Cloud Platform Security Archive - SITS

Mit DevOps wachsen Software-Entwicklung (Dev) und -Betrieb (Ops) zusammen. Tools zur Prozessautomatisierung, die kontinuierliche Integration und das Teamwork zwischen Dev- und Ops-Einheiten fördern die Effizienz der gesamten Entwicklung. Die agile Entwicklung hat neben Vorteilen wie einer hohen Software-Qualität, Innovationsfähigkeit und schnellen Bereitstellung auch eine Schattenseite: Isolierte Sicherheitsmodelle verlieren an Wirksamkeit, weil Security-Prüfungen und -Optimierungen nun den gesamten DevOps-Lifecycle umfassen und ineinandergreifen müssen.

DevSecOps: Sicherheit ohne Bruchstellen

Mit DevSecOps hat sich deshalb ein Modell etabliert, das Sicherheitsaspekte und -verfahren von Anfang als integrale Bestandteile des Entwicklungsprozesses betrachtet, anstatt sie, wie bisher, als separate Phase oder Nachbearbeitung zu behandeln.

Ziel ist es, Sicherheitslücken trotz der heterogenen Zusammenarbeit zwischen Devs und Ops frühzeitig zu erkennen, zu beheben und präventive Maßnahmen ergreifen zu können. Damit entsteht nicht nur eine Kultur der gemeinsamen Verantwortung, Sicherheitsmaßnahmen und -Tools decken nun auch den kompletten DevOps-Lebenszyklus ab.

Das beginnt bereits mit dem Design und der Definition von Sicherheitsanforderungen und -zielen sowie der Auswahl geeigneter Architekturen und Technologien. Auch im Microsoft-Kosmos haben sich bewährte Praktiken, Werkzeuge und Ressourcen durchgesetzt. Dazu gehört in erster Linie der Microsoft Security Development Lifecycle (SDL). SDL integriert Sicherheitsstrategien und -verfahren in alle Phasen des Entwicklungsprozesses, von der Planung, über das Design und die Implementierung, bis hin zur Überprüfung und Wartung. Um die Anfälligkeit für Angriffe während der Entwicklungsphase zu reduzieren, haben sich Werkzeuge wie die Microsoft Security Code Analysis Tools bewährt. Sie ermöglichen es, den entwickelten Code automatisch und kontinuierlich auf Schwachstellen zu überprüfen und zu beheben, noch bevor die Anwendung in die produktive Umgebung gelangt.

Steht dann die Bereitstellung im Pflichtenheft, ist eine kontinuierliche Integrations- und Bereitstellungs-Pipeline (CI/CD) zweckmäßig. Sie umfasst Sicherheitstests und -überprüfungen für jeden Schritt: Dienste wie Microsoft Azure DevOps Services lassen sich beispielsweise dazu verwenden, die Pipeline zu erstellen und zu verwalten, während Komponenten wie Microsoft Azure Security Center die Anwendungen und Infrastruktur in der Cloud schützen und überwachen.

Schutz für Container und Microservices

Neue Sicherheitsstrategien sind allerdings auch nötig, wenn es um die Implementierung von Container-Technologien und Microservices geht. Um Schwachstellen in Container-Images und Microservices zu identifizieren und zu beheben, finden in der Regel folgende Werkzeuge Beachtung:

  • Microsoft Azure Container Registry verwendet vertrauenswürdige Quellen für Container-Images und umfasst regelmäßige Aktualisierungen, um bekannte Sicherheitslücken zu schließen.
  • Microsoft Azure Defender for Container Registries scannt Container-Images auf Schwachstellen, bevor sie in die CI/CD-Pipeline gelangen.
  • Microsoft Azure Kubernetes Service (AKS) dient der Implementierung von Sicherheitsrichtlinien und -regeln für Container-Orchestrierung und -Ausführung.
  • Microsoft Azure Monitor und Azure Sentinel eignen sich dazu, den Zustand und das Verhalten von Containern und Microservices zu überwachen und auf Anomalien zu reagieren.

Um schließlich den Zugriff und die Nutzung von vertraulichen Informationen in DevOps-Pipelines zu verwalten und zu schützen, haben sich sichere Speicherorte wie Microsoft Azure Key Vault durchgesetzt. Eine Zusammenführung von Azure Key Vault mit DevOps-Tools, wie Azure DevOps Services, ermöglicht es DevOps-Teams, den authentifizierten Zugriff auf sensible Inhalte während des Build- und Bereitstellungsprozesses zu automatisieren.

Prävention gegen Cyber-Attacken

Und auch für den Schutz der DevOps-Infrastruktur vor möglichen Bedrohungen, wie DDoS-Angriffen und anderen Cyber-Attacken, hat Microsoft ein Paket geschnürt. Unter diesen Lösungen befindet sich Microsoft Azure DDoS Protection. Sie ermöglicht eine adaptive und intelligente Erkennung sowie Abwehr von Angriffen, die auf normale Datenverkehrsmuster von Anwendungen abzielen. Zusätzlich bietet Microsoft Azure Firewall die Möglichkeit, den ein- und ausgehenden Datenverkehr der Azure-Ressourcen zu filtern und zu überwachen. Dabei folgt die Filterung und Protokollierung des Datenverkehrs verschiedenen Kriterien, wie Anwendungen, Protokollen, Ports, Quellen und Zielen, wodurch eine zentrale Netzwerksicherheitskontrolle für die DevOps-Infrastruktur gewährleistet wird. Ein weiterer bedeutender Schritt zum Schutz moderner DevOps-Umgebungen ist Microsoft Azure Sentinel. Die Cloud-basierte Sicherheitsinformations- und Ereignisverwaltungsplattform (SIEM) sammelt Sicherheitsdaten aus verschiedenen Quellen, analysiert sie mithilfe Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) und visualisiert sie für eine umfassende Sicherheitsüberwachung und -analyse.

API: Schwächstes Glied der Kette

Um auch die Sicherheit von APIs und anderen Schnittstellen zu gewährleisten, greifen Entwicklungsteams häufig auf Microsoft Azure API Management, Azure Application Gateway und Microsoft Entra ID zurück. Diese Dienste umfassen ein weites Funktionsspektrum, darunter zentrales Management, Schutz vor Web-Bedrohungen sowie Identitätsmanagement. Weiterhin können Microsoft Azure DevOps Services dazu genutzt werden, verschiedene Tests wie statische Code-Analyse, dynamische Anwendungssicherheitstests und Penetrationstests durchzuführen.

Azure Security Center ermöglicht schließlich die Überwachung und Behebung von Sicherheitsrisiken und Schwachstellen in DevOps-Ressourcen. Um Sicherheitsrisiken im Zusammenhang mit Open-Source-Komponenten und -Frameworks anzugehen, empfiehlt sich der Einsatz von Microsoft Azure Defender for App Service zur regelmäßigen Überprüfung auf bekannte Sicherheitslücken sowie Azure Application Insights für die Überwachung und Verbesserung der Leistung und Zuverlässigkeit von Anwendungen. Abschließend ist es ratsam, Lösungen wie Microsoft Azure Sentinel, Azure Backup und Azure Site Recovery für Incident Response und Disaster Recovery in die DevOps-Umgebung zu integrieren.

Kein DevOps ohne Sec

Fest steht: Um agile Entwicklungsmethoden tatsächlich auch geschäftskritisch verwenden zu können, sind DevSecOps von entscheidender Bedeutung. Das gilt vor allem deshalb, weil in der zunehmend digitalisierten Welt Sicherheitsbedrohungen ständig zunehmen. Traditionelle Ansätze, bei denen Sicherheit erst am Ende oder in Teilbereichen des Entwicklungsprozesses berücksichtigt wird, sind nicht mehr ausreichend. Durch die Integration von „Sicherheit von Anfang an“ in den DevOps-Lebenszyklus werden Sicherheitslücken frühzeitig erkannt und behoben. DevSecOps fördert zudem eine proaktive Sicherheitskultur, in der Entwickler, Betriebsteams und Sicherheitsteams zusammenarbeiten, um sicherzustellen, dass Anwendungen und Systeme robust gegenüber Sicherheitsbedrohungen sind.

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

  • Microsoft 365 Copilot ist eine künstliche Intelligenz, die direkt in die Microsoft Office-Programme, SharePoint und Exchange Server integriert ist.
  • Das System unterstützt Mitarbeitende bei alltäglichen Aufgaben und und erhöht so die Effizienz unterschiedlicher Abteilungen.
  • Die Einführung von Copilot hat weitreichende Auswirkungen auf den Datenschutz von Unternehmen und muss daher umfassend vorbereitet und begleitet werden.

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

Die Lizenzierung von Copilot für Microsoft 365 stellt einen gravierenderen Einschnitt in die IT-Sicherheitsarchitektur eines Unternehmens dar als der Einsatz von ChatGPT, Gemini oder anderen KI-Assistenten, die auf Large Language Models (LLM) basieren. Denn anders als ChatGPT & Co. greift Copilot nicht nur auf vorgegebene Daten zu. Das Microsoft-Tool bezieht zusätzliche Informationen aus dem Internet und – noch wichtiger – aus dem firmeneigenen Datenbestand. Copilot nutzt etwa die Daten des SharePoint-Servers und kann über Microsoft Graph auch auf Mails, Chats und Dokumente . So werden in den Antworten und Inhalten von Copilot eventuell auch Informationen sichtbar, die bisher nur Lokal in den Daten einzelner Mitarbeiter und Gruppen verfügbar gewesen sind.

„Die Einführung von Copilot in einem Unternehmen kann Auswirkungen auf die bestehende DSGVO-Konformität haben, je nachdem, wie Copilot genutzt wird und welche Daten damit verarbeitet werden. Daher ist es ratsam, die Konformität nach der Einführung von Copilot erneut zu prüfen, um sicherzustellen, dass keine Verstöße oder Risiken entstehen .“

Oliver Teich (Strategic Consultant)

Berechtigungsmodelle überprüfen und/oder einrichten

Microsoft selbst weist in der zu Copilot generell darauf hin: „Es ist wichtig, dass Sie die Berechtigungsmodelle verwenden, die in Microsoft 365-Diensten wie SharePoint verfügbar sind, um sicherzustellen, dass die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte in Ihrer Organisation haben.»

Dabei reicht es nicht aus, die Berechtigungen von Benutzern und Gruppen zu überprüfen. Auch andere Zugriffswege, wie Gastzugänge, lokale SharePoint-Berechtigungen, Freigabe-Links und externe und öffentliche Zugriffe sollten dringend überprüft werden.

Wichtig: Über freigegebene Team-Channels können auch Personen Zugriff auf Daten haben, die nicht zu Ihrem Unternehmen gehören.

Hinweis: , die über Microsoft Purview Information Protection (MPIP) vergeben wurden. Das System stellt zwar sicher, dass für KI-generierte Inhalte nur Daten verwendet werden, die für den jeweiligen Benutzer relevant sind – die Antwort selbst erhält jedoch kein MPIP-Label.

Insgesamt sollte darum eine strikte Need-to-Know-Politik im Unternehmen umgesetzt werden. Mit Copilot ist es wichtiger denn je, dass Mitarbeitende tatsächlich nur Zugriff auf die Daten haben, die für ihre jeweilige Aufgabe relevant sind. Es empfiehlt sich die Implementierung einer Zero-Trust-Architektur auf Basis des Least-Privileg-Prinzips, oder zumindest eine strenge Überprüfung sämtlicher Zugriffsrechte, sollte dies nicht möglich sein.

Überprüfung der Datenschutzbestimmungen

Microsoft behauptet, dass sowohl Microsoft 365 als auch der Copilot der Datenschutz-Grundverordnung entsprechen. Das Unternehmen verspricht auf seiner Website: «Microsoft Copilot für Microsoft 365 entspricht unseren bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen gegenüber kommerziellen Microsoft-365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).»

„Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung (DPIA) für die Nutzung von Copilot durchführen müssen. Eine DPIA ist eine systematische Analyse der Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten.“

Oliver Teich (Strategic Consultant)

Bewertung von Zusatzvereinbarungen

Die Datenschutzkonferenz des Bundes und der Länder (DSK) und andere Aufsichtsbehörden sind jedoch der Auffassung, dass die von Microsoft angebotene Data Protection Addendum (DPA, Auftragsverarbeitungsvereinbarung) die Anforderungen des europäischen Datenschutzrechts nicht ausreichend erfüllt. Sie empfehlen Unternehmen, mit Microsoft eine zusätzliche Vereinbarung zur Auftragsverarbeitung abzuschließen oder dies zumindest kritisch zu prüfen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen beschreibt in einer Handreichung, welche Überlegungen hier wichtig sind. Im Wesentlichen empfehlen die Experten: „Eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum DPA sollte klarstellen, dass diese Zusatzvereinbarung gegenüber sämtlichen entgegenstehenden Vertragstexten, die seitens Microsoft einbezogen werden, Vorrang hat und diesen im Kollisionsfalle vorgeht.“ Diese Zusatzvereinbarung sollten u.a. die folgenden Punkte regeln:

  • Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind,
  • Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
  • Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
  • Löschen personenbezogener Daten und
  • Information über Unterauftragsverarbeiter

Sofern solche Vereinbarungen bereits abgeschlossen oder evaluiert wurden, sollten sie im Rahmen der Copilot-Einführung zumindest einer erneuten Datenschutz-Folgenabschätzung unterzogen werden.

Daten können die Grenzen des Microsoft-365-Dienstes verlassen

IT-Sicherheitskonzept überprüfen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer Studie zum Einsatz von KI-Sprachmodellen in Unternehmen zu dem Ergebnis, dass diese Systeme neben vielen Vorteilen auch neuartige IT-Sicherheitsrisiken bergen bzw. das Bedrohungspotenzial bekannter IT-Bedrohungen erhöhen können.

Das BSI rät daher: «Als Reaktion auf diese Bedrohungspotenziale sollten Unternehmen oder Behörden vor der Integration von großen KI-Sprachmodellen in ihre Arbeitsabläufe eine Risikoanalyse für die Verwendung in ihrem konkreten Anwendungsfall durchführen. Daneben sollten sie Missbrauchsszenarien dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend können existierende Sicherheitsmaßnahmen angepasst und gegebenenfalls neue Maßnahmen ergriffen werden sowie Nutzende über die potenziellen Gefahren aufgeklärt werden.»

Vor der Einführung des Copilot-Systems sollten sich Unternehmen daher dringend einen Überblick über den aktuellen Stand ihrer IT-Sicherheitsarchitektur verschaffen. Dazu sollten nicht nur Microsoft 365, sondern auch alle anderen genutzten Programme, Apps, Dienste und Plugins überprüft werden. Microsoft selbst empfiehlt für Copilot die Einführung eines Zero-Trust-Modells.

Betriebsrat muss KI-Einsatz absegnen

Der Start ins KI-Zeitalter kann nicht allein von der Geschäftsführung oder der IT-Abteilung beschlossen werden. Da sich ein System wie Copilot signifikant auf Arbeitsabläufe und -verfahren auswirkt, muss allein in die Planung der Einführung oder für ein Pilotprojekt bereits ein vorhandener Betriebsrat einbezogen werden.

Da die KI-Systeme Leistung und Verhalten der Mitarbeiter und Mitarbeiterinnen überwachen können, hat der Betriebsrat ein Mitbestimmungsrecht, kann sogar die Schließung einer Betriebsvereinbarung zum Einsatz von KI fordern.

Mitarbeiter schulen

Der wohl wichtigste Schritt bei der Einführung des Copilot-Systems in Microsoft 365 ist die Schulung der Mitarbeiterinnen und Mitarbeiter. Dabei sollten folgende Punkte klar und verständlich an alle kommuniziert werden, die später mit Copilot arbeiten:

  • Die Aussagen der KI dürfen niemals ungeprüft übernommen werden. Microsoft selbst räumt ein: «Die Antworten, die generative KI erzeugt, sind nicht garantiert zu 100 % sachlich.» Diese etwas holprige Formulierung bedeutet: KI erfindet manchmal Informationen. Bevor man sich also auf die von Copilot gelieferten Daten verlässt, sollten diese immer unabhängig vom Copilot-System durch Mitarbeitenden überprüft werden. Denn Microsoft bietet die Copilot-Informationen nur im Rahmen der Best-Effort-Qualitätsrichtlinien an, übernimmt so keine Haftung für die Richtigkeit der Aussagen des Systems.
  • Die Nutzung von Copilot führt dazu, dass für jeden Nutzer ein sogenannter semantischer Index erstellt wird. Er dient dazu, in Zukunft Inhalte zu erstellen, die authentisch klingen und dem jeweiligen Stil des Nutzers entsprechen. Dazu analysiert die KI über mehrere Wochen die Eigenheiten und Gewohnheiten ihrer Nutzer.
  • Alle Anfragen an die KI werden zunächst gespeichert und können später jederzeit vom Nutzer (und von höheren Administratoren) in der Copilot-Interaktions-Historie eingesehen werden. Dies gilt nicht nur für Eingaben in Anwendungen wie Word, PowerPoint oder Excel, sondern auch für Teambesprechungen, in denen die automatische Transkriptionsfunktion von Copilot aktiviert wurde.
„Die Erstellung von individuellen Sprachprofilen für einzelne Nutzer kann mit dem EU-Datenschutz-Recht vereinbar sein, wenn einige Faktoren berücksichtigt und eingehalten werden. Copilot bietet verschiedene Möglichkeiten, die Erstellung von individuellen Sprachprofilen für einzelne Nutzer zu steuern und zu verwalten, zum Beispiel durch die Auswahl der Datenquellen, die Einstellung der Datenschutzebene und die Löschung, Einsehbarkeit und Korrigierbarkeit der Daten Daten durch den Nutzer.“

Oliver Teich (Strategic Consultant)

Mit Copilot bereit für die KI-Revolution

Copilot bietet großartige Möglichkeiten: Er vereinfacht alltägliche Büroarbeiten, erstellt automatisch Konferenzaufzeichnungen, gestaltet Präsentationen und bereitet Daten übersichtlich auf. Diese mächtigen Fähigkeiten bedeuten aber auch einen weitreichenden Eingriff in die Datenschutzstruktur eines Unternehmens.

Die Einführung des Copilot-Systems muss daher auf vielen Ebenen vorbereitet, begleitet und gesteuert werden. Nur wenn ein Unternehmen umfassend auf den KI-Assistenten vorbereitet ist, kann es die Möglichkeiten und Chancen des Systems voll ausschöpfen. Werden hingegen Fehler bei der Implementierung gemacht, drohen neben regulatorischen Problemen auch tatsächliche Datenschutzlecks in der Office-Architektur.

Begeistern Sie sich für Cloud-Anwendungen und Services aufgrund ihrer zahllosen Möglichkeiten oder fürchten Sie vor allem Datenlecks und Co.? Im aktuellen State of Cloud-Bericht erklärten 70 Prozent der befragten Unternehmen, dass bereits über die Hälfte ihrer IT-Infrastruktur in der Cloud betrieben werde. Gleichzeitig sind laut einer weiteren Umfrage in Unternehmen gar nicht genehmigt, weil Teams oder einzelne Mitarbeiter Online-Tools ohne Wissen und Genehmigung nutzen. Die Analysten von PwC nennen Cloud-Angriffe in diesem Zusammenhang das „größte Cyber-Risiko 2024“. Der Anteil der Firmen, die jüngst eine Datenschutzverletzung mit einer Schadenssumme über einer Million US-Dollar erlitten hätten, sei im Vergleich zum Vorjahr von 27 auf 36 Prozent gestiegen. Grund genug, das Thema Cloud-Plattform-Security in den Fokus zu rücken: Hierauf müssen Sie jetzt achten, um Daten, Systeme, Ruf und Mitarbeiter bestmöglich zu schützen.

Ausgangslage: Das sind die größten Gefahren für Cloud-Dienste und -Daten

Um Cloud-Infrastruktur verlässlich abzusichern, müssen zunächst einmal die Herausforderungen beleuchtet werden, die zu Datenlecks, Compliance-Problemen und immensen Kosten führen können. Derzeit lassen sich drei zentrale Trends ausmachen: Cloud Native Malware, Attacken auf Cloud-basierte KI-Plattformen und Software Supply Chain-Risiken. Public Clouds finden sich heute zwar in nahezu allen Bereichen, allerdings lassen Sicherheitsnetz und Implementierung oft zu wünschen übrig. IT-Teams sind deshalb gefordert, vorschnell aufgebaute oder schlecht konzipierte Cloud-Infrastrukturen zu überarbeiten, um sie effizienter, verlässlicher und kostengünstiger zu machen.

1. Risiko 1: Vorsicht vor Cloud Native Malware!

Mit der zunehmenden Vernetzung von Cloud-Diensten und wachsendem Datentransfer zwischen verschiedenen Cloud-Plattformen steigt auch das Risiko, Opfer Cloud-nativer Malware zu werden. Derartige Schadprogramme haben es speziell auf Cloud-Umgebungen abgesehen und nutzen Schwachstellen in Cloud-Infrastrukturen und -Anwendungen. Einige verbreiten sich über Cloud-Speicher und Collaboration-Tools.

Doch das ist noch nicht alles: Angriffsgefahr lauert auch in neuen Infrastrukturen, darunter Edge-Systeme für datenintensive Anwendungsfälle, Non-x86-Architekturen für spezielle Arbeitslasten, serverlose Edge-Architekturen und 5G-Mobilfunkdiensten.

2. Risiko 2: Fluch und Segen KI – Angriffe auf cloudbasierte KI-Plattformen

Ein weiterer Bereich, der in Sachen Cloud-Security immer wichtiger wird, ist – wen wundert’s – Künstliche Intelligenz. In einer weltweiten Umfrage von erklärte ein Drittel aller Befragten, dass ihre Unternehmen bereits regelmäßig generative KI einsetzen, Tendenz steigend. Dabei kann KI ein praktisches Werkzeug im Kampf gegen Security Threats sein. Andererseits setzen auch Angreifer vermehrt auf KI, um ihr Waffenarsenal zu erweitern und das Vertrauen auszunutzen, das Entwickler in automatisierte Systeme setzen. Für 2024 gehen Experten davon aus, dass KI-gesteuerte Angriffe zunehmen, was zu schneller Anpassung zwingt. Dies erfordert immer smartere KI-basierte Sicherheitsmaßnahmen, die nicht nur Bedrohungen in Echtzeit erkennen, sondern die sie auch vorhersagen und verhindern können.

3. Risiko 3: Software Supply Chain Risks

Doch das ist noch nicht alles, denn auch Angriffe auf die Lieferkette haben in den vergangenen Jahren an Bedeutung gewonnen. Stellen Sie sich vor, dass eine einzige Code-Zeile, versteckt in einem Framework, Ihre gesamte digitale Welt zum Stillstand bringt: Genau hierum geht es bei Software Supply Chain-Sicherheit. Wie bei jeder Lieferkette ist auch die Sicherheit Ihrer Software nur so stark wie das schwächste Glied im System. Immer mehr Unternehmen fallen Angriffen auf die Software-Lieferkette zum Opfer. Sind Nutzer und Assets kreuz und quer verteilt, erhöht dies das Risiko für Attacken zusätzlich. Hacker können entweder Supply Chains ausnutzen, um wichtige Einblicke zu gewinnen, oder sie können innerhalb von Lieferketten ihr Unwesen treiben. Cyber-Kriminelle konzentrieren sich vermehrt auf die Ausnutzung von Schwachstellen in Diensten von Drittanbietern, etwa in Software oder Code, die Produktion oder Continuous Integration (CI), Continuous Delivery oder Continuous Deployment (CD) maßgeblich mitbestimmen.

Die gute Nachricht: Die Analysten von prognostizieren, dass sich die weltweiten Ausgaben für Sicherheits- und Risikomanagement im Jahr 2024 auf 215 Milliarden US-Dollar belaufen werden, was einem Anstieg von 14,3 Prozent gegenüber 2023 entspricht. Unternehmen scheinen sich der Bedrohung also durchaus bewusst zu sein.

Die schlechte Nachricht: Experten der internationalen bemängeln unzureichende Cloud-Sicherheitsexpertise. 77 Prozent der Befragten der aktuellen Studie fühlen sich demnach nicht ausreichend auf Sicherheitsbedrohungen vorbereitet.

Es ist klar, dass die Cloud eine vollkommen andere Umgebung als eine On-Premise-Anwendung ist. Deshalb werden Cyber Security-Teams, die Sicherheitskontrollen kopieren und in die Cloud einfügen, ziemlich schnell feststellen, dass dieser Ansatz nicht funktioniert. Da die Cloud für Automatisierung und Geschwindigkeit prädestiniert ist, sind native Cloud-Sicherheits-Tools eine zentrale Voraussetzung. Derartige Tools erfordern jedoch Knowhow, denn ansonsten stehen Unternehmen bald vor Umgebungen, für deren Schutz ihre Teams nicht gerüstet sind. Es geht darum, Tools zu implementieren, die für Cloud-Umgebungen optimiert sind. Außerdem muss in Cloud Security-Trainings investiert werden. Hierzu gehört, aktuelle Richtlinien und Vorgaben zu kennen. Wir haben die Wichtigsten zusammengestellt.

Diese Sicherheitsrichtlinien und Vorgaben müssen Sie kennen

Die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorgaben, etwa innerhalb der EU, sind für Unternehmen, die Cloud-Services nutzen von entscheidender Bedeutung. Nur so lassen sich die Vertraulichkeit, Integrität und Verfügbarkeit wichtiger Daten gewährleisten und potenzielle Bußgelder und rechtliche Konsequenzen vermeiden.

  • Allgemeine Datenschutzverordnung (DSGVO): Die DSGVO oder Datenschutzgrundverordnung trat 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, ganz gleich, wo sich das Unternehmen befindet. Die DSGVO legt strenge Anforderungen an die Sicherheit personenbezogener Daten fest, einschließlich der Datenverarbeitung in der Cloud. Cloud-Dienstleister müssen angemessene Sicherheitsmaßnahmen implementieren, um die Anforderungen der DSGVO zu erfüllen.
  • NIS-Richtlinie: Die Richtlinie über die Netz- und Informationssicherheit, kurz NIS, ist ein EU-Gesetz, das darauf abzielt, die Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union zu stärken. Sie verpflichtet Betreiber zentraler Dienste sowie Anbieter digitaler Dienste, angemessene Sicherheitsvorkehrungen zu treffen, um die Cyber-Sicherheit zu gewährleisten. Dies schließt die Sicherung von Cloud-Infrastrukturen ein, die für die Bereitstellung dieser Dienste genutzt werden.
  • ISO/IEC 27001: Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Obwohl sie keine gesetzliche Vorgabe ist, wird sie häufig als Best Practice-Richtlinie für die Sicherung von Informationen und Daten in Unternehmen verwendet. Viele europäische Unternehmen, die Cloud-Services nutzen, verlangen von ihren Cloud-Dienstleistern eine ISO/IEC 27001-Zertifizierung, um sicherzustellen, dass angemessene Sicherheitskontrollen implementiert sind.
  • Cloud-Sicherheitszertifizierungen: Hinzukommen verschiedene Cloud-Sicherheitszertifizierungen, die von europäischen Behörden und Organisationen entwickelt wurden, um die Sicherheit von Cloud-Diensten zu bewerten und zu gewährleisten. Beispiele sind das Cloud Security Alliance (CSA) STAR-Zertifizierungsprogramm und das EuroCloud Star Audit. Sie helfen bei der Auswahl vertrauenswürdiger Cloud-Anbieter, die hohe Sicherheitsstandards erfüllen.
  • Nationale Gesetze und regulatorische Anforderungen: Zusätzlich zu den EU-weiten Richtlinien haben einzelne europäische Länder spezifische nationale Gesetze und regulatorische Anforderungen, die die Sicherheit von Cloud-Services betreffen. Sie sollten diese lokalen Vorschriften gut kennen und sicherstellen, dass Ihre Cloud-Infrastrukturen den jeweiligen Anforderungen entsprechen. Beispiele für Deutschland: Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten in Deutschland. Das IT-Sicherheitsgesetz 2.0 ist eine Erweiterung des IT-Sicherheitsgesetzes und zielt darauf ab, die Sicherheit kritischer Infrastrukturen in Deutschland zu stärken. Die Technische Richtlinie BSI TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt Empfehlungen für den sicheren Einsatz von Cloud-Diensten in deutschen Behörden und Organisationen des Bundes.

Fazit Cloud Platform Security

Ein gut geplantes Benutzermanagement, Richtlinienkonformität, flankierende Security-Tools und Cloud-Adoption-Strategien helfen, Daten und Geräte in der Cloud 2024 und darüber hinaus verlässlich kontrollieren zu können. Damit die Cloud nur Gutes mit sich bringt und nicht zur datenfressenden Gewitterwolke mutiert, lohnt es sich, auf fundierte Expertise zu setzen.