PARTNER-POST 10 Tipps, um für die Reise gerüstet zu sein

Cloud-Security – Massnahmen, Tools und Praktiken

Uhr
von Marcel Kistler, Strategic Business ­Consultant, Aveniq

Der Begriff «Cloud-Security» steht für weit mehr als nur den Schutz von Daten in der Cloud. Doch die Anpassung der Security-Strategie an die Cloud ist eine Reise ins Unbekannte. Mit diesen zehn Tipps sind Sie für die Reise gut gerüstet.

Marcel Kistler, Strategic Business ­Consultant, Aveniq. (Source: zVg)
Marcel Kistler, Strategic Business ­Consultant, Aveniq. (Source: zVg)

Der Sicherheitskomplex Cloud Security umfasst sämtliche Services, die ein Unternehmen in der Cloud nutzt. Dazu zählen eine oder mehrere Cloud-Infrastruktur-Plattformen, Multi-Cloud-Lösungen (IaaS), Daten und Plattformen als PaaS sowie Anwendungen im SaaS-Modell. Bei der Anpassung der Security-Strategie an die Cloud steht meist der Aufbau von Expertenwissen im Vordergrund. Viele Unternehmen benötigen externe Unterstützung, um diese Herausforderung zu meistern.
Wir haben zehn entscheidende Massnahmen, Tools und bewährte Praktiken zusammengestellt, die zu einer verbesserten Security in der Cloud beitragen.

  1. Klassifizierung der Daten – das Herz der Sicherheit
    Die Klassifizierung der Daten ist das Herzstück der Cloud-Security. Sie stellt sicher, dass Daten nur an Orten abgelegt werden, die den DLP-Richtlinien (Data Loss Prevention) entsprechen. Bei Verstössen können Daten sogar in einen undurchdringlichen Schutzpanzer gehüllt werden.
     
  2. Zugriffskontrolle – die Wächter der Cloud
    Mit Zugriffskontrolle lassen sich die Wächtertore der Cloud sicher verschliessen. Nur autorisierte und registrierte Benutzer haben Zutritt zu den kostbaren Cloud-Ressourcen. Identitäts- und Access-Management-Lösungen (IAM) wie Microsoft Azure AD mit rollenbasierter Zugriffssteuerung (RBAC) sind die Schlüsselmeister.
     
  3. Multi-Faktor-Authentifizierung (MFA) – wenn Sicherheit zur Superkraft wird
    MFA verwandelt die Anmeldung in der Cloud in einen Hochsicherheitstrakt. Benutzer müssen nicht nur ein Passwort eingeben, sondern gleich mehrere Authentisierungsfaktoren präsentieren. Das sind die Superhelden gegen Eindringlinge: ein registriertes Gerät (z.B. ein Mobiltelefon), UPN (User Principal Name), Token-Code, biometrische Daten wie Fingerabdruck oder Gesichts­erkennung über das Mobiltelefon und ein Einmalcode.
     
  4. Netzwerksicherheit – der Schutzschild der Hyperscaler
    Die Hyperscaler, unsere Wächter des digitalen Universums, bieten umfassende Netzwerksicherheitsdienste an. Sie überwachen den Datenverkehr und blockieren schädliche Aktivitäten mit Schwert und Schild. Information Protection, Governance & Compliance-Monitoring und Web Application Gateways sind ihre treuen Gefährten.
     
  5. Überwachung und Protokollierung – die Wächter­augen der Cloud
    Die ständige Überwachung der Cloud-Aktivitäten und die Protokollierung von Ereignissen sind die aufmerksamen Wächteraugen der Cloud. Sie erkennen potenzielle Sicherheitsbedrohungen frühzeitig und alarmieren uns rechtzeitig, wenn Gefahr im Verzug ist.
     
  6. Governance, Risk & Compliance – im Einklang mit den Regeln
    Unternehmen müssen in der Cloud ihre Governance-, Risk- und Compliance-Anforderungen ausarbeiten, um den Datenschutz- und Compliance-Richtlinien gerecht zu werden. Insbesondere das neue Datenschutzgesetz der Schweiz (DSG), das am 1. September 2023 in Kraft trat, erfordert besondere Aufmerksamkeit.
     
  7. Backup & Notfallwiederherstellung im Business Continuity Management – das Lebenselixier der Cloud
    Die Sicherung von Daten, die Bereitstellung von Notfallwiederherstellungsplänen und das Business Continuity Management sind das Lebenselixier der Cloud. Sie verhindern Datenverluste und Betriebsausfälle und sie helfen uns, den Geschäftsbetrieb bei Störungen effizient wiederherzustellen.
     
  8. Schulung und Sensibilisierung der Mitarbeitenden – die Schlüssel zur Wachsamkeit
    Mitarbeitende müssen nicht nur ihre Aufgaben erfüllen, sondern auch die Sicherheitsbrille tragen. Durch Schulungen und Simulationen werden sie sensibilisiert, um Phishing-Angriffe und andere Bedrohungen zu erkennen. Die Früherkennung von Sicherheitsrisiken ist von unschätzbarem Wert in der Cloud-Security.
     
  9. Schwachstellenmanagement & Überwachung – die Spurensucher der Cloud
    Kontinuierliches Scannen von Systemen, Plattformen, Software und Lieferanten auf Sicherheitslücken und Schwachstellen ist unerlässlich. So können potenzielle Risiken frühzeitig aufgespürt und entschärft werden.
     
  10. Automatisierung und DevSecOps – die künstliche ­Intelligenz der Cloud-Security
    Die Integration von Sicherheitsmassnahmen in DevOps-Prozesse, auch als DevSecOps bezeichnet, ist wie die Einführung von künstlicher Intelligenz in die Anwendungsentwicklung. Sie sorgt für einen reibungslosen Ablauf und schützt vor Bedrohungen von Anfang an.


Bedrohungslage laufend analysieren

Cloud-Security beinhaltet noch andere Elemente, die hier nicht aufgeführt sind. Wichtig ist, dass sich die Tools und Massnahmen der sich ständig verändernden Bedrohungslage anpassen. Nur so kann ein ausreichender Schutz in der Cloud gewährleistet werden, während die Tore zur digitalen Welt geöffnet sind.


Mit drei einfachen Punkten zu einer besseren Cloud-Security – Interview mit Cloud-Security-Experte Marcel Kistler


Weshalb sind Hackerangriffe so erfolgreich?

Marcel Kistler: Viele Ransomware-Angriffe sind erfolgreich, weil sich Unternehmen ungenügend schützen. Die Angreifer erhalten sehr einfach Zugang zu Systemen über Benutzername und Passwort. Schweizer Unternehmen sind dabei sehr beliebte Ziele, da sie zahlungskräftig sind. Vor einer aktiven Verschlüsselung nisten sich die Angreifer bereits 180 Tage vorher im Umfeld eines Unternehmens ein und sammeln Informationen über Liquidität und Organisation eines potenziellen Zieles 

Womit machen es die Unternehmen den Hackern ­einfach?

Ein gutes Beispiel ist die Verwendung von Benutzernamen und Passwörtern. Hacker kennen die User: Sie installieren «Mirror» auf den Clients und können damit alles loggen, was der Benutzer am Keyboard eingibt. Danach können die Hacker sehr einfach Kopien der Daten anfertigen und diese gezielt verschlüsseln. Da die Passwörter in der Regel nur nach 30, 60 oder 90 Tagen gewechselt werden, ist das Unternehmen in dieser Zeit sehr verwundbar. Insbesondere wenn man bedenkt, dass davon auch Administratoren-Zugänge betroffen sind. Diese werden oft über Monate oder Jahre hinweg nicht verändert.

Welche Massnahmen können Unternehmen in einem solchen Fall treffen?

Ich empfehle in einem ersten Schritt mit dem Schutz von Passwörtern zu beginnen und eine Multi-Factor-Authentifizierungs­lösung einzuführen. Eine MFA-Lösung deckt in der Regel bis zu fünf Sicherheitsfaktoren ab:

  1. Die Anmeldung erfolgt über den UPN (User Principal Name)
  2. Voraussetzung ist ein registriertes Mobile-Device, das dem Benutzer zugeordnet ist
  3.  Biometrische Daten wie Fingerprint oder Gesichtserkennung werden zur Anmeldung auf dem Mobile-Device verwendet
  4.  Eine Authenticator App ist auf dem Registrierten Device installiert
  5. Ein «Authentication-token» steuert die Berechtigung und den Zugriff auf eine Applikation

Schützt eine Firewall nicht genügend vor Angriffen?

Nein, es ist ein fataler Trugschluss, zu glauben, dass Hacker von einer Firewall abgehalten werden. Heute ist der Security-Perimeter nicht mehr nur allein die Firewall, sondern vielmehr der Client-Arbeitsplatz der Mitarbeitenden. Viele Firmen erkennen diese Sicherheitsbedrohungen jedoch noch nicht. Mit einem Awareness-Training oder gezielten Phishing-Kampagnen können Mitarbeitende auf diese Gefahren sensibilisiert und die Resi­lienz gestärkt werden. 

Wie schütze ich meine Daten vor Missbrauch?

Auch hier gibt es eine einfache Massnahme: Führen Sie eine Daten-Klassifizierungs-Lösung ein, mit der über entsprechende Policies kontrolliert und gesteuert wird, wo welche Art der Daten gespeichert werden können. Oft besteht zum Thema Datenablage aber nur eine Weisung – dies reicht heute nicht mehr. Die IT-Infrastruktur muss so aufgebaut sein, dass die Mitarbeitenden vor möglichen Fehlablagen geschützt werden.

Warum braucht es eine Cloud- & Security-Strategie? Ist es nicht zielführender, direkt Massnahmen umzusetzen?

Während der Pandemie sind viele Unternehmen ohne Strategie und Konzept in die Cloud gezogen. Mit fatalen Folgen: Die Cloud bietet viele Vorteile und Möglichkeiten, die jedoch nach Informationsschutz und Governance verlangen. Eine Strategie muss etwa festlegen, wie die Einführung einer Software geregelt ist. Heute wird neue Software nicht mehr über ein Projekt eingeführt, sondern über die Kreditkarte. Damit meine ich, dass die interne IT-Abteilung oft gar nicht mehr weiss, welche Software-as-a-Service im Unternehmen genutzt wird. Um diese sogenannte «Schatten-IT» in den Griff zu bekommen, braucht es also Governance-, Risk- und Compliance-Vorgaben.  Interview: Aveniq

>Hier zur passenden IT-Solution für jede Herausforderung<

Webcode
QPxdAHUq