Mit diesen einfachen Maßnahmen machen Unternehmen ihre Assets in der Cloud signifikant sicherer.
Nicht nur Sicherheitsbedenken, sondern auch reale Sicherheitsprobleme sind das größte Hindernis bei der Akzeptanz von Public-Cloud-Lösungen durch deutsche Unternehmen. Laut dem Cloud Monitor 2022 der Unternehmensberatung KPMG nutzten 2022 nur 47 Prozent der befragten Unternehmen mit mindestens 20 Beschäftigten Public-Cloud-Angebote, 67 Prozent dagegen setzen auf Private-Cloud-Computing. Mehr als die Hälfte der Unternehmen, die Public-Cloud-Lösungen bereits einsetzen, berichten, dass es bei der Integration der Public Cloud in die bestehende IT-Infrastruktur Schwierigkeiten in Bezug auf Security gab: So hatten 56 Prozent in den letzten zwölf Monaten Schwierigkeiten bei der Umsetzung ihrer Compliance-Anforderungen und 51 Prozent berichteten von Schwierigkeiten bei der Umsetzung der Security-Anforderungen.
Interessanterweise verzeichneten die Befragten laut dem Cloud Monitor 2020 mehr Sicherheitsvorfälle in ihrer internen IT-Infrastruktur als in den Public-Cloud-Ressourcen. Die Private Cloud ist also nicht grundsätzlich unsicherer als lokale Infrastrukturen, eher sogar sicherer.
Für die Sicherheit der Cloud-Ressourcen ist allerdings nicht nur der jeweilige Provider verantwortlich. Die Unternehmen, die Public-Cloud-Ressourcen in Anspruch nehmen, müssen ebenfalls ihren Teil dazu beitragen, die Ressourcen auch in ihrem Verantwortungsbereich zu schützen. Dabei helfen die folgenden sechs Maßnahmen:
1. Für Transparenz sorgen
Ein gravierendes Sicherheitsproblem von Cloud-Diensten ist gerade einer ihrer großen Vorteile: die einfache Implementierung. Das verleitet einzelne Teams oder Abteilungen dazu, schnell einmal einen Cloud-Dienst einrichten zu lassen, ohne zuvor die IT-Abteilung zu kontaktieren. Das kann zu Verstößen gegen Compliance- und gegen Sicherheitsrichtlinien führen. Damit die IT-Abteilung solche potenziellen Schlupflöcher für Angreifer umgehend erkennen kann, braucht sie eine Cloud-Management-Lösung, die über alle Cloud-Anbieter hinweg die genutzten Cloud-Ressourcen im Unternehmen sichtbar macht. So ist sie in der Lage, Compliance- und Security-Probleme zu identifizieren und zu beheben.
2. Compliance- und Sicherheitsrichtlinien definieren und durchsetzen
Verstöße gegen Compliance- und Datenschutzregelungen durch unbedachte Nutzung von Public-Cloud-Ressourcen können schmerzhafte Strafen nach sich ziehen. Deshalb sind klar kommunizierte Richtlinien im Unternehmen erforderlich, die allen Abteilungen deutlich machen, was auf dem Spiel steht. Zudem muss die Einhaltung der Richtlinien kontinuierlich überwacht werden, damit Verstöße sofort erkannt und korrigiert werden können.
3. Multi-Faktor-Authentifizierung nutzen
Der simple Schutz von Cloud-Ressourcen per Nutzername und Passwort reicht nicht aus – zumal manche Nutzer immer noch viel zu sorglos Passwörter vergeben, die noch nicht einmal den grundlegenden Sicherheitskriterien entsprechen. Das ist grob fahrlässig, schließlich sind Public-Cloud-Konten über das offene Internet zugänglich und nicht durch die Sicherheitsmaßnahmen am Netzwerk-Perimeter eines Unternehmens geschützt. Die Authentifizierung an Cloud-Ressourcen durch Multi-Faktor-Authentifizierung (MFA) ist daher ein Muss, noch dazu, weil alle wichtigen Public-Cloud-Provider schon längst die Möglichkeit bieten, die Konten per MFA abzusichern.
4. Zugriffsrechte managen
So gefährlich die Übernahme eines einfachen Anwenderkontos durch Cyberkriminelle ist: Richtig gefährlich wird es, wenn Angreifer die Zugangsdaten eines privilegierten Accounts mit erweiterten Rechten an sich bringen. Damit sind sie in der Lage, sich ungehindert in der Cloud-Umgebung zu bewegen, Server umzukonfigurieren und sensible Daten zu stehlen. Die Zahl der privilegierten Accounts muss daher minimiert werden, und die Berechtigungen von Anwendern sind ständig zu überwachen.
5. Endpunkte absichern
Das klassische Einfallstor auch für Cloud-Anwendungen sind die Endgeräte. Deshalb ist ein wirkungsvoller Schutz vor Malware-Infektionen das A und O nicht nur für die Sicherheit der Firmeninfrastruktur, sondern auch der Cloud-Ressourcen. Schließlich sind die Endgeräte der Nutzer seit Jahren einer Flut an Malware- und Phishing-Angriffen ausgesetzt, die es durch eine leistungsfähige und ständig aktualisierte Endpoint-Protection-Lösung abzuwehren gilt.