Vertrauen in die Cloud wächst - oder doch nicht?
Sicherheitsexperten haben wachsendes Vertrauen in die Cloud – nur nicht bei hochsensiblen Daten
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich
Security first – IT-Sicherheit bleibt eine ständige Herausforderung für die IT-Verantwortlichen in den Unternehmen. Dabei spielt die Cloud eine immer wichtigere Rolle, denn einerseits verlagern die Unternehmen mehr und mehr Anwendungen ins Web. Andererseits bleiben Sicherheitsverletzungen ein Hauptziel für Datendiebstahl und DDoS-Attacken.
Reif für die Wolke
Eine Umfrage, die Barracuda unter seinen Kunden weltweit durchführte, zeigt ein beachtliches Vertrauen der 850 befragten Sicherheitsexperten verschiedenster Unternehmensgrößen und -industrien in Public-Cloud-Bereitstellungen. 44 Prozent glauben inzwischen, dass sie genauso sicher seien wie lokale Umgebungen. 21 Prozent meinen, dass sie sogar noch sicherer seien. Und wie schaut es hinter der eigenen Unternehmenstür aus? Deutlich entspannt! Denn 60 Prozent der Befragten stuften die Nutzung der Cloud-Technologie im eigenen Unternehmen als sicher ein.
Cloud-Anbieter betreiben eine modernere und sicherere Infrastruktur, als es viele Unternehmen in-house leisten können. So profitieren Unternehmen von neuester, nach höchsten Sicherheitsstandards zertifizierter Technologie, gegenüber heterogenen, legacy-lastigen Inhouse-Umgebungen. Um Cyberrisiken effektiv zu mindern, sollten einerseits unternehmensrelevante Drittanbieter-Lösungen der Security-Strategie hinzugezogen werden. Andererseits ist es wichtig, das Konzept der geteilten Verantwortung in der Cloud verstanden zu haben.
Konzept der "geteilten Verantwortung" in der Cloud verstehen
Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren verantwortlich. Dieses Modell bietet die höchstmögliche Effizienz für den Cloud-Provider und entlastet zugleich den Kunden davon, die Infrastruktur wie ein Rechenzentrum oder die Server-Hardware bereitzustellen. Darüber hinaus profitiert der Kunde von flexibler Skalierbarkeit bei Bedarf.
Die Anbieter geben einem Unternehmen damit die Freiheit, all seine in die Cloud migrierten Daten und Anwendungen auf gewünschte Weise zu sichern. So liegt es in der Verantwortung der Unternehmen, die Sicherheit von Anwendungen, Workloads und Betriebssystemen zu konfigurieren, zu patchen und zu schützen.
Weitere Cloud-Optionen für Backup und Redundanz verringern das Risiko zusätzlich. Indem Public-Cloud-Provider mit Drittanbietern zusammenarbeiten, stellen sie sicher, dass die verfügbaren Security-Lösungen auf ihren Plattformen ordnungsgemäß funktionieren. Partnerschaftsprogramme von AWS, Azure und GCP ermöglichen den Security-Anbietern den Zugang zu den Tools und Spezifikationen, die sie benötigen, um ihre Produkte für eine optimale Performance auf jeder Plattform zu entwickeln. Sobald die Produkte des Anbieters die vom Cloud-Provider festgelegten Standards erfüllen, erteilt dieser eine Zertifizierung.
Sensible Daten doch lieber nicht in die Cloud
So weit, so gut! Zwar hören die Unternehmen die Cloud-Security-Botschaft, doch wenn es um die Sicherung hochsensibler Daten wie Kundeninformationen oder interne Finanzdaten geht, lässt das Vertrauen in die Public Cloud nach. Dieses Misstrauen ist aber eher hausgemacht: Viele IT-Verantwortliche beklagen ein fehlendes Know-how aufgrund des Mangels an Cyber-Security-Fachkräften. Überdies ist sich die Mehrheit nicht sicher, ob ihre Cloud-Einrichtung regelkonform ist.
Viel zu oft vernachlässigt: Patchen und Konfigurieren
Webanwendungen sind ein Hauptziel für Cyberkriminelle, die sensible Daten stehlen und wichtige Geschäftsprozesse unterbrechen wollen. Sich dieser Tatsache bewusst, setzen die befragten Unternehmen durchaus Web Application Firewalls (WAFs) ein, lassen aber häufig einen besorgniserregenden Schlendrian walten, wenn es darum geht, die Systeme aktuell zu halten. Rund 13 Prozent der befragten Sicherheitsexperten in den Unternehmen gaben zu, dass sie in den letzten 12 Monaten ihre Web-App-Frameworks oder Server überhaupt nicht gepatcht haben. Von denen, die es taten, benötigte dafür mehr als ein Drittel (38 Prozent) zwischen sieben und 30 Tage. Ein Fünftel (21 Prozent) ließ sich tatsächlich über einen Monat Zeit.
Ein weiteres potenzielles Risiko bei Webapplikationen ist menschliches Fehlverhalten. So war seinerzeit eine Fehlkonfiguration einer Open-Source-WAF für den massiven Angriff auf die US-Bank Capital One ursächlich, bei dem mehr als 100 Millionen Kundendaten gestohlen wurden. Nun konzentrieren sich Angriffe aber nicht nur auf den Diebstahl sensibler Daten, sondern können auch unternehmenskritische Dienste massiv beeinträchtigen. Und WAFs sind sicherlich keine Wunderwaffe. Aber als Teil eines mehrschichtigen Security-Ansatzes sind sie ein wichtiges Verteidigungswerkzeug im fortwährenden Kampf gegen Sicherheitsrisiken aus dem Web.
Tipps für die Sicherheit in der Cloud
• >> Sicherstellen, dass sämtliche Apps durch WAFs geschützt sind. Jede Applikation kann als Angriffsvektor dienen, auch wenn sie scheinbar kein externes Besucherverhalten aufweist. Einmal entdeckt, werden Angreifer alle gefundenen Schwachstellen nutzen, um Zugang zum Netzwerk zu erhalten.
• >> Web-App-Security ist nicht die Aufgabe des Entwicklerteams, denn Entwickler sind in der Regel keine Sicherheitsexperten.
• >> Implementierung einer Cloud Security Posture Management (CSPM)-Lösung für eine automatisierte Cloud-Sicherheit, um Konfigurationsveränderungen zu vermeiden.
Angreifer konzentrieren sich auch auf Schwachstellen, die in der Vergangenheit ignoriert wurden. Häufig sind sich die Unternehmen nicht bewusst, wie sich solch mehrschichtige Angriffe von einem einzigen Zugangspunkt aus entfalten können. Die Sicherheit von Webanwendungen und die Sicherheit in der Cloud sind wichtige und daher unbedingt notwendige Maßnahmen bei der Realisation der digitalen Transformationen in einer sicheren Cloud. (Barracuda Networks: ra)
eingetragen: 10.02.20
Newsletterlauf: 26.03.20
Barracuda Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Ihr PMK-Verlags-Newsletter hier >>>>>>