Cloud Security: 5 Kontrollen, die jedes Unternehmen durchführen sollte

Jetzt Artikel teilen:

Wer Cloud sagt, muss auch Security sagen. Diese fünf Checks sind schon mal ein guter Anfang.

Jedes dritte Unternehmen in Deutschland nutzt heute bereits Cloud Computing. Dies hat der Branchenverband Bitkom im Rahmen der Studie „Cloud-Monitor 2019“ ermittelt. Zugleich haben 54 Prozent der Befragten bestätigt, dass die Datensicherheit mit der Cloud-Nutzung eher oder sogar deutlich zugenommen hat.

Dennoch sehen viele Unternehmen im Thema Cloud Security immer noch einen Hemmschuh für den Umzug ihrer Daten. Zurecht? IDG Research hat sich dieses Themas angenommen und die Studie „Cloud Security 2019“ herausgegeben. Hier gaben in der Tat gut die Hälfte der befragten Unternehmen an, dass sie schon einmal Opfer eines Angriffs auf ihre Cloud-Services waren. Um die Datensicherheit zu gewährleisten, setzen die Unternehmen aber bereits verschiedene Maßnahmen um. Am häufigsten wurde dabei die verschlüsselte Datenübertragung genannt. Doch auch eine Cloud-Firewall zur Blockierung von Schadtraffic sowie die Möglichkeit, lokale Backups der in der Cloud gespeicherten Daten vorzuhalten, wird als sehr wichtig erachtet.

Cloud Security: Technische Vorkehrungen

Geteilte Verantwortlichkeit

Wichtig ist bei der Cloud Security in jedem Fall, sich nicht allein auf den Cloud Provider zu verlassen. Denn die großen Public-Cloud-Anbieter wie AWS und Google folgen meist dem Prinzip der „Shared Responsibility“. Sie sorgen im Rahmen ihres Teils der Aufgabe beispielsweise dafür, dass die Cloud als solche sicher ist. Dies umfasst die Datenverarbeitung und -speicherung, Datenbank- und Netzwerk-Services, Hard- und Software sowie die physische Sicherung der Rechenzentren. Jeder Kunde trägt aber selber die Verantwortung für die Sicherheit der Daten innerhalb der Cloud. Dies ist besonders relevant vor dem Hintergrund, dass laut Prognosen von Gartner bis 2020 fast alle (95 Prozent) Sicherheitsprobleme in der Cloud auf Fehler auf Kundenseite (z. B. ungeschützte Zugänge) zurückzuführen sein werden.

Fünf Cloud Security Basics für den Start

Anhand der oben abgebildeten Grafik aus der Studie „Cloud Security 2019“ lassen sich bereits einige wichtige Kriterien ablesen, die Unternehmen in ihr Security-Konzept einfließen lassen sollten. Da das Thema jedoch recht komplex ist und je nach genutzter Cloud-Lösung unterschiedlich betrachtet werden muss, soll auch die folgende Auflistung lediglich einen Grundstock an Maßnahmen darstellen:

1. Sicherheitslücken in Anwendungen schließen

Über Sicherheitslücken verschaffen sich Cyberkriminelle Zugriff auf Systeme oder Datenbanken. Werden auf diese Weise Daten manipuliert oder gestohlen, kann dies besonders bei Zahlungsdaten, Passwörtern etc. gravierende Folgen haben. Die Hacker nutzen für solche Schwachstellen-Scans spezielle Suchmaschinen wie z.B. Shodan, die kontinuierlich das gesamte öffentliche Internet absuchen und Vulnerabilitäten erfassen. Hier spielt der Faktor Zeit eine große Rolle, um diese Lücken schnellstmöglich zu schließen. Ein gutes Patch Management ist daher unerlässlich.

2. Kein Adminzugang ohne aktivierte Zwei-Faktor-Authentifizierung

Nach der Eingabe der Zugangsdaten zu einem Webdienst erfolgt zusätzlich die Abfrage einer PIN, die beispielsweise per SMS verschickt wird. Diese zusätzliche Sicherheitsebene soll unberechtigte Zugriffe im Fall eines entwendeten Passworts verhindern.

3. IAM-Status (Identity & Access Management)

Der aktuelle Stand eines jeden Accounts muss abrufbar sein, um frühzeitig Auffälligkeiten oder einen Account-Missbrauch erkennen zu können. Zur Absicherung gehört auch eine regelmäßige Änderung der verwendeten API Access Keys sowie ein funktionierender On- und Offboarding-Prozess für User-Accounts und API Access Keys mit regelmäßig durchgeführten Rechtereviews.

4. Überwachung von Repositories und Speicherorten

Es muss geprüft werden, ob die Zugriffsrechte für die genutzten Repositories und Speicherorte in der Cloud richtig gesetzt sind. Anderenfalls könnte eine Fehlkonfiguration in einem Datenschutzvorfall enden.

5. Zugriffsregeln innerhalb Security Groups / Network Security Groups

Hier gilt es zu beachten, dass beispielsweise kein any-Zugriff auf Port 22 (ssh) eingerichtet wurde, sondern dieser nur von dedizierten Zugriffspunkten, z.B. über einen Jumphost von ausgewählten IPs, erreichbar ist.

Hilfe beim Cloud-Security-Konzept

Häufig fehlt es in Unternehmen noch an entsprechenden Fachleuten, die sich des Themas Cloud Security mit all seinen Facetten annehmen können. Eigentlich wichtige Aufgaben werden von der internen IT „mal eben so“ miterledigt. Dabei können externe Dienstleister, vom dedizierten Security-Spezialisten bis zum ganzheitlichen Managed Cloud Service Provider, genau dort die nötige Expertise einbringen, wo sie im eigenen Unternehmen fehlt.

Insbesondere vor dem Hintergrund, dass laut aktuellen Prognosen zukünftig Multi-Cloud-Szenarien zur Regel in Unternehmen werden, ist ein durchdachtes Cloud-Security-Konzept bereits heute essentiell. Wie Unternehmen ihre Single Cloud heute absichern und zukunftsfähig für den Multi-Cloud-Betrieb aufstellen, verrät das aktuelle Whitepaper „So entwickeln Sie eine zukunftsfähige Cloud-Security-Strategie“, das Sie hier herunterladen können.

Whitepaper Cloud Security

So entwickeln Sie eine zukunftsfähige Cloud-Security-Strategie

Einzelne Clouds lassen sich mit "Bordmitteln" gut absichern. Aber ist diese Strategie auch zukunftsfähig im Hinblick auf Kosten und Aufwand? Erfahren Sie mehr im Whitepaper.

Jetzt kostenlos downloaden

Jetzt Artikel teilen:

Das könnte Sie auch interessieren