko stellt in vielen Fällen der Zugang via Smartphone dar. Werden die Zugangsdaten in der App des Dienstes gespeichert, genügt ein bloßes Aufrufen der App, um auf die Cloud zuzugreifen. Was auf der einen Seite praktisch ist, bedeutet andererseits, dass möglicherweise auch Schadprogramme auf dem Smartphone leichten Zugriff auf die Daten in der Cloud haben. Wenn das Smartphone durch Verlust oder Diebstahl in falsche Hände gerät, sind die Cloud-Daten nur so sicher, wie der Zugriff auf das Smartphone geschützt ist. Wer also beispielsweise sein Smartphone nur mit einer vierstelligen PIN schützt, legt die Hürde recht niedrig. Außerdem ist in der Regel nicht garantiert, dass die verwendeten Apps die Daten verschlüsselt übertragen. Anders als bei der Benutzung moderner Internet-Browser werden Benutzer hier i.d.R . nicht auf die Risiken einer unverschlüsselten Verbindung hingewiesen. Die Benutzung eines Smartphones in unsicheren Hotspots kann also mit Sicherheitsrisiken verbunden sein.
Daten löschen und Nutzung beenden
Bevor Sie Ihre Daten bei einem Cloud-Anbieter speichern sollten Sie zudem prüfen, wie einfach oder umständlich es ist, wenn Sie Daten wieder aus der Cloud entfernen möchten. Denn das Löschen von Daten in der Cloud ist nicht so einfach, wie zu Hause auf dem eigenen Rechner. Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Daher empfiehlt sich ein Blick in die AGB des Dienstleisters.
Will man einen Cloud-Dienst nicht mehr nutzen, kündigt man den Vertrag oder hört einfach auf, einen kostenlosen Dienst zu nutzen. Deutlich schwieriger kann es sein, die eigenen Daten beim Cloud-Anbieter zu löschen. Sie speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit der Daten zu gewährleisten. Manche Cloud-Anbieter behalten die Daten auch nach einer Kündigung oder "Löschung" noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt).
Datenverschlüsselung in der Cloud
In der Cloud können Sie alle Daten speichern, die Sie möchten. Mitunter kann es sich dabei um sehr persönliche Daten handeln, etwa um Familienfotos, digitale Kontoauszüge oder Steuerunterlagen. Besonderes Augenmerk sollten Sie daher auf die Sicherung Ihrer Daten auf den Servern des Cloud-Anbieters legen. Ein Hackerangriff auf ein Rechenzentrum eines Cloud-Anbieters ist für Kriminelle lohnend, da dort Informationen vieler Anwender liegen. Und Angreifer haben Zeit, ihren Einbruch zu planen und eine Hintertür ins Rechenzentrum zu finden.
Die korrekte Umsetzung und tatsächliche Sicherheit dieser Maßnahmen können Sie in der Regel nicht überprüfen. Am sichersten ist es deshalb, wenn Sie die Verschlüsselung der Daten übernehmen und den Schlüssel bei sich speichern. Wer seine Daten so schützt, muss allerdings Nachteile in puncto Bequemlichkeit in Kauf nehmen: Die verschlüsselten Daten sollten nicht in der Cloud entschlüsselt werden. Daher müssen sie heruntergeladen und lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können. Zwar ist es möglich die verschlüsselten Daten auch zwischen mehreren Geräten zu synchronisieren, dann muss aber auf jedem Gerät der Schlüssel und eventuell auch die Verschlüsselungssoftware vorliegen. Ein gemeinsames, gleichzeitiges Arbeiten mehrerer Personen an einem Dokument ist dadurch nicht ohne weiteres möglich.
Welche Verfahren Sie zur Verschlüsselung nutzen können und wie Sie diese anwenden.
Konfiguration von Cloud -Diensten
Einer der Vorteile beim Nutzen von Cloud-Diensten ist, dass Daten in der Regel einfach mit anderen Personen geteilt werden können und gemeinsam an diesen gearbeitet werden kann. Hierzu gibt es unterschiedliche Verfahren. Nehmen wir im Folgenden an, dass wir einen Online-Speicher benutzen, der das Freigeben der eigenen Daten für Dritte ermöglicht. Hierfür gibt es i.d.R . unterschiedliche Verfahren. Falls die Person, mit der ich die Daten teilen möchte,
ebenfalls bei dem Cloud -Dienst registriert ist, kann eine Freigabe oft speziell über den jeweiligen Benutzernamen erfolgen.
-Dienst registriert ist, kann eine Freigabe oft speziell über den jeweiligen Benutzernamen erfolgen. den Cloud -Dienst selbst nicht nutzt, kann oft eine Freigabe über einen Link eingerichtet werden.
Bei der Freigabe per Link ist zu beachten: Jede Person, die den Link kennt, hat Zugriff auf die freigegebenen Daten. Hierbei gibt es viele Möglichkeiten, wie eine unbefugte Person von diesem Link Kenntnis erlangen könnte, z.B. falls der Link in einer unverschlüsselten E-Mail versendet wird. Da beim Zugriff auf die freigegebenen Daten via Link in der Regel keine Identifizierung erfolgt, lässt sich auch im Nachhinein nur schwer nachvollziehen, wer letztendlich auf die Daten zugegriffen hat.
Folgende Dinge sollten bei Freigaben beachtet werden:
Für schützenswerte Daten sollte eine Freigabe mittels Link nach Möglichkeit nicht benutzt werden. Die Sicherheit kann erhöht werden, falls der Anbieter es ermöglicht, die Daten zusätzlich durch ein Passwort zu schützen. In diesem Fall empfiehlt es sich, den Link und das Passwort über unterschiedliche Medien ( z.B. E-Mail und Telefonanruf) an sein gegenüber zu kommunizieren.
und Telefonanruf) an sein gegenüber zu kommunizieren. Freigaben sollten - nach Möglichkeit - im Vorhinein zeitlich begrenzt werden. Falls der Cloud -Anbieter dies nicht ermöglicht, sollte regelmäßig geprüft werden, welche Personen Zugriff auf welche der eigenen Daten haben und ob dieser Zugriff weiterhin notwendig ist.
-Anbieter dies nicht ermöglicht, sollte regelmäßig geprüft werden, welche Personen Zugriff auf welche der eigenen Daten haben und ob dieser Zugriff weiterhin notwendig ist. Freigaben sollten immer spezifisch und restriktiv angewendet werden, d.h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner in dem die Datei liegt.
Wenn ein neuer Cloud-Dienst genutzt wird, empfiehlt es sich zu Beginn die Standard-Einstellungen zu prüfen. Eine gute Strategie ist, zu Beginn möglichst defensive Einstellungen zu wählen, d.h. zum Beispiel die Übermittlung von Daten an Dritte abzuschalten und nicht benötigte Funktionalitäten zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.
Schutz vor Fremdzugriffen, Sicherheitskennung und Auswahl des Cloud -Anbieters
Wenn wir einen Cloud-Dienst nutzen, lagern wir private und schützenswerte Daten an den Cloud-Anbieter aus. Wir geben dabei Kontrolle und Verantwortung an den Cloud-Anbieter ab und müssen uns darauf verlassen, dass dieser die Daten schützt. Im Folgenden beschreiben wir, welche Ansatzpunkte Nutzerinnen und Nutzer haben, um die Auswahl des Anbieters auf Basis rationaler Fakten zu treffen und seine Daten vor Fremdzugriffen zu schützen.
Sicherheitskennung (Zertifikate und Testate)
Wie können Anwender sicher gehen, dass Cloud-Dienste mit den überlassenen Daten unter IT -Sicherheitsaspekten korrekt umgehen? Es gilt: Vertrauen ist gut, Kontrolle ist besser. Die Kontrolle kann der Privatanwender nicht persönlich durch einen Besuch im Rechenzentrum übernehmen. Über verschiedene, durch unabhängige Institutionen vergebene Sicherheitskennzeichen (Zertifikate oder Testate) kann der Anwender jedoch prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.
Eine Pflicht zu einer solchen Zertifizierung besteht für die Cloud-Anbieter nicht, sie ist stets freiwillig. Dennoch weisen viele eine Reihe von Zertifikaten und anderen Sicherheitskennzeichen vor. Der Cloud-Anbieter sollte nachweisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt werden sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder – wie im Idealfall – das gesamte Angebot.
Das BSI hat mit seinem Prüfkatalog C5 einen eigenen Standard für Cloud-Sicherheit entwickelt, der die Prüfung von Cloud-Anbietern durch Wirtschaftsprüfer vorsieht. Hierbei vergibt der Wirtschaftsprüfer nach einer erfolgreichen Prüfung ein Testat an den Cloud-Provider und erstellt einen detaillierten Prüfbericht. Dieser Prüfbericht kann von Kunden dann i.d.R . angefordert und ausgewertet werden. Dieses System richtet sich jedoch primär an professionelle Anwender, da die Auswertung eines solchen Berichtes erhebliche Fachkenntnisse voraussetzt.
Für Privatanwender sind folgende Zertifikate und Standards derzeit beachtenswert und eine Orientierungshilfe:
Auf der Webseite des Kompetenznetzwerks " Trusted Cloud " findet man viele Cloud -Anbieter mit ihren Diensten, die sich dort haben listen lassen. Neben informativen Angaben zu den Angeboten, die von Trusted Cloud überprüft wurden, finden sich auch verlässliche Angaben zu den Sicherheitsnachweisen der Cloud -Dienste.
" findet man viele -Anbieter mit ihren Diensten, die sich dort haben listen lassen. Neben informativen Angaben zu den Angeboten, die von überprüft wurden, finden sich auch verlässliche Angaben zu den Sicherheitsnachweisen der -Dienste. Die EuroCloud- SaaS -Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer Cloud -Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco e.V. , als Verband der deutschen Cloud Computing -Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur IT -Sicherheit sowie internationale Normen.
-Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer -Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco , als Verband der deutschen -Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur -Sicherheit sowie internationale Normen. Das TÜV -Prüfzeichen: Die TÜV -Gesellschaften, etwa der TÜV Rheinland und der TÜV Saarland vergeben spezielle Cloud -Prüfzeichen, die Anbietern bestimmte Sicherheitsstandards bestätigen. Geprüft werden Cloud -spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen.
-Prüfzeichen: Die -Gesellschaften, etwa der Rheinland und der Saarland vergeben spezielle -Prüfzeichen, die Anbietern bestimmte Sicherheitsstandards bestätigen. Geprüft werden -spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen. Oft findet man ein Zertifikat nach der internationalen Norm ISO/IEC 27001. Dabei wird nachgewiesen, dass der Cloud -Anbieter strukturierte Prozesse hat, um die Informationssicherheit zu gewährleisten. Leider ist damit aber keine Aussage über die eingesetzten Sicherheitsmaßnahmen verbunden.
Standort des Cloud -Anbieters
Informationen über den Standort des Cloud-Anbieters und der Server geben dem Anwender Auskunft darüber, welchem Datenschutzrecht seine Daten nach der Speicherung unterworfen sind. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden.
So kann ein in Deutschland ansässiges Unternehmen durchaus Server im Ausland betreiben. Die Daten können dann der Rechtsprechung im Ausland unterliegen. Denn jeder Staat hat die Zugriffsrechte auf Dateien durch Unternehmen und Behörden unterschiedlich geregelt, basierend auf den dort geltenden Datenschutzgesetzen und anderen Vorschriften. Während in dem einen Land Behörden die Daten auswerten oder Rechner beschlagnahmen dürfen, ist dies in anderen Ländern gesetzlich untersagt. Für Anwender ist es in der Regel nicht nachvollziehbar, an welchem Ort ihre Daten gespeichert sind, wenn der Cloud-Dienste-Anbieter dies nicht explizit zusichert.
Und Vorsicht: Jeder Anbieter kann – innerhalb des gesetzlichen Rahmens, der für ihn Gültigkeit hat – seine eigenen Nutzungsbedingungen und Datenschutzbestimmungen aufstellen. Diese können so formuliert sein, dass Sie dem Anbieter womöglich Zugriffs- und Nutzungsrechte für die gespeicherten Dateien einräumen, obwohl Sie das nicht möchten.
Für die auf "Trusted Cloud" gelisteten Cloud-Anbieter bzw. Cloud-Dienste wird der Datenstandort und das anwendbare Recht angegeben, was durch das Kompetenznetzwerk "Trusted Cloud" überprüft wurde.
Besonders kritisch wird die Nutzung von Cloud Computing, wenn Sie personenbezogene Daten Dritter bei einem Anbieter speichern. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen. Dazu reicht es bereits, Termine mit Adressen und Daten von Kunden in einem Cloud-Kalender abzulegen. Wenn Sie geschäftlich die Daten Dritter in der Cloud eines ausländischen Anbieters speichern möchten, lassen Sie sich vorher juristisch beraten. Der "Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder" hat eine "Orientierungshilfe - Cloud Computing" herausgegeben.
Seit dem 25. Mai 2018 ist eine europaweite Datenschutz-Grundverordnung, die den Umgang mit personenbezogenen Daten regelt, in Kraft getreten. Weitere Informationen und viele weitere nützliche Hinweise zum Thema Datenschutz finden Sie auf der Webseite des Bundesdatenschutzbeauftragten.
Cloud Computing
Cloud Computing bezeichnet die Nutzung von IT -Ressourcen über das Internet. Dabei werden Daten nicht lokal auf dem eigenen PC abgelegt. Sie befinden sich an einem beliebigen anderen Ort, der oft mit einer Datenwolke ("Cloud") illustriert wird. Daraus hat sich der Begriff "Cloud Computing" entwickelt.
Für Unternehmen bietet dieses Vorgehen in vielen Fällen Vorteile: Sie binden weniger Kapital in Hardware und Software-Lizenzen und erhalten trotzdem eine hochflexible Infrastruktur, die jederzeit an neue Anforderungen angepasst werden kann. Sie übertragen Installation und Wartung ihrer IT -Systeme an Spezialisten und können sich auf ihr Kerngeschäft konzentrieren. Ein weiterer Vorteil ist, dass von unterschiedlichen Orten und unterschiedlichen Personen auf die gleichen Daten zugegriffen werden kann. Mitarbeiterinnen und Mitarbeiter können somit auch unterwegs mit mobilen Endgeräten wie Smartphones und Tablets Firmendaten verarbeiten.
Beim Cloud Computing wird zwischen verschiedenen Konzepten unterschieden. Im Fall von "Infrastructure-as-a-Service" (IaaS) können Nutzer über das Internet direkt auf einzelne virtuelle Ressourcen zugreifen, z.B. Speicher, Server, Netzwerkkomponenten. "Software-as-a-Service" (SaaS) erlaubt es Nutzern, Software-Anwendungen über das Internet zu nutzen, ohne diese auf ihrem PC zu installieren. "Platform-as-a-Service" (PaaS) ist vor allem für Entwickler interessant, die gemeinsam Programme über das Internet entwickeln und anbieten wollen.
Grundregeln des Cloud Computing
Die Übertragung der Daten sollte beim Cloud Computing stets über eine verschlüsselte Verbindung erfolgen. Bei besonders sensiblen Informationen ist besondere Vorsicht geboten: Es sollten nur spezialisierte Cloud-Anbieter genutzt werden, die an die Erfordernisse der Art der Daten bzw. der jeweiligen Branche angepasst sind.
Außerdem gelten die grundlegenden Regeln für sichere IT -Nutzung (siehe hierzu auch „Organisation der IT -Sicherheit“).Das bedeutet unter anderem, dass Passwörter sicher sein müssen und regelmäßig geändert werden sollten. Auch auf eine gute Datensicherung ist zu achten (mehr Informationen erhalten Sie unter „Datenschutz und Datensicherheit“). Seriöse Anbieter von Cloud Computing sichern die Daten meist mehrfach ab. Ein regelmäßiges lokales Backup bietet zusätzlichen Schutz. Dieses ermöglicht es darüber hinaus, auch bei unterbrochener Internetverbindung auf Daten zuzugreifen.
Die Richtige Auswahl des Cloud -Anbieters
Was 2022 für die Cloud-Sicherheit wichtig wird
Der Blick in die Glaskugel Was 2022 für die Cloud-Sicherheit wichtig wird
Niemand zweifelt an einer weiter steigenden Bedeutung der Cloud. Doch was wird sich bei den Cloud-Risiken und was bei der Cloud-Sicherheit tun? Worauf sollten sich Unternehmen 2022 einstellen? Wir haben die Prognosen von Analystenhäusern näher angesehen und ausgewertet.
Beim Thema Cloud-Sicherheit zeichnen sich einige Veränderungen ab, die für Unternehmen als Cloud-Anwender wichtig werden können. (Bild: gemeinfrei© Meli1670 / Pixabay
Betrachtet man die Vorhersagen der Marktforscher zu Cloud Computing im allgemeinen und Cloud-Sicherheit im speziellen, kommt man an den neuen Arbeitsmodellen wie Hybrid Work nicht vorbei.
Hybrid Work erhöht weiter die Cloud-Risiken
„Die Transformation der Arbeit und Remote Work hat sich durch die Pandemie fraglos beschleunigt“, so Sabrina Schmitt, Senior Consultant und Projektleiterin bei IDC. „29 Prozent der befragten Entscheider wollen auch in Zukunft remote arbeiten, das sind fast dreimal so viel wie noch vor dem Jahr 2020.“ 79 Prozent der Unternehmen planen ein neues bzw. verändertes Arbeitsplatzmodell, 36 Prozent davon eine Mischung aus Präsenz am Unternehmensstandort und Remote-Arbeit – also ein hybrides Arbeitsplatzmodell. Die Bürozentriertheit ist damit auch hierzulande passé. Elf Prozent wollen ihre Büroflächen sogar gänzlich aufgeben und verfolgen einen rein virtuellen Ansatz.
Für die flexible Arbeit unterwegs, im Homeoffice, im klassischen Büro und am geteilten Schreibtisch (Desk Sharing) sind Cloud-Dienste als Basis des Digital Workplace unabdingbar. Das gilt natürlich auch für das Jahr 2022. Dabei wird in den nächsten Monaten das Bewusstsein dafür zunehmen, dass hybride Arbeit nicht nur mehr Sicherheit bei den Endgeräten und sichere Verbindungen voraussetzt, sondern auch ein ausgefeilteres Identitäts- und Berechtigungsmanagement für die genutzten Cloud-Services.
Mit Hybrid Work wird deshalb nicht nur vermehrt die IAM-Lösung aus der Cloud stammen, sondern umgekehrt braucht es für die Cloud-Dienste IAM-Funktionen, die alles abbilden, was man auch in der On-Premises-IT geregelt hat, und hätte zudem die cloud-spezifischen Berechtigungen.
Cloud-Strukturen sind weiterhin zu komplex
Auch der nächste Punkt, der die Cloud-Sicherheit 2022 betreffen wird, ist eine Fortsetzung der Herausforderungen, die bereits in diesem Jahr und davor begonnen haben. Denn mit der zunehmenden Cloud-Nutzung wird auch dieses Problem größer, nämlich die Cloud-Komplexität.
Mehr als 80 Prozent der IT-Führungskräfte in Deutschland halten die Technologie, Daten und Betriebsumgebungen in ihren Unternehmen für unnötig komplex und schätzen, dass die Betriebe daher nicht optimal gegen Cyberangriffe geschützt sind, so die Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Dabei sagen dies 85 Prozent auch über die genutzten Cloud-Umgebungen.
Komplex sind teilweise auch die Beziehungen zu Zulieferern: Rund ein Drittel (32 %) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 %).
Bekanntlich sind Unklarheiten und fehlende Transparenz der ideale Nährboden für Fehler und Sicherheitslücken, zum Beispiel durch Schatten-IT bei den Cloud-Diensten und durch fehlerhafte Cloud-Konfigurationen. Unternehmen müssen deshalb dringend Transparenz erlangen in ihren Cloud-Strukturen und Cloud-Lieferbeziehungen. Cloud-Visibilität ist mehr denn je Trumpf.
Cloud-Strategien sind noch unvollständig
Bisher war die Cloud lediglich ein Element der Informationstechnologie. Künftig wird sie die zentrale Komponente und das dominierende Gestaltungsprinzip sein, so IDC. Organisationen müssen also ihre Cloud-Strategien und ihre IT-Infrastruktur zügig aufeinander abstimmen, um sich auf eine Zukunft integrierter IT-Landschaften vorzubereiten, in denen eine umfassende Abstrahierung von Hardware, Automatisierung, Vernetzung, Cloud-Native, Colocation und Edge Computing eine zentrale Rolle spielen.
Dabei zeichnen sich auch bestimmte Cloud-Entwicklungen ab, die man aus Security-Sicht beleuchten sollte: 80 Prozent der von IDC Befragten nutzen verschiedene Cloud-Typen, die Hybrid Cloud ist dabei klar das dominierende Modell. Die Unternehmen konzentrieren sich in der Regel auf einen Hyperscaler bzw. Infrastrukturanbieter, mit dem sie die Zusammenarbeit Schritt für Schritt vertiefen. Ein zweiter Hyperscaler wird in Betracht gezogen bzw. evaluiert, um benchmarken zu können oder um punktuell Services nutzen zu können. Nur sehr große Unternehmen verfolgen eine Strategie, die mehrere Hyperscaler umfasst.