Sie sind hier: Startseite » Markt » Tipps und Hinweise

Höhere Flexibilität: SECaaS ist ein Abomodell


Vier Security-Ansätze für die Cloud verbessern Datenschutz und Datensicherheit
Mit Security-as-a-Service, dem Zero-Trust-Prinzip, Shift-Left und SASE existieren vier Ansätze für die Cloud-Sicherheit


Die Cloud-Nutzung ist mittlerweile nahezu Standard: Dienste werden ganz selbstverständlich migriert, auch IT-Sicherheitstools. Ansätze wie "Security-as-a-Service" sind der Cloud-Security zweifelsfrei dienlich. Eine moderne Cloud-Strategie zu implementieren setzt jedoch Wissen um diese Ansätze und die Cloud Security im Allgemeinen voraus. "Zur Absicherung von Cloud-Diensten lohnt es, auf die Offenheit der jeweiligen Lösung zu achten", macht IT-Sicherheitsexpertin Patrycja Tulinska aufmerksam.

Die Geschäftsführerin der PSW Group begründet: "So lassen sich Drittanbieter integrieren, die sich zur Bedrohungslage austauschen. Sie verhindern Anbieterabhängigkeiten und schaffen die Basis für eine ganzheitliche Cloud-Sicherheit. Insellösungen hingegen können nicht das Ziel sein. Sie können einen unnötigen Anstieg von Sicherheitswarnungen zur Folge haben, denn dieselbe Bedrohung kann mehrfach und auf verschiedene Art gemeldet werden."

Mit Security as a Service, dem Zero-Trust-Prinzip, Shift-Left und SASE existieren vier Ansätze für die Cloud-Sicherheit. "Unternehmen können dabei selbst viel für ihre Cloud Security tun, dabei sind sie weder abhängig von Monopolisten noch etwaigen Cyberkriminellen ausgeliefert. Gerade die Sicherheits- und Netzwerkfunktionen mit SASE überzeugen hier. Denn mit verschiedenen Bausteinen haben Unternehmen die Möglichkeit, Sicherheitin die Cloud zu bringen", so die Expertin.

Das Marktforschungsinstitut Gartner formulierte 2019 erstmals das Architekturmodell für Security und Networking: SASE, was für "Secure Access Service Edge" steht. Dieses Modell zeigt, dass sich Sicherheits- sowie Netzwerkfunktionen in einem ganzheitlichen Cloud-Ansatz zusammenführen lassen. "Der SASE-Markt befindet sich jedoch noch in den Kinderschuhen. Deshalb gibt es erst wenige komplette Lösungsportfolios. Einige Bausteine, die Unternehmen bereits nutzen können, gehen jedoch in Richtung SASE-Architektur.

Mittels SD-WAN-Technologien mit integrierten Security-Services für die Cloud lassen sich beispielsweise Performance im Netzwerk sowie Kosten gut im Blick behalten. Zugriffe auf unternehmenskritische Anwendungen lassen sich mittels Cloud Application Security Brokers steuern. Zudem lassen sich hier auch Datensicherheitsrichtlinien durchsetzen", informiert Patrycja Tulinska. Mit Web Cloud Security können außerdem auch Remote- und mobile Arbeitsmodelle abgesichert werden. In diesem Zusammenhang lohnt es sich, auf eine Kombination aus integrierter Cloud Web Security, Cloud Application Security Brokers sowie Cloud-basierten Data Loss Prevention/ Data Leakage Prevention zu setzen. Dieser integrierte Ansatz erlaubt die Kontrolle unternehmenskritischer Daten. Alternativ zum SASE-Modell ist es, dem Zero Trust-Prinzip folgend, möglich, keinem – nicht innerhalb, nicht außerhalb des Unternehmens – zu vertrauen. Möchte sich also ein Anwender mit der Cloud verbinden, wird vorher umfassend geprüft, inwieweit ein Zugang berechtigt ist.

"Man muss sich eine Burg mit Tausenden Räumen vorstellen. Wer die Zugbrücke überwinden konnte und es in die Burg geschafft hat, steht nun vor jedem Raum vor einem neuen Wächter mit ganz eigenen Sicherheitskontrollen. Nur, wer befugt ist, darf den jeweiligen Raum betreten", erklärt Tulinska an einem Beispiel und folgert: "Auf die Cloud übertragen heißt es, dass jeder Mitarbeiter einer Organisation ausschließlich Zugriff auf jene Ressourcen erhält, die für seine Arbeit wirklich notwendig sind. Das reduziert das Risiko des Datendiebstahls etwa durch Social Engineering bei internen Mitarbeitern oder durch Industriespionage und externe unbefugte Dritte." Denkbar ist auch, Sicherheitslösungen in die Cloud zu verlagern. Security as a Service (SECaaS) überzeugt dabei mit einer flexiblen Kostenstruktur.

"SECaaS ist ein Abomodell. Das bedeutet für nutzende Unternehmen, dass sämtliche Ressourcen lediglich gemietet sind. Die Kosten für Hard- und Software, Installation, Wartung, Upgrade und Abschreibungen fallen weg. Nicht nur die langfristigen Betriebs- und Wartungskosten, sondern auch Vorabinvestitionen lassen sich so nachhaltig reduzieren", so Tulinska.

Ein weiterer Vorteil dieses Ansatzes: Unternehmen erhöhen ihre Flexibilität. Je nach Bedarf lassen sich binnen Minuten neue Server bereitstellen, Applikationen on-demand skalieren, Kapazitäten begrenzen. So können Unternehmen zügig und unkompliziert auf sich ändernde Marktbedingungen reagieren, aber auch auf verschärfte Bedrohungslandschaften oder neue gesetzliche Anforderungen. Auch die hohe Verfügbarkeit und Ausfallsicherheit überzeugen. Updates müssen nicht manuell eingespielt werden, sie werden automatisch ausgeführt.

"Neben dem schnellen Schließen möglicher Sicherheitslücken ergeben sich wegfallende Herausforderungen wie Unterbrechungen durch die Updates oder erhöhte Ressourcenbeanspruchungen. Unternehmen erhalten dadurch eine hohe Verfügbarkeit, ohne eigene Ressourcen nutzen zu müssen. Auch Ausfälle, die durch Cyberkriminelle ausgenutzt werden können, lassen sich vermeiden", nennt Patrycja Tulinska weitere Vorteile.

Mit Disaster Recovery-Funktionen ausgestattet, fällt bei einigen SECaaS-Diensten auch der Aufwand für Backup-Prozesse weg. Beim Shift Left-Ansatz sollen Security Testings bereits zum Start des Software Development Lifecycle (SDLC) integriert werden. So werden aus DevOps DevSecOps. Heißt: Schon in der Software-Entwicklung wird Security als Qualitätsmerkmal begriffen. "Das führt im Idealfall zu weniger Sicherheitslücken, und damit zu einer verringerten Nacharbeit. So gelingt es, Innovationen schneller zu implementieren – Zeit- und Kostenersparnisse folgen", erklärt Tulinska.

Ebenfalls in den Entwicklungsprozess integriert werden kann Continuous Security Testing. Systeme sowie Anwendungen werden dabei in regelmäßigen Intervallen auf Schwachstellen untersucht. Eine hohe und kontinuierliche Testabdeckung schon im Entwicklungsprozess kann sicherstellen, dass Schwachstellen im Code frühzeitig erkannt und behoben werden können. "Die Cloud entwickelt sich rasend schnell. Genauso aber auch entsprechende Sicherheitslösungen. Es lohnt sich, am Ball zu bleiben und die unterschiedlichen Ansätze zu kennen, mit denen verschiedene Vor- und Nachteile einhergehen. Nur so gelingt es, bedarfsgerecht zu agieren", sagt Patrycja Tulinska. (PSW Group: ra)

eingetragen: 10.09.20
Newsletterlauf: 23.10.20

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • XLAs: Der Mensch als Maßstab

    Über Jahrzehnte galten Service Level Agreements (SLAs) als Maßstab für gutes IT- und Servicemanagement: Wurde ein Ticket fristgerecht gelöst, war die Aufgabe erledigt. Doch in einer zunehmend digitalisierten Arbeitswelt zeigt sich: Diese Logik greift zu kurz. Effizienz allein entscheidet nicht mehr, ob Mitarbeitende zufrieden und produktiv bleiben. Gefragt ist ein neues Verständnis, das die tatsächliche Erfahrung der Menschen in den Mittelpunkt rückt.

  • Cloud-Souveränität immer stärker im Mittelpunkt

    Mit dem rasanten Fortschritt der digitalen Wirtschaft und dem Aufkommen zahlreicher neuer Technologien - allen voran Künstlicher Intelligenz (KI) - stehen europäische Entscheidungsträger vor einer neuen Herausforderung: Wie lässt sich ein innovatives Ökosystem regionaler Cloud-Anbieter schaffen, das sowohl leistungsfähige Lösungen als auch ausreichende Skalierbarkeit bietet? Und wie kann dieses Ökosystem mit internationalen Anbietern konkurrieren und zugleich die Abhängigkeit von ihnen verringern? Politik, Regulierungsbehörden, Forschungseinrichtungen und Industrievertreter in Europa konzentrieren sich darauf, wie der Kontinent seine Position im globalen Wettlauf um Cloud-Innovationen verbessern kann - ohne dabei die Kontrolle, Autonomie und Vertraulichkeit über europäische Daten aufzugeben, die andernfalls womöglich in anderen Märkten gespeichert, verarbeitet oder abgerufen würden.

  • Vom Nearshoring zum Smart Sourcing

    Aufgrund des enormen IT-Fachkräftemangels und der wachsenden Anforderungen von KI und digitaler Transformationen benötigen Unternehmen heute flexible und kosteneffiziente Lösungen, um wettbewerbsfähig zu bleiben. Für die Umsetzung anspruchsvoller Innovationsprojekte mit hohen Qualitätsstandards entscheiden sich deshalb viele Unternehmen für Nearshoring, da dieses Modell ihnen Zugang zu hochausgebildeten IT-Fachkräften in räumlicher und kultureller Nähe ermöglicht.

  • Sechs stille Killer des Cloud-Backups

    Cloud-Backups erfreuen sich zunehmender Beliebtheit, da sie auf den ersten Blick eine äußerst einfache und praktische Maßnahme zu Schutz von Daten und Anwendungen sind. Andy Fernandez, Director of Product Management bei Hycu, nennt in der Folge sechs "stille Killer", welche die Performance von Cloud-Backups still und leise untergraben. Diese werden außerhalb der IT-Teams, die täglich damit zu tun haben, nicht immer erkannt, können aber verheerende Folgen haben, wenn sie ignoriert werden.

  • Datenaufbewahrungsstrategie und SaaS

    Die Einhaltung von Richtlinien zur Datenaufbewahrung sind für Unternehmen unerlässlich, denn sie sorgen dafür, dass wertvolle Informationen sicher gespeichert und Branchenvorschriften - egal wie komplex sie sind - eingehalten werden. Diese Governance-Frameworks legen fest, wie Unternehmen sensible Daten verwalten - von deren Erstellung und aktiven Nutzung bis hin zur Archivierung oder Vernichtung. Heute verlassen sich viele Unternehmen auf SaaS-Anwendungen wie Microsoft 365, Salesforce und Google Workspace. Die Verlagerung von Prozessen und Daten in die Cloud hat jedoch eine gefährliche Lücke in die Zuverlässigkeit der Datenaufbewahrung gerissen, denn die standardmäßigen Aufbewahrungsfunktionen der Drittanbieter entsprechen häufig nicht den Compliance-Anforderungen oder Datenschutzzielen.

  • Lücken der SaaS-Plattformen schließen

    Die zunehmende Nutzung von Software-as-a-Service (SaaS)-Anwendungen wie Microsoft 365, Salesforce oder Google Workspace verändert die Anforderungen an das Datenmanagement in Unternehmen grundlegend. Während Cloud-Dienste zentrale Geschäftsprozesse unterstützen, sind standardmäßig bereitgestellte Datenaufbewahrungsfunktionen oft eingeschränkt und können die Einhaltung der Compliance gefährden. Arcserve hat jetzt zusammengefasst, worauf es bei der Sicherung der Daten führender SaaS-Anbieter ankommt.

  • Nicht mehr unterstützte Software managen

    Von Windows bis hin zu industriellen Produktionssystemen: Wie veraltete Software Unternehmen angreifbar macht und welche Strategien jetzt nötig sind Veraltete Software ist weit verbreitet - oft auch dort, wo man es nicht sofort vermuten würde. Beispiele für besonders langlebige Anwendungen sind das SABRE-Flugbuchungssystem oder die IRS-Systeme "Individual Master File" und "Business Master File" für Steuerdaten, die seit den frühen 1960er-Jahren im Einsatz sind. Während solche Anwendungen ihren Zweck bis heute erfüllen, existiert daneben eine Vielzahl alter Software, die längst zum Sicherheitsrisiko geworden ist.

  • Wie sich Teamarbeit im KI-Zeitalter verändert

    Liefertermine wackeln, Teams arbeiten unter Dauerlast, Know-how verschwindet in der Rente: In vielen Industrieunternehmen gehört der Ausnahmezustand zum Betriebsalltag. Gleichzeitig soll die Zusammenarbeit in Produktion, Qualitätskontrolle und Wartung immer schneller, präziser und vernetzter werden. Wie das KI-gestützt gelingen kann, zeigt der Softwarehersteller Augmentir an sechs konkreten Praxisbeispielen.

  • Vom Workaround zum Schatten-Account

    Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

  • KI in der Cloud sicher nutzen

    Keine Technologie hat die menschliche Arbeit so schnell und weitreichend verändert wie Künstliche Intelligenz. Dabei gibt es bei der Integration in Unternehmensprozesse derzeit keine Tür, die man KI-basierter Technologie nicht aufhält. Mit einer wachsenden Anzahl von KI-Agenten, LLMs und KI-basierter Software gibt es für jedes Problem einen Anwendungsfall. Die Cloud ist mit ihrer immensen Rechenleistung und Skalierbarkeit ein Motor dieser Veränderung und Grundlage für die KI-Bereitstellung.

Das Beste aus der KI-Investition machen Google Cloud: Als Phishing-Werkzeug missbraucht

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen