Begeistern Sie sich für Cloud-Anwendungen und Services aufgrund ihrer zahllosen Möglichkeiten oder fürchten Sie vor allem Datenlecks und Co.? Im aktuellen State of Cloud-Bericht erklärten 70 Prozent der befragten Unternehmen, dass bereits über die Hälfte ihrer IT-Infrastruktur in der Cloud betrieben werde. Gleichzeitig sind laut einer weiteren Umfrage in Unternehmen gar nicht genehmigt, weil Teams oder einzelne Mitarbeiter Online-Tools ohne Wissen und Genehmigung nutzen. Die Analysten von PwC nennen Cloud-Angriffe in diesem Zusammenhang das „größte Cyber-Risiko 2024“. Der Anteil der Firmen, die jüngst eine Datenschutzverletzung mit einer Schadenssumme über einer Million US-Dollar erlitten hätten, sei im Vergleich zum Vorjahr von 27 auf 36 Prozent gestiegen. Grund genug, das Thema Cloud-Plattform-Security in den Fokus zu rücken: Hierauf müssen Sie jetzt achten, um Daten, Systeme, Ruf und Mitarbeiter bestmöglich zu schützen.
Ausgangslage: Das sind die größten Gefahren für Cloud-Dienste und -Daten
Um Cloud-Infrastruktur verlässlich abzusichern, müssen zunächst einmal die Herausforderungen beleuchtet werden, die zu Datenlecks, Compliance-Problemen und immensen Kosten führen können. Derzeit lassen sich drei zentrale Trends ausmachen: Cloud Native Malware, Attacken auf Cloud-basierte KI-Plattformen und Software Supply Chain-Risiken. Public Clouds finden sich heute zwar in nahezu allen Bereichen, allerdings lassen Sicherheitsnetz und Implementierung oft zu wünschen übrig. IT-Teams sind deshalb gefordert, vorschnell aufgebaute oder schlecht konzipierte Cloud-Infrastrukturen zu überarbeiten, um sie effizienter, verlässlicher und kostengünstiger zu machen.
1. Risiko 1: Vorsicht vor Cloud Native Malware!
Mit der zunehmenden Vernetzung von Cloud-Diensten und wachsendem Datentransfer zwischen verschiedenen Cloud-Plattformen steigt auch das Risiko, Opfer Cloud-nativer Malware zu werden. Derartige Schadprogramme haben es speziell auf Cloud-Umgebungen abgesehen und nutzen Schwachstellen in Cloud-Infrastrukturen und -Anwendungen. Einige verbreiten sich über Cloud-Speicher und Collaboration-Tools.
Doch das ist noch nicht alles: Angriffsgefahr lauert auch in neuen Infrastrukturen, darunter Edge-Systeme für datenintensive Anwendungsfälle, Non-x86-Architekturen für spezielle Arbeitslasten, serverlose Edge-Architekturen und 5G-Mobilfunkdiensten.
2. Risiko 2: Fluch und Segen KI – Angriffe auf cloudbasierte KI-Plattformen
Ein weiterer Bereich, der in Sachen Cloud-Security immer wichtiger wird, ist – wen wundert’s – Künstliche Intelligenz. In einer weltweiten Umfrage von erklärte ein Drittel aller Befragten, dass ihre Unternehmen bereits regelmäßig generative KI einsetzen, Tendenz steigend. Dabei kann KI ein praktisches Werkzeug im Kampf gegen Security Threats sein. Andererseits setzen auch Angreifer vermehrt auf KI, um ihr Waffenarsenal zu erweitern und das Vertrauen auszunutzen, das Entwickler in automatisierte Systeme setzen. Für 2024 gehen Experten davon aus, dass KI-gesteuerte Angriffe zunehmen, was zu schneller Anpassung zwingt. Dies erfordert immer smartere KI-basierte Sicherheitsmaßnahmen, die nicht nur Bedrohungen in Echtzeit erkennen, sondern die sie auch vorhersagen und verhindern können.
3. Risiko 3: Software Supply Chain Risks
Doch das ist noch nicht alles, denn auch Angriffe auf die Lieferkette haben in den vergangenen Jahren an Bedeutung gewonnen. Stellen Sie sich vor, dass eine einzige Code-Zeile, versteckt in einem Framework, Ihre gesamte digitale Welt zum Stillstand bringt: Genau hierum geht es bei Software Supply Chain-Sicherheit. Wie bei jeder Lieferkette ist auch die Sicherheit Ihrer Software nur so stark wie das schwächste Glied im System. Immer mehr Unternehmen fallen Angriffen auf die Software-Lieferkette zum Opfer. Sind Nutzer und Assets kreuz und quer verteilt, erhöht dies das Risiko für Attacken zusätzlich. Hacker können entweder Supply Chains ausnutzen, um wichtige Einblicke zu gewinnen, oder sie können innerhalb von Lieferketten ihr Unwesen treiben. Cyber-Kriminelle konzentrieren sich vermehrt auf die Ausnutzung von Schwachstellen in Diensten von Drittanbietern, etwa in Software oder Code, die Produktion oder Continuous Integration (CI), Continuous Delivery oder Continuous Deployment (CD) maßgeblich mitbestimmen.
Die gute Nachricht: Die Analysten von prognostizieren, dass sich die weltweiten Ausgaben für Sicherheits- und Risikomanagement im Jahr 2024 auf 215 Milliarden US-Dollar belaufen werden, was einem Anstieg von 14,3 Prozent gegenüber 2023 entspricht. Unternehmen scheinen sich der Bedrohung also durchaus bewusst zu sein.
Die schlechte Nachricht: Experten der internationalen bemängeln unzureichende Cloud-Sicherheitsexpertise. 77 Prozent der Befragten der aktuellen Studie fühlen sich demnach nicht ausreichend auf Sicherheitsbedrohungen vorbereitet.
Es ist klar, dass die Cloud eine vollkommen andere Umgebung als eine On-Premise-Anwendung ist. Deshalb werden Cyber Security-Teams, die Sicherheitskontrollen kopieren und in die Cloud einfügen, ziemlich schnell feststellen, dass dieser Ansatz nicht funktioniert. Da die Cloud für Automatisierung und Geschwindigkeit prädestiniert ist, sind native Cloud-Sicherheits-Tools eine zentrale Voraussetzung. Derartige Tools erfordern jedoch Knowhow, denn ansonsten stehen Unternehmen bald vor Umgebungen, für deren Schutz ihre Teams nicht gerüstet sind. Es geht darum, Tools zu implementieren, die für Cloud-Umgebungen optimiert sind. Außerdem muss in Cloud Security-Trainings investiert werden. Hierzu gehört, aktuelle Richtlinien und Vorgaben zu kennen. Wir haben die Wichtigsten zusammengestellt.
Diese Sicherheitsrichtlinien und Vorgaben müssen Sie kennen
Die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorgaben, etwa innerhalb der EU, sind für Unternehmen, die Cloud-Services nutzen von entscheidender Bedeutung. Nur so lassen sich die Vertraulichkeit, Integrität und Verfügbarkeit wichtiger Daten gewährleisten und potenzielle Bußgelder und rechtliche Konsequenzen vermeiden.
- Allgemeine Datenschutzverordnung (DSGVO): Die DSGVO oder Datenschutzgrundverordnung trat 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, ganz gleich, wo sich das Unternehmen befindet. Die DSGVO legt strenge Anforderungen an die Sicherheit personenbezogener Daten fest, einschließlich der Datenverarbeitung in der Cloud. Cloud-Dienstleister müssen angemessene Sicherheitsmaßnahmen implementieren, um die Anforderungen der DSGVO zu erfüllen.
- NIS-Richtlinie: Die Richtlinie über die Netz- und Informationssicherheit, kurz NIS, ist ein EU-Gesetz, das darauf abzielt, die Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union zu stärken. Sie verpflichtet Betreiber zentraler Dienste sowie Anbieter digitaler Dienste, angemessene Sicherheitsvorkehrungen zu treffen, um die Cyber-Sicherheit zu gewährleisten. Dies schließt die Sicherung von Cloud-Infrastrukturen ein, die für die Bereitstellung dieser Dienste genutzt werden.
- ISO/IEC 27001: Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Obwohl sie keine gesetzliche Vorgabe ist, wird sie häufig als Best Practice-Richtlinie für die Sicherung von Informationen und Daten in Unternehmen verwendet. Viele europäische Unternehmen, die Cloud-Services nutzen, verlangen von ihren Cloud-Dienstleistern eine ISO/IEC 27001-Zertifizierung, um sicherzustellen, dass angemessene Sicherheitskontrollen implementiert sind.
- Cloud-Sicherheitszertifizierungen: Hinzukommen verschiedene Cloud-Sicherheitszertifizierungen, die von europäischen Behörden und Organisationen entwickelt wurden, um die Sicherheit von Cloud-Diensten zu bewerten und zu gewährleisten. Beispiele sind das Cloud Security Alliance (CSA) STAR-Zertifizierungsprogramm und das EuroCloud Star Audit. Sie helfen bei der Auswahl vertrauenswürdiger Cloud-Anbieter, die hohe Sicherheitsstandards erfüllen.
- Nationale Gesetze und regulatorische Anforderungen: Zusätzlich zu den EU-weiten Richtlinien haben einzelne europäische Länder spezifische nationale Gesetze und regulatorische Anforderungen, die die Sicherheit von Cloud-Services betreffen. Sie sollten diese lokalen Vorschriften gut kennen und sicherstellen, dass Ihre Cloud-Infrastrukturen den jeweiligen Anforderungen entsprechen. Beispiele für Deutschland: Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten in Deutschland. Das IT-Sicherheitsgesetz 2.0 ist eine Erweiterung des IT-Sicherheitsgesetzes und zielt darauf ab, die Sicherheit kritischer Infrastrukturen in Deutschland zu stärken. Die Technische Richtlinie BSI TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt Empfehlungen für den sicheren Einsatz von Cloud-Diensten in deutschen Behörden und Organisationen des Bundes.
Fazit Cloud Platform Security
Ein gut geplantes Benutzermanagement, Richtlinienkonformität, flankierende Security-Tools und Cloud-Adoption-Strategien helfen, Daten und Geräte in der Cloud 2024 und darüber hinaus verlässlich kontrollieren zu können. Damit die Cloud nur Gutes mit sich bringt und nicht zur datenfressenden Gewitterwolke mutiert, lohnt es sich, auf fundierte Expertise zu setzen.