2024/1 | Digitalisierung | IT-Sicherheit / Datenschutz

Wer Cloud sagt, muss auch Security sagen

von Martin Stemplinger

Mit der wachsenden Popularität von Cloud-Lösungen stehen Unternehmen vor der Herausforderung, ihre IT-Sicherheit an die neue Realität anzupassen. Vereint die Infrastruktur sowohl lokale Systeme als auch Cloud-Technologien, muss die Security-Strategie einen identitätsbasierten, holistischen Ansatz verfolgen, der auch Cloud-basierte Tools umfasst.

Bildquelle: (C) MasterTux / Pixabay

Immer mehr Unternehmen beschreiten den Gang in die Cloud und verlagern geschäftskritische Anwendungen zu Cloud-Plattformen und -Diensten, um ihre digitale Transformation voranzutreiben. Egal ob Cloud-first oder Cloud-too, eines haben diese Strategien gemeinsam: Neben den vielen bekannten Vorteilen - etwa bessere Skalierbarkeit und eine höhere Effizienz - greifen klassische Sicherheitslösungen und herkömmlicher Perimeterschutz nicht mehr. Um den neuen Risiken ein robustes Security-Konzept entgegenstellen zu können, sind neue Ansätze notwendig.

Die Pflicht, für Sicherheit in der Cloud zu sorgen, müssen Provider dabei nicht alleine erfüllen - vielmehr gilt im Sinne des Teamworks das Shared-Responsibility-Modell. Während sich Provider auf Seiten der "Security of the Cloud" um die Infrastruktur kümmern, sind Nutzerinnen und Nutzer ihrerseits bei der Datensicherung sowie bei der Berechtigungs- und Zugriffsverwaltung in der Pflicht.

Eine erste Analyse des Ist-Zustandes ist das Fundament, auf dem passende Sicherheitsmaßnahmen für die neue IT-Struktur aufgebaut werden können. IT-Abteilungen sollten unbedingt einen Schwerpunkt darauf legen, ob die existierenden Security-Prozesse mit den hohen Geschwindigkeiten in der Cloud kompatibel sind. Die vorhandenen Security-Kontrollen müssen zudem die veränderte Angriffsfläche abdecken und auch Attacken auf die Cloud-Management-Konsolen abwehren. Denn weiterhin gilt: Trotz aller Sicherheitsmaßnahmen ist immer mit erfolgreichen Angriffen zu rechnen. Aus diesem Grund ist ein konsolidierender Überblick mittels eines Cyber Defense Centers essentiell. Schließlich muss der CISO nicht nur - wie zuvor - den abgeschotteten On-Premises-Bereich im Blick haben, sondern auch die neuen Netzwerkgrenzen in der Cloud.

Die Identität im Fokus

Nach erfolgreich abgeschlossener Analyse wissen Unternehmen, wo und in welchem Umfang Handlungsbedarf besteht - und welche Sicherheitsvorkehrungen sie priorisieren müssen. In der Regel handelt es sich im Cloud-Kontext dabei um das Identitäts- und Rechtemanagement. Die große Zahl an menschlichen und maschinellen Identitäten mit den dazugehörigen Berechtigungen ist ein potenzielles Sicherheitsrisiko. Der neue ganzheitlicher Sicherheitsansatz sollte also auf Identitäten basieren und User, Systeme, Anwendungen und Prozesse gleichermaßen und vollumfänglich berücksichtigen. Die IT-Abteilung muss an zentraler Stelle alle Berechtigungen verwalten, steuern und überwachen können und die Zugriffe auf administrative Oberflächen wie Cloud-Managementkonsolen und -portale strengstens regeln. Geeignete Sicherheitsmaßnahmen sind neben der, zumindest bei Rollen mit weitreichenden Rechten, immer notwendigen Zwei-Faktor-Authentifizierung ein Rechte- und Rollenkonzept sowie eine Access Governance, bei der die vergebenen Rechte regelmäßig überprüft werden.

Sicherheit neu gedacht

Erfahrungen aus der Praxis haben gezeigt, dass die schlichte Übertragung von Anwendungen in die Cloud, das so genannte Lift-and-Shift-Verfahren, oft nicht die erwarteten Ergebnisse liefert. Eine sorgfältige Planung der Migration ist daher entscheidend. Sie sollte nicht nur die Umstellung auf moderne IT-Architekturen mit Containern, Serverless-Computing und Cloud-nativen Plattformen einschließen, sondern auch die Berücksichtigung der Sicherheitsaspekte. Infolgedessen müssen IT-Security-Verantwortliche ihre Denkweise anpassen: Ihre Verantwortung erstreckt sich nicht mehr allein auf das Netzwerk, sondern sie sollten auch über Fähigkeiten in der Anwendungsentwicklung verfügen und Sicherheitsmaßnahmen bereits in den Entwicklungsprozess integrieren.

Solche weitgehend automatisierten Sicherheitstests erweisen sich als äußerst vorteilhaft für Prozesse der Softwareentwicklung, da sie dazu beitragen, Fehler frühzeitig aufzudecken und somit die Produktqualität steigern, ohne die Geschwindigkeit der Entwicklung zu beeinträchtigen.

Dem Chaos vorbeugen

Während sich zahlreiche Unternehmen auf eine erfolgreiche Cloud-Transformation fokussieren, nimmt das Thema Sicherheit vielerorts nur eine untergeordnete Rolle ein - mit weitreichenden Folgen: Die Ergebnisse enthalten oftmals eine heterogene Sicherheitsinfrastruktur aus einzelnen Lösungen, die entweder die On-Premises-Umgebung oder die Cloud-Infrastruktur abdecken. Ein solcher Wildwuchs ist schwer zu verwalten und mit hohen Kosten verbunden. Außerdem laufen Unternehmen Gefahr, dass die Security-Verantwortlichen bei der komplexen Struktur Sicherheitslücken übersehen. Ziel ist aus diesen Gründen eine Konsolidierung der Sicherheitsmaßnahmen, die Berechtigungen, Firewall-Regeln, Virenscanner, Security-Monitoring oder SIEM-Systeme für die komplette Cloud- und On-Premises-Landschaft vereinheitlicht.

Bevor Unternehmen in neue Sicherheitslösungen investieren, sollten sie zunächst die Möglichkeiten der Cloud voll ausschöpfen. Viele Cloud-Anbieter bieten entsprechende Sicherheitstools an, die sich im Vergleich zu Lösungen für On-Premise-Umgebungen deutlich einfacher konfigurieren lassen. Ein Beispiel ist das Identitätsmanagement, das ein entscheidendes Element für die Sicherheit in der Cloud darstellt. Cloud-Anbieter haben in der Regel eine rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC) in ihrem Serviceportfolio, mit der IT-Verantwortliche festlegen können, welche Nutzer, Maschinen und Dienste welche Berechtigungen erhalten.

Ähnliches gilt für die Umsetzung von Least-Privilege-Prinzipien mit Hilfe von Just-in-Time-Zugriffsverfahren. Dies ist zwar prinzipiell auch in On-Premises-Umgebungen möglich, jedoch aufwändig und mit zum Teil erheblichen Kosten für die notwendigen Werkzeuge verbunden. Ebenso ermöglicht die Cloud eine Netzwerksegmentierung - ein effektives Sicherheitstool, das Unternehmen in der Cloud wesentlich einfacher umsetzen können als in On-Premises-Systemen. Selbst die Mikrosegmentierung ist in der Cloud möglich, sodass Unternehmen beispielsweise festlegen können, welche Server über welche Protokolle miteinander kommunizieren dürfen.

Der Segen der Automatisierung

Der Einsatz von Sicherheitstools aus der Cloud bietet nicht nur technologische Vorteile. Die Automatisierung entlastet die Security-Teams und ist somit ein wirksames Mittel, um dem Fachkräftemangel entgegenzuwirken. Statt Zeit mit manuellen Aufgaben zu verbringen, können sich IT-Experten auf andere wichtige Aspekte konzentrieren und so zusätzliche Ressourcen freisetzen.

Die Verlagerung von Anwendungen in die Cloud ermöglicht eine deutlich höhere Agilität und Flexibilität, die es Unternehmen erlaubt, schnell auf neue Situationen zu reagieren und neue Geschäftsmöglichkeiten zu nutzen. Die Migration sollte jedoch mit einem Überdenken der Sicherheitsmaßnahmen einhergehen. Die Cloud bietet eigene Sicherheitstools, die die bestehende Sicherheit vor Ort ergänzen und eine einheitliche und zuverlässige Umgebung schaffen. Diese neue IT-Infrastruktur bildet nicht nur eine optimale Grundlage für das Unternehmenswachstum, sondern stärkt auch die Abwehr von Bedrohungen.

Diese Artikel könnten Sie auch interessieren

5 Tipps: So holen Sie das Maximum aus ihren Daten heraus

Nicht alle Daten sind für Reportings geeignet oder gleichermaßen wertvoll. Die Kunst liegt einerseits darin, die richtigen für den jeweiligen Use Case zu identifizieren. Andererseits müssen Unternehmen sie dann auch sinnvoll auswerten, um den maximalen Nutzen aus ihnen zu ziehen. Doch welche Daten sind die richtigen?...

Weiterlesen

ISO 27001: In 6 Schritten zur Sicherheitszertifizierung

WISSENplus
Unternehmen, die sich erfolgreich nach ISO 27001 zertifizieren wollen, müssen alle für die Informationssicherheit relevanten Prozesse genau festgelegt haben - beginnend beim Anwendungsbereich des Information Security Management Systems (ISMS) über die Klassifizierung von Informationen bis hin zum Umgang mit Vorfällen, die den Geschäftsbetrieb nachhaltig unterbrechen können. Außerdem gilt es, e...

Weiterlesen

Wie die moderne Arbeitswelt Unternehmen umkrempelt

Hybrid Work, New Work, New Normal - es kursieren viele Begriffe für moderne Arbeitsmodelle. Fakt ist: Die hybride Arbeitswelt ist in unserer Gesellschaft angekommen. Selbst erklärte Homeoffice-Gegner haben ihre Meinung geändert, um drohende Kündigungen ihrer Mitarbeitenden zu vermeiden. Eine neue Arbeitswelt entsteht aber nicht dadurch, dass man den Beschäftigten erlaubt, von zu Hause aus zu arbeiten. ...

Weiterlesen

Kritisches Denken in Zeiten von KI-Bots & Co.

Der Kompetenz zum kritischen Denken kommt aufgrund der im Digitalzeitalter stetig wachsenden Informationsfülle von mitunter zweifelhafter Güte, welche nicht zuletzt durch die sozialen Medien sowie durch auf künstlicher Intelligenz (KI) basierenden Applikationen angefacht wird, eine immer größere Bedeutung zu. Kritisches Denken sollte daher gezielt gefördert werden - und zwar sowohl an den Hochschulen ...

Weiterlesen

Data Decision Gap: Warum digitale Transformation fehlschlägt - und was Unternehmen dagegen tun können

WISSENplus
Von 2017 bis 2021 investierten Unternehmen weltweit 4,45 Billionen Dollar (USD) in ihre digitale Transformation. Dieser Trend wird sich wahrscheinlich fortsetzen und in den nächsten fünf Jahren vermutlich die Marke von zehn Billionen Dollar übersteigen. Doch was erhalten die Unternehmen im Gegenzug? Trotz der enormen Ressourcen, die der digitalen Transformation gewidmet werden, zeigen Studien, dass...

Weiterlesen

Wann Wissensmanagement mit SharePoint scheitert

WISSENplus
Egal, in welcher Branche: Will sich ein Unternehmen auf dem Markt behaupten, kann es sich abteilungsspezifische Wissenssilos schlichtweg nicht mehr leisten. Gerade im Hinblick auf Remote- und Hybrid-Arbeit heißt es, kluge Konzepte zu entwickeln, die es erlauben, innerbetriebliches Know-how strukturiert zu verwalten und zugänglich zu machen. Viele Firmen greifen dafür auf Tools wie Microsoft SharePo...

Weiterlesen