Cloud Platform Security Archive - SITS

In wenigen Wochen steht der Jahreswechsel an – ein guter Zeitpunkt, um auf ein ereignisreiches Jahr 2024 zurückzublicken.

Die vergangenen Monate waren geprägt von zahlreichen Meldungen, die das Thema Cyber-Kriminalität in den Fokus der breiten Öffentlichkeit gerückt haben. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jüngsten Bericht zur IT-Sicherheitslage, der auf den Daten des AV-TEST Instituts (Mitglied der SITS Group) basiert, erneut eine erhöhte Bedrohungslage für Deutschland festgestellt. Als größte operative Bedrohung der IT-Sicherheit gelten Ransomware-Angriffe. Die zunehmende globale Vernetzung und Abhängigkeiten in den Lieferketten vergrößern zudem die Angriffsfläche erheblich. Diese Beobachtungen decken sich mit den Cyber Security-Trends, die im Microsoft Digital Defense Report 2024 analysiert werden. Der im Oktober veröffentlichte Bericht liefert einige eindrucksvolle Zahlen, die jedem Entscheidungsverantwortlichen im Bereich IT-Sicherheit zu denken geben sollten:

  • Passwortbasierte Angriffe: Laut Digital Defense Report zielen mehr als 99 % der Identitätsangriffe auf Passwörter ab. Diese Angriffe machen sich häufig vorhersehbare menschliche Verhaltensweisen zunutze, etwa leicht zu erratende Kennwörter und deren Wiederverwendung auf mehreren Websites.
  • Phishing und Social Engineering: Diese Methoden werden häufig eingesetzt, um Anmeldeinformationen zu stehlen. Angreifer nutzen dabei gefälschte E-Mails oder Webseiten, um Benutzer dazu zu bringen, ihre Zugangsdaten preiszugeben.
  • Ransomware-Angriffe: Deutschland war im Jahr 2024 eines der am stärksten von Ransomware betroffenen Länder. Besonders im Fokus standen kritische Infrastrukturen, vor allem Unternehmen im Bereich IT-Services, Finanzen und Versicherungen sowie im Gesundheits- und Energiesektor.
  • DDoS-Angriffe: Deutschland verzeichnete eine hohe Anzahl von DDoS-Angriffen und steht damit gleich nach den USA an zweiter Stelle der am häufigsten betroffene Länder. Diese Angriffe zielen darauf ab, die Verfügbarkeit von Diensten und damit die Business Continuity zu stören, indem sie Netzwerke mit einer Flut von Anfragen überlasten.

Cyber-Bedrohungen sind real – aber handhabbar

Cyber-Angriffe zählen im digitalen Zeitalter zu den vielen Herausforderungen, mit denen Unternehmen in der Privatwirtschaft und Einrichtungen des öffentlichen Sektors zu tun haben. Und als genau das sollten wir sie auch begreifen: eine unternehmerische Herausforderung, die wir gezielt angehen.

Tatsache ist: Kreativität und Innovationskraft von kriminellen Akteuren sind hoch. Deshalb muss zum einen die Reaktion von Sicherheitsbeauftragten und Verteidigungsteams durchdacht und strategisch sein, und zum anderen braucht es in jedem Unternehmen eine aktive Monitoring- und Abwehrstrategie, die sämtliche Mitarbeitende, alle verwendeten Geräte, Systeme und Anwendungen sowie die Gesamtheit des Firmennetzwerks einschließt.

Betrachten wir beispielhaft Ransomware-Angriffe: Die Bedrohung ist real, und solche Angriffe sorgen aufgrund ihrer breiten Auswirkungen für Schlagzeilen – etwa wegen hoher Lösegeldforderungen oder empfindlichen Betriebsunterbrechungen. Dabei ist wichtig zu wissen: In den meisten Fällen sind Angriffe mit Ransomware bereits die zweite Phase, die sich aus einer Kompromittierung von digitalen Identitäten ergibt. Wenn Sie also den gemeinsamen Nenner der vielen aufmerksamkeitsstarken Schlagzeilen suchen, werden Sie feststellen, dass Identitäten bei den meisten Cyber-Angriffstechniken das Einfallstor Nummer eins sind. Das zeigt, wie wichtig es ist, in Sachen Nutzeridentitäten mit ausgefeilten technischen Sicherheitsmaßnahmen am Ball zu bleiben.

Angriffe auf die Identitätsinfrastruktur: ein sinnbildliches Wellenmodell

Identitätsangriffe lassen sich gut anhand von Wellen visualisieren. Stellen Sie sich die verschiedenen Angriffsarten als einzelne Ozeanwellen vor, die in der Brandung immer stärker werden und sich zu einer „Monsterwelle“ auftürmen können:

Im Folgenden skizzieren wir für jede Welle die entsprechenden Komponenten und deren Eigenschaften. Ergänzend ist festzuhalten, dass es neben der passenden Technologie auch auf ihre „Navigatoren“ – die Admins und User – ankommt sowie auf deren Agilität. Erst durch einen wirklich flexiblen Ansatz können Organisationen mit der nächsten „Monsterwelle“ fertigwerden.

Wir hoffen, dass dieses Framing für Sie ein guter Ausgangspunkt ist, um einen gemeinsamen strategischen Ansatz zu entwickeln, mit dem Sie kritische Identity-Probleme angehen, sich auf neue Bedrohungen vorbereiten und eine passende Lösung für die Absicherung und Verteidigung Ihrer Nutzeridentitäten etablieren können. Dabei stehen wir Ihnen jederzeit gern zur Seite!

Als Plattform für eine moderne Identitäts- und Zugriffsverwaltung empfehlen wir Microsoft Entra. Gestalten Sie mit unseren Experten eine zukunftsweisende Lösung, um in der digitalen Welt von heute das entscheidende Plus an Sicherheit zu gewinnen!

Passwortangriffe

Einfache Passwortangriffe sind allgegenwärtig. Die drei dominierenden Angriffsarten sind:

  • Phishing: Die Phishing-Methoden und -Tricks werden immer raffinierter, sodass sich selbst aufgeklärte User dazu verleiten lassen, ihre Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail zu übermitteln.
  • Breach Replay: Hierbei verwenden Angreifer gestohlene Anmeldeinformationen (Benutzername und Passwort) aus früheren Datenlecks, um sich bei anderen Diensten anzumelden. Dies ist möglich, weil viele User dieselben Anmeldeinformationen auf mehreren Websites verwenden.
  • Passwort Spray: Mit dieser Vorgehensweise – dem Erraten gängiger Passwörter – ist es für böswillige Akteure leicht möglich, viele Konten zu kapern.

Diese Angriffe sind hochskalierbar. Allein in den Microsoft Cloud-Diensten werden weltweit pro Sekunde mehr als 7.000 Passwortangriffe abgewehrt. Auffällig dabei: Bei über 99,9 % der kompromittierten Konten war keine Multi-Faktor-Authentifizierung (MFA) aktiviert. MFA gilt heute als eine der grundlegendsten Abwehrmaßnahmen für Identitätsangriffe. Sie ist Teil von Microsoft Entra ID (früher Azure Active Directory) und entsprechend einfach bereitzustellen – doch in vielen Organisationen fehlt es an dem Bewusstsein, wie groß (und unverzichtbar!) der Beitrag von MFA zu einer effektiven Sicherheitsstrategie tatsächlich ist. Die entsprechend niedrige Abdeckung öffnet so Angreifern Tür und Tor.

Diese verbesserungswürdige Akzeptanzrate ist zugleich ein Beispiel für ein zentrales Problem: In den meisten Unternehmen sind die Budgets und Ressourcen knapp bemessen und die Sicherheitsteams überfordert, sodass Basismaßnahmen für bessere Cyber-Hygiene immer wieder unkoordiniert versanden. Dabei ist die moderne Multi-Faktor-Authentifizierung mittels Apps oder Token so einfach wie nie zuvor – und für die User reibungsarm oder sogar „unsichtbar“. Bei Microsoft Entra ID ist MFA in allen Lizenzen enthalten, tief in die Verzeichnislösung integriert und ohne zusätzlichen Verwaltungsaufwand einsetzbar.

MFA-Angriffe

Das oben Beschriebene trifft nicht auf Sie zu, da Sie bereits die Multi-Faktor-Authentifizierung aktiviert haben? Perfekt, somit haben Sie den dominierenden Identitätsangriffen bereits effektiv einen Riegel vorgeschoben. Doch Cyber-Kriminelle sind findig – und sie schießen sich auch auf Ziele ein, die hinter der MFA-Barriere liegen. Und dazu greifen sie die Multi-Faktor-Authentifizierung selbst an.

Einige Beispiele:

  • SIM Jacking und andere telefoniebasierte Angriffe (weshalb unser Tipp ist, bei einem Anruf mit einer angeblichen MFA-Verifizierung gleich aufzulegen).
  • MFA-Ermüdung durch   – ein ständiges Senden von Authentifizierungsanfragen, um den Benutzer zu frustrieren oder zu verwirren (weshalb unser Tipp ist, keine einfachen Genehmigungsverfahren anzuwenden).
  • Adversary in the Middle-Angriffe, bei denen Benutzer dazu verleitet werden, eine Interaktion mit der Multi-Faktor-Authentifizierung durchzuführen. Darum ist eine Phishing-resistente Authentifizierung von entscheidender Bedeutung, insbesondere für wichtige Ressourcen in Ihrer Organisation.

Solche Attacken erfordern natürlich mehr Aufwand und Investitionen seitens der Angreifer, sodass ihre Anzahl derzeit noch deutlich geringer ist als klassische Passwortangriffe. Jedoch sollten Sie sich bewusst sein, dass alle genannten Angriffsarten zunehmen. Je weiter die MFA-Durchdringung voranschreitet, desto häufiger wird es auch zu Angriffen auf dieser Sicherheitsebene kommen. Um sie abzuwehren, ist es entscheidend, nicht bloß eine Multi-Faktor-Authentifizierung zu verwenden, sondern die richtige. Wir empfehlen ein Zusammenspiel aus einer Authenticator-App, Windows Hello und FIDO (Fast IDentity Online). Dies ist über die Microsoft Entra-Plattform einfach einzurichten, zu warten, und für die User ergibt sich ein durchgängiges Anwendererlebnis, das die Produktivität nicht beeinträchtigt.

Angriffe nach erfolgter Authentifizierung

Entschlossene Angreifer verwenden Malware auch, um Token von Geräten zu stehlen. So kann ein an sich validierter Benutzer eine korrekte Multi-Faktor-Authentifizierung auf einem genehmigten Gerät durchführen, doch dann werden mithilfe von Credential-Stealern Cookies und Token entwendet und an anderer Stelle genutzt. Diese Methode ist seit etwa drei Jahren immer häufiger zu beobachten und kam in der jüngeren Vergangenheit vor allem bei Angriffen auf hochkarätige Ziele zum Einsatz. Token können auch gestohlen werden, wenn sie falsch protokolliert oder von einer kompromittierten Routing-Infrastruktur abgefangen werden; doch der bei weitem häufigste Mechanismus ist Malware auf einem Gerät.

Wenn sich ein Benutzer als Administrator auf einem Computer anmeldet, ist er sozusagen nur einen Klick vom Token-Diebstahl entfernt. Zentrale Zero Trust-Prinzipien wie effektiver Endpunktschutz, Device Management und vor allem die Verwendung des Zugriffs mit den geringstmöglichen Berechtigungen (etwa eine reine Anmeldung als Benutzer und nicht als Administrator auf Ihren Computern) sind sehr funktionale Verteidigungsmaßnahmen. Achten Sie auf Signale, die auf Token-Diebstahl hinweisen, und fordern Sie eine erneute Authentifizierung für kritische Szenarien an – etwa beim Enrollment neuer Devices in einem Netzwerk.

Ein weiterer Angriff, der ähnlich indirekt erfolgt, ist OAuth Consent Phishing. Bei dieser Methode bringen Kriminelle einen bestehenden Benutzer dazu, einer Anwendung in seinem Namen die Berechtigung für den Zugriff zu erteilen. Angreifer senden einen Link, in dem sie um Zustimmung bitten („Consent Phishing“), und wenn der Benutzer auf den Angriff hereinfällt, kann die Anwendung folglich jederzeit auf die Daten des Benutzers zugreifen. Wie andere Angriffe in dieser Kategorie sind sie selten, nehmen aber zu. Wir empfehlen dringend, zu überprüfen, in welche Anwendungsnutzung Ihre Mitarbeitenden einwilligen, und die Einwilligung auf Anwendungen von verifizierten Herausgebern zu beschränken.

Tipp: Schärfen Sie mit Security-Awareness-Trainings das Bewusstsein Ihrer Belegschaft für Sicherheitsrisiken!

Kompromittierung der Infrastruktur

Je effektiver Sie die Identitätsverwaltung nutzen, um Ihre Organisation zu schützen und eigene Zero Trust-Richtlinien umzusetzen, desto eher richten Angreifer ihre Energie auf die Identitätsinfrastruktur selbst. Ihre Hebel sind dabei vor allem veraltete, ungepatchte oder anderweitig unsichere Schwachstellen in lokalen Netzwerken. So gelangen sie an Interna und Geschäftsgeheimnisse, können Verbundserver kompromittieren oder die Infrastruktur, auf die eine Organisation sich verlässt, anderweitig unterminieren. Dieser Mechanismus ist heimtückisch, da die Angreifer den Zugang zudem oft nutzen, um ihre Spuren zu verwischen. Verlieren Sie die Kontrolle über Ihre Identitäts- und Zugriffsverwaltung, wird es unglaublich schwierig, einen Akteur wieder aus Ihrem Netzwerk zu vertreiben.

Die „Monsterwelle“ brechen

Unser SITS-Expertenteam unterstützt Unternehmen bei der Gestaltung und Bereitstellung einer modernen Identitätsinfrastruktur. Und eines der häufigsten Probleme, die wir beobachten, liegt in dem zunehmenden Volumen und der zunehmenden Intensität von Angriffen: On-Premises und in der Cloud. Technologie erweist sich hier wie so oft als Hebel, um menschliches Können und Fachwissen effektiv zu ergänzen. Investieren Sie weise, und profitieren Sie langfristig.

Die Microsoft Entra-Plattform vereint eine beeindruckende Breite und Tiefe von Sicherheitssignalen und wird zudem ständig um neue Detektions- und Schutzmechanismen für Hybrid- und Multi-Cloud-Umgebungen erweitert. Auch deshalb empfehlen wir sie – als zukunftsfähige und mitwachsende Lösung.

Ein weiterer Tipp ist, sich perspektivisch von älteren On-Premises-Bereitstellungen zu lösen. Diese sind viel schwieriger vor Malware, lateralen Bewegungen und neuen Bedrohungen zu schützen als cloudbasierte Deployments.

Und nicht zuletzt sollten Sie eng mit Ihrem Sicherheitsteam zusammenarbeiten, um dafür zu sorgen, dass privilegierte Nutzerkonten (wie Administratoren) und lokale Server einer besonders engmaschigen Prüfung unterzogen werden. Ebenso sollten Sie den Fokus auch auf nicht-menschliche Identitäten (wie Geräte und Sensoren) sowie die gesamte Infrastruktur richten, in der digitale Identitäten gespeichert und verwaltet werden, um jegliche potenzielle Lücke in Ihrer Sicherheitskette zu schließen.

Gute Vorsätze für 2025 und darüber hinaus

Ganz gleich, ob Sie Administrator in einem großen Unternehmen sind oder gerade erst ein Start-up aus Ihrer Garage heraus gründen: Der Schutz der Benutzeridentitäten ist von entscheidender Bedeutung. Wenn Sie wissen, wer zu welchem Zweck auf Ihre Ressourcen zugreift, schaffen Sie eine Sicherheitsgrundlage, auf der alles andere aufbauen kann.

Wie wäre es mit ein paar guten Neujahrsvorsätzen für Ihre Identity-Security-Initiative?

  1. Schützen Sie alle Ihre Benutzerinnen und Benutzer durch Multi-Faktor-Authentifizierung – immer. Beispielsweise mit einer Authenticator-App, Windows Hello und Fast IDentity Online (FIDO).
  2. Wenden Sie Conditional-Access-Regeln auf Ihre Anwendungen an, um sich vor anwendungsbasierten Angriffen zu schützen.
  3. Verwenden Sie Richtlinien für Mobile Device Management und Endpoint Protection, insbesondere um die Ausführung als Administrator auf Geräten zu unterbinden und so Angriffe durch Token-Diebstahl zu verhindern.
  4. Stärken Sie die Zusammenarbeit in Ihrem Sicherheitsteam, damit alle an einem Strang ziehen, um Ihre Identitätsinfrastruktur zu schützen.
  5. Setzen Sie auf Agilität – mit einem Cloud First-Ansatz, einer adaptiven Authentifizierung und Automatisierungen, sodass Sie in Krisenzeiten reaktionsschneller sind.

Jede dieser Empfehlungen hat für sich genommen schon einen Wert, aber zusammengenommen ergeben sie das Bild eines echten Defense in Depth-Ansatzes. Unsere Experten stehen Ihnen zur Seite, um mehrere Verteidigungsebenen aufzubauen und Kompromittierungen Ihrer Nutzeridentitäten vorzubeugen: mit einer Optimierung Ihrer Identitäts- und Zugriffsverwaltung und bei Bedarf angereichert um weitere Bausteine wie Endpunktschutz, automatisierte Incident Response und Posture-Agilität.

Warum SITS?

SITS unterstützt Sie nicht nur bei der Implementierung von Microsoft Entra, sondern liefert maßgeschneiderte Beratung und End to End-Modernisierungsstrategien; und umfassende Managed Services, damit Ihre Identity Management-Systeme optimal in Bezug auf Sicherheit, Effizienz und Compliance betrieben werden.

Unser 24/7 Managed Service umfasst:

  • Beratender Ansatz: Wir begleiten Sie bei jedem Schritt, von der Strategie bis zur Umsetzung, und sorgen für blitzschnelle Übergänge von Legacy-Systemen wie SAP IdM.
  • 360° Managed Services: Unser Team überwacht, wartet und optimiert kontinuierlich Ihr Identity-Management-System und bietet 24/7-Support.
  • Bewährte Expertise: Mit langjähriger Erfahrung in der Identity Governance sorgt SITS für eine Integration in Ihre bestehenden Systeme und bietet zukunftssichere Lösungen nach Branchenstandards.
Sprechen Sie uns an!

Die digitale Welt ist nicht nur hoch komplex, sondern auch potenziell unsicher geworden. Jeder Benutzer und jede Benutzerin steht tagtäglich vor unzähligen Entscheidungen, ob einer Online-Ressource, einem Webseiten-Inhalt oder einem E-Mail-Absender wirklich zu trauen ist. Denn vereinfacht gesagt, lassen sich Sicherheitsverletzungen, Datenlecks und Identitätsdiebstahl allzu häufig auf nur einen unachtsamen Moment zurückführen: Ein User klickt auf einen verseuchten Link in einer Phishing-Mail und öffnet Hackern dadurch sprichwörtlich Tür und Tor.

Angriffe auf Identitäten nehmen Jahr für Jahr an Zahl, Komplexität und Raffinesse zu:
99
%
der Identity-Angriffe sind Passwort-Angriffe.*
600
Mio.
Identity-Angriffe pro Tag*
7000
Passwort-Angriffe pro Sekunde*

*Quelle: Microsoft Digital Defense Report 2024

Fakt ist: Ein geschützter Zugang zu Ressourcen ist von entscheidender Bedeutung. Und dieser führt über eine wasserdichte Absicherung von Nutzerkonten – den „Identitäten“. Wenn es gelingt, dem Phänomen der gestohlenen oder kompromittierten Anmeldeinformationen einen Riegel vorzuschieben, verringert sich somit das Risiko von erfolgreichen Cyber-Angriffen erheblich.

Wir stellen vor: Microsoft Entra für zuverlässige Identitäts- und Zugriffsverwaltung

Als Plattform für eine moderne IAM-Lösung empfehlen wir Microsoft Entra. Microsoft Entra ist die Bezeichnung für eine Produktfamilie von Microsoft, die umfassende Lösungen für die Identitäts- und Zugriffsverwaltung bzw. Identity and Access Management (IAM) bietet.

Expertenberatung und Produkt-Know-how: Gestalten Sie mit dem Modernisierungsansatz von SITS eine zukunftsweisende IAM-Lösung, um in einer vernetzten Welt das entscheidende Plus an Sicherheit zu gewinnen!

Mit Microsoft Entra können Unternehmen den Zugang zu Anwendungen und digitalen Ressourcen für alle Benutzerkonten sicherstellen und überprüfen. Dies schließt sowohl interne User, also die Mitarbeitenden, als auch externe User, wie Kunden und Geschäftspartner als „Gäste“, in ihrem Netzwerk ein.

Doch Entra geht noch einen Schritt weiter: Es bezieht auch Endpunkte und Netzwerke ein, um ganzheitliche Zugriffsrichtlinien gestalten zu können.

„Wer darf mit welchem Gerät worauf, wann und wie lange zugreifen?“ – Das ist die entscheidende Frage, die sich Unternehmen stellen sollten. Was bedeutet das im Einzelnen?

• Wer: interner/externer User
• Mit welchem Gerät: nur mit dem richtigen Compliance-Status
• Worauf: digitale Ressourcen in Ihrem Netzwerk wie Anwendungen, Dateien und Daten
• Wann und wie lange: Just-in-time-Zugriff, kein „Standing Access“

Die Entra-Produkte stellen zudem sicher, dass nur autorisierte Benutzerinnen und Benutzer auf sensible Daten zugreifen können. Und das ist der nächste wichtige Schritt: die Authentifizierung. Denn erst eine korrekte Authentifizierung der Identität eines Users ermöglicht die Autorisierung, um auf eine Ressource zuzugreifen.

Die Komponenten für den sicheren Zugriff „von allen auf alles“ im Überblick

Sämtliche Lösungen in der Entra-Familie zielen darauf ab, den Zugang zu Ihren internen Anwendungen, Systemen und Geschäftsdaten zu schützen und zu vereinfachen. Nachfolgend werden die einzelnen Bausteine erklärt:

Zero-Trust-Zugriffskontrollen
Microsoft Entra ID (früher unter der Produktbezeichnung Azure Active Directory oder Azure AD bekannt): Setzen Sie das Zero-Trust-Prinzip „Vertraue niemandem – verifiziere alles!“ mit Entra ID als IAM-Lösung und Verzeichnisdienst um – ohne die Benutzerproduktivität zu beeinträchtigen. Bieten Sie Ihren Nutzerinnen und Nutzern die Möglichkeit, sich nahtlos mit ihren Anwendungen, Geräten und Daten zu verbinden und sichern Sie gleichzeitig Ihre Ressourcen und Daten mit starker Authentifizierung und adaptiven risikobasierten Zugriffsrichtlinien ab.

Sicherer Zugriff für Ihre Mitarbeitenden
Microsoft Entra Private Access: Verbinden Sie Remote-User von jedem Gerät und Netzwerk aus schnell und sicher mit Ihren Apps – On-Premises, in Clouds und überall dazwischen.
Microsoft Entra Internet Access: Bieten Sie für Ihre hybride Belegschaft sicheren, schnellen und identitätszentrierten Zugriff auf Web-, SaaS- (Software-as-a-Service) und Microsoft 365-Anwendungen.
Microsoft Entra ID Governance: Automatisieren Sie den Lebenszyklus von Nutzeridentitäten und reduzieren Sie so den manuellen Arbeitsaufwand für das IT-Team. Zudem profitieren Sie von KI-basierten Einblicken in Identitäten und App-Berechtigungen. Da Entra ID Governance in der Cloud bereitgestellt wird, lässt es sich im Gegensatz zu herkömmlichen lokalen Identity-Governance-Einzellösungen auch auf komplexe Cloud- und Hybridumgebungen skalieren. Es unterstützt Cloud- und On-Premises-Anwendungen von Microsoft sowie von Drittanbietern.
Microsoft Entra ID Protection: Vereinfachen Sie das Identifizieren von kompromittierten Identitäten und leiten Sie sofort Maßnahmen ein, um das potenzielle Risiko im Zusammenhang mit kompromittierten Apps oder Diensten zu minimieren.
Microsoft Entra Verified ID: Verwenden Sie offene Standards für das Ausstellen und den Nachweis von Anmeldeinformationen.

Sicherer Zugriff für Ihre Kunden und Partner
Microsoft Entra External ID: Erweitern Sie Ihre IAM-Lösung auf Gastbenutzer wie Kunden, Geschäftspartner und Lieferanten, damit diese über eine komfortable Registrierung und Anmeldung auf Ihre Anwendungen zugreifen können. Entra External ID bietet eine zuverlässige Authentifizierung sowie Funktionen für bedingten Zugriff und weitere Identity-Tools, wie Sie sie auch für Ihre internen Mitarbeitenden verwenden.

Sicherer Zugriff in jeder Cloud
Microsoft Entra Permissions Management: Erkennen, beheben und verfolgen Sie mit dieser CIEM-Lösung (Cloud Infrastructure Entitlement Management) etwaige Berechtigungsrisiken in Ihrer Multi-Cloud-Infrastruktur.
Microsoft Entra Workload ID: Unterstützen Sie von Apps und Diensten aus den sicheren Zugriff auf Cloud-Ressourcen.

Das SITS-Angebot für IAM-Modernisierung auf Microsoft Entra-Basis

Veraltete IAM-Systeme können ein großes Risiko für Ihr Unternehmen darstellen. SITS hilft Ihnen beim Umstieg auf eine moderne, skalierbare IAM-Lösung, die sowohl On-Premises- als auch Cloud-Anwendungen absichert – basierend auf Zero-Trust-Prinzipien.

In 3 Schritten zu Ihrem modernen IAM! Bei SITS setzen wir auf kontinuierliche Verbesserung. Gemeinsam bewerten wir Ihr aktuelles IAM, definieren eine Vision und unterstützen Sie bei der Umsetzung eines modernen, cloudbasierten IAMs mit Microsoft Entra.

Fazit:

Microsoft Entra bietet leistungsstarke Sicherheitsfunktionen für die hybride und cloudbasierte Welt von heute. Unsere Experten gestalten gemeinsam mit Ihnen eine umfassende Lösung, die sowohl das Identity & Access Management vereinfacht als auch Ihre Benutzer, Geräte und Daten vor den Bedrohungen des digitalen Zeitalters schützt.

Intelligente Zugriffsrichtlinien, eine effektive Berechtigungsverwaltung und die Absicherung und Verifizierung von Identitäten sind wesentliche Komponenten, die Sie dafür zentral steuern und kontrollieren. Die Microsoft Entra-Produktfamilie unterstützt diesen strategischen Ansatz durch mehrdimensionale und mehrschichtige Sicherheitsfunktionen – und SITS ist Ihr Partner für die kompetente Umsetzung.

Unsere Experten sorgen für die reibungslose Transformation Ihrer veralteten IAM-Systeme in eine fortschrittliche Identitäts- und Zugriffsverwaltungslösung, die Ihre Nutzer, Geräte, Apps und Daten sowohl in Hybrid-Cloud- als auch lokalen Umgebungen abdeckt. Wir liefern End-to-End-Modernisierungsstrategien und umfassende Managed Services – für optimale Sicherheit, Effizienz und Compliance.

Wenn Sie mit modernem IAM durchstarten möchten, nehmen Sie jetzt Kontakt zu uns auf!

Beratung anfragen

Mit DevOps wachsen Software-Entwicklung (Dev) und -Betrieb (Ops) zusammen. Tools zur Prozessautomatisierung, die kontinuierliche Integration und das Teamwork zwischen Dev- und Ops-Einheiten fördern die Effizienz der gesamten Entwicklung. Die agile Entwicklung hat neben Vorteilen wie einer hohen Software-Qualität, Innovationsfähigkeit und schnellen Bereitstellung auch eine Schattenseite: Isolierte Sicherheitsmodelle verlieren an Wirksamkeit, weil Security-Prüfungen und -Optimierungen nun den gesamten DevOps-Lifecycle umfassen und ineinandergreifen müssen.

DevSecOps: Sicherheit ohne Bruchstellen

Mit DevSecOps hat sich deshalb ein Modell etabliert, das Sicherheitsaspekte und -verfahren von Anfang als integrale Bestandteile des Entwicklungsprozesses betrachtet, anstatt sie, wie bisher, als separate Phase oder Nachbearbeitung zu behandeln.

Ziel ist es, Sicherheitslücken trotz der heterogenen Zusammenarbeit zwischen Devs und Ops frühzeitig zu erkennen, zu beheben und präventive Maßnahmen ergreifen zu können. Damit entsteht nicht nur eine Kultur der gemeinsamen Verantwortung, Sicherheitsmaßnahmen und -Tools decken nun auch den kompletten DevOps-Lebenszyklus ab.

Das beginnt bereits mit dem Design und der Definition von Sicherheitsanforderungen und -zielen sowie der Auswahl geeigneter Architekturen und Technologien. Auch im Microsoft-Kosmos haben sich bewährte Praktiken, Werkzeuge und Ressourcen durchgesetzt. Dazu gehört in erster Linie der Microsoft Security Development Lifecycle (SDL). SDL integriert Sicherheitsstrategien und -verfahren in alle Phasen des Entwicklungsprozesses, von der Planung, über das Design und die Implementierung, bis hin zur Überprüfung und Wartung. Um die Anfälligkeit für Angriffe während der Entwicklungsphase zu reduzieren, haben sich Werkzeuge wie die Microsoft Security Code Analysis Tools bewährt. Sie ermöglichen es, den entwickelten Code automatisch und kontinuierlich auf Schwachstellen zu überprüfen und zu beheben, noch bevor die Anwendung in die produktive Umgebung gelangt.

Steht dann die Bereitstellung im Pflichtenheft, ist eine kontinuierliche Integrations- und Bereitstellungs-Pipeline (CI/CD) zweckmäßig. Sie umfasst Sicherheitstests und -überprüfungen für jeden Schritt: Dienste wie Microsoft Azure DevOps Services lassen sich beispielsweise dazu verwenden, die Pipeline zu erstellen und zu verwalten, während Komponenten wie Microsoft Azure Security Center die Anwendungen und Infrastruktur in der Cloud schützen und überwachen.

Schutz für Container und Microservices

Neue Sicherheitsstrategien sind allerdings auch nötig, wenn es um die Implementierung von Container-Technologien und Microservices geht. Um Schwachstellen in Container-Images und Microservices zu identifizieren und zu beheben, finden in der Regel folgende Werkzeuge Beachtung:

  • Microsoft Azure Container Registry verwendet vertrauenswürdige Quellen für Container-Images und umfasst regelmäßige Aktualisierungen, um bekannte Sicherheitslücken zu schließen.
  • Microsoft Azure Defender for Container Registries scannt Container-Images auf Schwachstellen, bevor sie in die CI/CD-Pipeline gelangen.
  • Microsoft Azure Kubernetes Service (AKS) dient der Implementierung von Sicherheitsrichtlinien und -regeln für Container-Orchestrierung und -Ausführung.
  • Microsoft Azure Monitor und Azure Sentinel eignen sich dazu, den Zustand und das Verhalten von Containern und Microservices zu überwachen und auf Anomalien zu reagieren.

Um schließlich den Zugriff und die Nutzung von vertraulichen Informationen in DevOps-Pipelines zu verwalten und zu schützen, haben sich sichere Speicherorte wie Microsoft Azure Key Vault durchgesetzt. Eine Zusammenführung von Azure Key Vault mit DevOps-Tools, wie Azure DevOps Services, ermöglicht es DevOps-Teams, den authentifizierten Zugriff auf sensible Inhalte während des Build- und Bereitstellungsprozesses zu automatisieren.

Prävention gegen Cyber-Attacken

Und auch für den Schutz der DevOps-Infrastruktur vor möglichen Bedrohungen, wie DDoS-Angriffen und anderen Cyber-Attacken, hat Microsoft ein Paket geschnürt. Unter diesen Lösungen befindet sich Microsoft Azure DDoS Protection. Sie ermöglicht eine adaptive und intelligente Erkennung sowie Abwehr von Angriffen, die auf normale Datenverkehrsmuster von Anwendungen abzielen. Zusätzlich bietet Microsoft Azure Firewall die Möglichkeit, den ein- und ausgehenden Datenverkehr der Azure-Ressourcen zu filtern und zu überwachen. Dabei folgt die Filterung und Protokollierung des Datenverkehrs verschiedenen Kriterien, wie Anwendungen, Protokollen, Ports, Quellen und Zielen, wodurch eine zentrale Netzwerksicherheitskontrolle für die DevOps-Infrastruktur gewährleistet wird. Ein weiterer bedeutender Schritt zum Schutz moderner DevOps-Umgebungen ist Microsoft Azure Sentinel. Die Cloud-basierte Sicherheitsinformations- und Ereignisverwaltungsplattform (SIEM) sammelt Sicherheitsdaten aus verschiedenen Quellen, analysiert sie mithilfe Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) und visualisiert sie für eine umfassende Sicherheitsüberwachung und -analyse.

API: Schwächstes Glied der Kette

Um auch die Sicherheit von APIs und anderen Schnittstellen zu gewährleisten, greifen Entwicklungsteams häufig auf Microsoft Azure API Management, Azure Application Gateway und Microsoft Entra ID zurück. Diese Dienste umfassen ein weites Funktionsspektrum, darunter zentrales Management, Schutz vor Web-Bedrohungen sowie Identitätsmanagement. Weiterhin können Microsoft Azure DevOps Services dazu genutzt werden, verschiedene Tests wie statische Code-Analyse, dynamische Anwendungssicherheitstests und Penetrationstests durchzuführen.

Azure Security Center ermöglicht schließlich die Überwachung und Behebung von Sicherheitsrisiken und Schwachstellen in DevOps-Ressourcen. Um Sicherheitsrisiken im Zusammenhang mit Open-Source-Komponenten und -Frameworks anzugehen, empfiehlt sich der Einsatz von Microsoft Azure Defender for App Service zur regelmäßigen Überprüfung auf bekannte Sicherheitslücken sowie Azure Application Insights für die Überwachung und Verbesserung der Leistung und Zuverlässigkeit von Anwendungen. Abschließend ist es ratsam, Lösungen wie Microsoft Azure Sentinel, Azure Backup und Azure Site Recovery für Incident Response und Disaster Recovery in die DevOps-Umgebung zu integrieren.

Kein DevOps ohne Sec

Fest steht: Um agile Entwicklungsmethoden tatsächlich auch geschäftskritisch verwenden zu können, sind DevSecOps von entscheidender Bedeutung. Das gilt vor allem deshalb, weil in der zunehmend digitalisierten Welt Sicherheitsbedrohungen ständig zunehmen. Traditionelle Ansätze, bei denen Sicherheit erst am Ende oder in Teilbereichen des Entwicklungsprozesses berücksichtigt wird, sind nicht mehr ausreichend. Durch die Integration von „Sicherheit von Anfang an“ in den DevOps-Lebenszyklus werden Sicherheitslücken frühzeitig erkannt und behoben. DevSecOps fördert zudem eine proaktive Sicherheitskultur, in der Entwickler, Betriebsteams und Sicherheitsteams zusammenarbeiten, um sicherzustellen, dass Anwendungen und Systeme robust gegenüber Sicherheitsbedrohungen sind.

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

  • Microsoft 365 Copilot ist eine künstliche Intelligenz, die direkt in die Microsoft Office-Programme, SharePoint und Exchange Server integriert ist.
  • Das System unterstützt Mitarbeitende bei alltäglichen Aufgaben und und erhöht so die Effizienz unterschiedlicher Abteilungen.
  • Die Einführung von Copilot hat weitreichende Auswirkungen auf den Datenschutz von Unternehmen und muss daher umfassend vorbereitet und begleitet werden.

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

Die Lizenzierung von Copilot für Microsoft 365 stellt einen gravierenderen Einschnitt in die IT-Sicherheitsarchitektur eines Unternehmens dar als der Einsatz von ChatGPT, Gemini oder anderen KI-Assistenten, die auf Large Language Models (LLM) basieren. Denn anders als ChatGPT & Co. greift Copilot nicht nur auf vorgegebene Daten zu. Das Microsoft-Tool bezieht zusätzliche Informationen aus dem Internet und – noch wichtiger – aus dem firmeneigenen Datenbestand. Copilot nutzt etwa die Daten des SharePoint-Servers und kann über Microsoft Graph auch auf Mails, Chats und Dokumente . So werden in den Antworten und Inhalten von Copilot eventuell auch Informationen sichtbar, die bisher nur Lokal in den Daten einzelner Mitarbeiter und Gruppen verfügbar gewesen sind.

„Die Einführung von Copilot in einem Unternehmen kann Auswirkungen auf die bestehende DSGVO-Konformität haben, je nachdem, wie Copilot genutzt wird und welche Daten damit verarbeitet werden. Daher ist es ratsam, die Konformität nach der Einführung von Copilot erneut zu prüfen, um sicherzustellen, dass keine Verstöße oder Risiken entstehen .“

Oliver Teich (Strategic Consultant)

Berechtigungsmodelle überprüfen und/oder einrichten

Microsoft selbst weist in der zu Copilot generell darauf hin: „Es ist wichtig, dass Sie die Berechtigungsmodelle verwenden, die in Microsoft 365-Diensten wie SharePoint verfügbar sind, um sicherzustellen, dass die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte in Ihrer Organisation haben.”

Dabei reicht es nicht aus, die Berechtigungen von Benutzern und Gruppen zu überprüfen. Auch andere Zugriffswege, wie Gastzugänge, lokale SharePoint-Berechtigungen, Freigabe-Links und externe und öffentliche Zugriffe sollten dringend überprüft werden.

Wichtig: Über freigegebene Team-Channels können auch Personen Zugriff auf Daten haben, die nicht zu Ihrem Unternehmen gehören.

Hinweis: , die über Microsoft Purview Information Protection (MPIP) vergeben wurden. Das System stellt zwar sicher, dass für KI-generierte Inhalte nur Daten verwendet werden, die für den jeweiligen Benutzer relevant sind – die Antwort selbst erhält jedoch kein MPIP-Label.

Insgesamt sollte darum eine strikte Need-to-Know-Politik im Unternehmen umgesetzt werden. Mit Copilot ist es wichtiger denn je, dass Mitarbeitende tatsächlich nur Zugriff auf die Daten haben, die für ihre jeweilige Aufgabe relevant sind. Es empfiehlt sich die Implementierung einer Zero-Trust-Architektur auf Basis des Least-Privileg-Prinzips, oder zumindest eine strenge Überprüfung sämtlicher Zugriffsrechte, sollte dies nicht möglich sein.

Überprüfung der Datenschutzbestimmungen

Microsoft behauptet, dass sowohl Microsoft 365 als auch der Copilot der Datenschutz-Grundverordnung entsprechen. Das Unternehmen verspricht auf seiner Website: “Microsoft Copilot für Microsoft 365 entspricht unseren bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen gegenüber kommerziellen Microsoft-365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).”

„Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung (DPIA) für die Nutzung von Copilot durchführen müssen. Eine DPIA ist eine systematische Analyse der Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten.“

Oliver Teich (Strategic Consultant)

Bewertung von Zusatzvereinbarungen

Die Datenschutzkonferenz des Bundes und der Länder (DSK) und andere Aufsichtsbehörden sind jedoch der Auffassung, dass die von Microsoft angebotene Data Protection Addendum (DPA, Auftragsverarbeitungsvereinbarung) die Anforderungen des europäischen Datenschutzrechts nicht ausreichend erfüllt. Sie empfehlen Unternehmen, mit Microsoft eine zusätzliche Vereinbarung zur Auftragsverarbeitung abzuschließen oder dies zumindest kritisch zu prüfen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen beschreibt in einer Handreichung, welche Überlegungen hier wichtig sind. Im Wesentlichen empfehlen die Experten: „Eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum DPA sollte klarstellen, dass diese Zusatzvereinbarung gegenüber sämtlichen entgegenstehenden Vertragstexten, die seitens Microsoft einbezogen werden, Vorrang hat und diesen im Kollisionsfalle vorgeht.“ Diese Zusatzvereinbarung sollten u.a. die folgenden Punkte regeln:

  • Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind,
  • Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
  • Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
  • Löschen personenbezogener Daten und
  • Information über Unterauftragsverarbeiter

Sofern solche Vereinbarungen bereits abgeschlossen oder evaluiert wurden, sollten sie im Rahmen der Copilot-Einführung zumindest einer erneuten Datenschutz-Folgenabschätzung unterzogen werden.

Daten können die Grenzen des Microsoft-365-Dienstes verlassen

IT-Sicherheitskonzept überprüfen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer Studie zum Einsatz von KI-Sprachmodellen in Unternehmen zu dem Ergebnis, dass diese Systeme neben vielen Vorteilen auch neuartige IT-Sicherheitsrisiken bergen bzw. das Bedrohungspotenzial bekannter IT-Bedrohungen erhöhen können.

Das BSI rät daher: “Als Reaktion auf diese Bedrohungspotenziale sollten Unternehmen oder Behörden vor der Integration von großen KI-Sprachmodellen in ihre Arbeitsabläufe eine Risikoanalyse für die Verwendung in ihrem konkreten Anwendungsfall durchführen. Daneben sollten sie Missbrauchsszenarien dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend können existierende Sicherheitsmaßnahmen angepasst und gegebenenfalls neue Maßnahmen ergriffen werden sowie Nutzende über die potenziellen Gefahren aufgeklärt werden.”

Vor der Einführung des Copilot-Systems sollten sich Unternehmen daher dringend einen Überblick über den aktuellen Stand ihrer IT-Sicherheitsarchitektur verschaffen. Dazu sollten nicht nur Microsoft 365, sondern auch alle anderen genutzten Programme, Apps, Dienste und Plugins überprüft werden. Microsoft selbst empfiehlt für Copilot die Einführung eines Zero-Trust-Modells.

Betriebsrat muss KI-Einsatz absegnen

Der Start ins KI-Zeitalter kann nicht allein von der Geschäftsführung oder der IT-Abteilung beschlossen werden. Da sich ein System wie Copilot signifikant auf Arbeitsabläufe und -verfahren auswirkt, muss allein in die Planung der Einführung oder für ein Pilotprojekt bereits ein vorhandener Betriebsrat einbezogen werden.

Da die KI-Systeme Leistung und Verhalten der Mitarbeiter und Mitarbeiterinnen überwachen können, hat der Betriebsrat ein Mitbestimmungsrecht, kann sogar die Schließung einer Betriebsvereinbarung zum Einsatz von KI fordern.

Mitarbeiter schulen

Der wohl wichtigste Schritt bei der Einführung des Copilot-Systems in Microsoft 365 ist die Schulung der Mitarbeiterinnen und Mitarbeiter. Dabei sollten folgende Punkte klar und verständlich an alle kommuniziert werden, die später mit Copilot arbeiten:

  • Die Aussagen der KI dürfen niemals ungeprüft übernommen werden. Microsoft selbst räumt ein: “Die Antworten, die generative KI erzeugt, sind nicht garantiert zu 100 % sachlich.” Diese etwas holprige Formulierung bedeutet: KI erfindet manchmal Informationen. Bevor man sich also auf die von Copilot gelieferten Daten verlässt, sollten diese immer unabhängig vom Copilot-System durch Mitarbeitenden überprüft werden. Denn Microsoft bietet die Copilot-Informationen nur im Rahmen der Best-Effort-Qualitätsrichtlinien an, übernimmt so keine Haftung für die Richtigkeit der Aussagen des Systems.
  • Die Nutzung von Copilot führt dazu, dass für jeden Nutzer ein sogenannter semantischer Index erstellt wird. Er dient dazu, in Zukunft Inhalte zu erstellen, die authentisch klingen und dem jeweiligen Stil des Nutzers entsprechen. Dazu analysiert die KI über mehrere Wochen die Eigenheiten und Gewohnheiten ihrer Nutzer.
  • Alle Anfragen an die KI werden zunächst gespeichert und können später jederzeit vom Nutzer (und von höheren Administratoren) in der Copilot-Interaktions-Historie eingesehen werden. Dies gilt nicht nur für Eingaben in Anwendungen wie Word, PowerPoint oder Excel, sondern auch für Teambesprechungen, in denen die automatische Transkriptionsfunktion von Copilot aktiviert wurde.
„Die Erstellung von individuellen Sprachprofilen für einzelne Nutzer kann mit dem EU-Datenschutz-Recht vereinbar sein, wenn einige Faktoren berücksichtigt und eingehalten werden. Copilot bietet verschiedene Möglichkeiten, die Erstellung von individuellen Sprachprofilen für einzelne Nutzer zu steuern und zu verwalten, zum Beispiel durch die Auswahl der Datenquellen, die Einstellung der Datenschutzebene und die Löschung, Einsehbarkeit und Korrigierbarkeit der Daten Daten durch den Nutzer.“

Oliver Teich (Strategic Consultant)

Mit Copilot bereit für die KI-Revolution

Copilot bietet großartige Möglichkeiten: Er vereinfacht alltägliche Büroarbeiten, erstellt automatisch Konferenzaufzeichnungen, gestaltet Präsentationen und bereitet Daten übersichtlich auf. Diese mächtigen Fähigkeiten bedeuten aber auch einen weitreichenden Eingriff in die Datenschutzstruktur eines Unternehmens.

Die Einführung des Copilot-Systems muss daher auf vielen Ebenen vorbereitet, begleitet und gesteuert werden. Nur wenn ein Unternehmen umfassend auf den KI-Assistenten vorbereitet ist, kann es die Möglichkeiten und Chancen des Systems voll ausschöpfen. Werden hingegen Fehler bei der Implementierung gemacht, drohen neben regulatorischen Problemen auch tatsächliche Datenschutzlecks in der Office-Architektur.

Begeistern Sie sich für Cloud-Anwendungen und Services aufgrund ihrer zahllosen Möglichkeiten oder fürchten Sie vor allem Datenlecks und Co.? Im aktuellen State of Cloud-Bericht erklärten 70 Prozent der befragten Unternehmen, dass bereits über die Hälfte ihrer IT-Infrastruktur in der Cloud betrieben werde. Gleichzeitig sind laut einer weiteren Umfrage in Unternehmen gar nicht genehmigt, weil Teams oder einzelne Mitarbeiter Online-Tools ohne Wissen und Genehmigung nutzen. Die Analysten von PwC nennen Cloud-Angriffe in diesem Zusammenhang das „größte Cyber-Risiko 2024“. Der Anteil der Firmen, die jüngst eine Datenschutzverletzung mit einer Schadenssumme über einer Million US-Dollar erlitten hätten, sei im Vergleich zum Vorjahr von 27 auf 36 Prozent gestiegen. Grund genug, das Thema Cloud-Plattform-Security in den Fokus zu rücken: Hierauf müssen Sie jetzt achten, um Daten, Systeme, Ruf und Mitarbeiter bestmöglich zu schützen.

Ausgangslage: Das sind die größten Gefahren für Cloud-Dienste und -Daten

Um Cloud-Infrastruktur verlässlich abzusichern, müssen zunächst einmal die Herausforderungen beleuchtet werden, die zu Datenlecks, Compliance-Problemen und immensen Kosten führen können. Derzeit lassen sich drei zentrale Trends ausmachen: Cloud Native Malware, Attacken auf Cloud-basierte KI-Plattformen und Software Supply Chain-Risiken. Public Clouds finden sich heute zwar in nahezu allen Bereichen, allerdings lassen Sicherheitsnetz und Implementierung oft zu wünschen übrig. IT-Teams sind deshalb gefordert, vorschnell aufgebaute oder schlecht konzipierte Cloud-Infrastrukturen zu überarbeiten, um sie effizienter, verlässlicher und kostengünstiger zu machen.

1. Risiko 1: Vorsicht vor Cloud Native Malware!

Mit der zunehmenden Vernetzung von Cloud-Diensten und wachsendem Datentransfer zwischen verschiedenen Cloud-Plattformen steigt auch das Risiko, Opfer Cloud-nativer Malware zu werden. Derartige Schadprogramme haben es speziell auf Cloud-Umgebungen abgesehen und nutzen Schwachstellen in Cloud-Infrastrukturen und -Anwendungen. Einige verbreiten sich über Cloud-Speicher und Collaboration-Tools.

Doch das ist noch nicht alles: Angriffsgefahr lauert auch in neuen Infrastrukturen, darunter Edge-Systeme für datenintensive Anwendungsfälle, Non-x86-Architekturen für spezielle Arbeitslasten, serverlose Edge-Architekturen und 5G-Mobilfunkdiensten.

2. Risiko 2: Fluch und Segen KI – Angriffe auf cloudbasierte KI-Plattformen

Ein weiterer Bereich, der in Sachen Cloud-Security immer wichtiger wird, ist – wen wundert’s – Künstliche Intelligenz. In einer weltweiten Umfrage von erklärte ein Drittel aller Befragten, dass ihre Unternehmen bereits regelmäßig generative KI einsetzen, Tendenz steigend. Dabei kann KI ein praktisches Werkzeug im Kampf gegen Security Threats sein. Andererseits setzen auch Angreifer vermehrt auf KI, um ihr Waffenarsenal zu erweitern und das Vertrauen auszunutzen, das Entwickler in automatisierte Systeme setzen. Für 2024 gehen Experten davon aus, dass KI-gesteuerte Angriffe zunehmen, was zu schneller Anpassung zwingt. Dies erfordert immer smartere KI-basierte Sicherheitsmaßnahmen, die nicht nur Bedrohungen in Echtzeit erkennen, sondern die sie auch vorhersagen und verhindern können.

3. Risiko 3: Software Supply Chain Risks

Doch das ist noch nicht alles, denn auch Angriffe auf die Lieferkette haben in den vergangenen Jahren an Bedeutung gewonnen. Stellen Sie sich vor, dass eine einzige Code-Zeile, versteckt in einem Framework, Ihre gesamte digitale Welt zum Stillstand bringt: Genau hierum geht es bei Software Supply Chain-Sicherheit. Wie bei jeder Lieferkette ist auch die Sicherheit Ihrer Software nur so stark wie das schwächste Glied im System. Immer mehr Unternehmen fallen Angriffen auf die Software-Lieferkette zum Opfer. Sind Nutzer und Assets kreuz und quer verteilt, erhöht dies das Risiko für Attacken zusätzlich. Hacker können entweder Supply Chains ausnutzen, um wichtige Einblicke zu gewinnen, oder sie können innerhalb von Lieferketten ihr Unwesen treiben. Cyber-Kriminelle konzentrieren sich vermehrt auf die Ausnutzung von Schwachstellen in Diensten von Drittanbietern, etwa in Software oder Code, die Produktion oder Continuous Integration (CI), Continuous Delivery oder Continuous Deployment (CD) maßgeblich mitbestimmen.

Die gute Nachricht: Die Analysten von prognostizieren, dass sich die weltweiten Ausgaben für Sicherheits- und Risikomanagement im Jahr 2024 auf 215 Milliarden US-Dollar belaufen werden, was einem Anstieg von 14,3 Prozent gegenüber 2023 entspricht. Unternehmen scheinen sich der Bedrohung also durchaus bewusst zu sein.

Die schlechte Nachricht: Experten der internationalen bemängeln unzureichende Cloud-Sicherheitsexpertise. 77 Prozent der Befragten der aktuellen Studie fühlen sich demnach nicht ausreichend auf Sicherheitsbedrohungen vorbereitet.

Es ist klar, dass die Cloud eine vollkommen andere Umgebung als eine On-Premise-Anwendung ist. Deshalb werden Cyber Security-Teams, die Sicherheitskontrollen kopieren und in die Cloud einfügen, ziemlich schnell feststellen, dass dieser Ansatz nicht funktioniert. Da die Cloud für Automatisierung und Geschwindigkeit prädestiniert ist, sind native Cloud-Sicherheits-Tools eine zentrale Voraussetzung. Derartige Tools erfordern jedoch Knowhow, denn ansonsten stehen Unternehmen bald vor Umgebungen, für deren Schutz ihre Teams nicht gerüstet sind. Es geht darum, Tools zu implementieren, die für Cloud-Umgebungen optimiert sind. Außerdem muss in Cloud Security-Trainings investiert werden. Hierzu gehört, aktuelle Richtlinien und Vorgaben zu kennen. Wir haben die Wichtigsten zusammengestellt.

Diese Sicherheitsrichtlinien und Vorgaben müssen Sie kennen

Die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorgaben, etwa innerhalb der EU, sind für Unternehmen, die Cloud-Services nutzen von entscheidender Bedeutung. Nur so lassen sich die Vertraulichkeit, Integrität und Verfügbarkeit wichtiger Daten gewährleisten und potenzielle Bußgelder und rechtliche Konsequenzen vermeiden.

  • Allgemeine Datenschutzverordnung (DSGVO): Die DSGVO oder Datenschutzgrundverordnung trat 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, ganz gleich, wo sich das Unternehmen befindet. Die DSGVO legt strenge Anforderungen an die Sicherheit personenbezogener Daten fest, einschließlich der Datenverarbeitung in der Cloud. Cloud-Dienstleister müssen angemessene Sicherheitsmaßnahmen implementieren, um die Anforderungen der DSGVO zu erfüllen.
  • NIS-Richtlinie: Die Richtlinie über die Netz- und Informationssicherheit, kurz NIS, ist ein EU-Gesetz, das darauf abzielt, die Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union zu stärken. Sie verpflichtet Betreiber zentraler Dienste sowie Anbieter digitaler Dienste, angemessene Sicherheitsvorkehrungen zu treffen, um die Cyber-Sicherheit zu gewährleisten. Dies schließt die Sicherung von Cloud-Infrastrukturen ein, die für die Bereitstellung dieser Dienste genutzt werden.
  • ISO/IEC 27001: Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Obwohl sie keine gesetzliche Vorgabe ist, wird sie häufig als Best Practice-Richtlinie für die Sicherung von Informationen und Daten in Unternehmen verwendet. Viele europäische Unternehmen, die Cloud-Services nutzen, verlangen von ihren Cloud-Dienstleistern eine ISO/IEC 27001-Zertifizierung, um sicherzustellen, dass angemessene Sicherheitskontrollen implementiert sind.
  • Cloud-Sicherheitszertifizierungen: Hinzukommen verschiedene Cloud-Sicherheitszertifizierungen, die von europäischen Behörden und Organisationen entwickelt wurden, um die Sicherheit von Cloud-Diensten zu bewerten und zu gewährleisten. Beispiele sind das Cloud Security Alliance (CSA) STAR-Zertifizierungsprogramm und das EuroCloud Star Audit. Sie helfen bei der Auswahl vertrauenswürdiger Cloud-Anbieter, die hohe Sicherheitsstandards erfüllen.
  • Nationale Gesetze und regulatorische Anforderungen: Zusätzlich zu den EU-weiten Richtlinien haben einzelne europäische Länder spezifische nationale Gesetze und regulatorische Anforderungen, die die Sicherheit von Cloud-Services betreffen. Sie sollten diese lokalen Vorschriften gut kennen und sicherstellen, dass Ihre Cloud-Infrastrukturen den jeweiligen Anforderungen entsprechen. Beispiele für Deutschland: Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten in Deutschland. Das IT-Sicherheitsgesetz 2.0 ist eine Erweiterung des IT-Sicherheitsgesetzes und zielt darauf ab, die Sicherheit kritischer Infrastrukturen in Deutschland zu stärken. Die Technische Richtlinie BSI TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt Empfehlungen für den sicheren Einsatz von Cloud-Diensten in deutschen Behörden und Organisationen des Bundes.

Fazit Cloud Platform Security

Ein gut geplantes Benutzermanagement, Richtlinienkonformität, flankierende Security-Tools und Cloud-Adoption-Strategien helfen, Daten und Geräte in der Cloud 2024 und darüber hinaus verlässlich kontrollieren zu können. Damit die Cloud nur Gutes mit sich bringt und nicht zur datenfressenden Gewitterwolke mutiert, lohnt es sich, auf fundierte Expertise zu setzen.