Angesichts der vielen Vorteile der Cloud-Nutzung gegenüber klassischen Lösungen vor Ort ist das nicht weiter verwunderlich. Besonders der Bereich Software-as-a-Service (SaaS) ist gerade für Unternehmen interessant, denn zum einen lassen sich jederzeit zusätzliche Kapazitäten zubuchen, ohne dass man sich um die Infrastruktur wie Server kümmern muss. Zum anderen liegt die aufwändige Wartung und das Management mit Sicherheitsupdates und Aktualisierungen beim SaaS-Anbieter. Damit bietet Cloud Computing gerade für Unternehmen ohne eigene IT-Abteilung auch eine verbesserte Sicherheit – zumindest was den Betrieb der Software anbelangt.
Doch diese zusätzliche Sicherheit hat auch ihren Preis und bringt darüber hinaus andere Probleme mit sich, über die sich Unternehmen Gedanken machen müssen. Laut einer Umfrage unter 700 Branchenexperten zu Sicherheitsfragen in der Cloud-Branche wurden unzureichende Identitäts-, Berechtigungs-, Zugriffs- und Schlüsselverwaltung für privilegierte Konten als eines der wichtigsten Bedenken in Bezug auf Cloud-Cybersicherheit angegeben. Durchgeführt wurde die Umfrage von Cloud Security Alliance, einer gemeinnützigen Organisation für die Förderung von Best Practices für Cloud-Computing. Da immer mehr Mitarbeiter sich nicht mehr nur vom Büro aus in ihre Anwendungen einwählen, sondern zunehmend von externen Geräten, stellt das Management der Zugriffsberechtigungen sowohl auf Programme als auch auf Dateien eine der wichtigsten und sensibelsten Aufgaben der Cybersicherheit dar.
Insbesondere die Möglichkeit, einfach mit einem Benutzernamen und einem Passwort auf Cloud-Tools zugreifen zu können, ist für viele Arbeitnehmer und Arbeitgeber ein echter Vorteil, bietet aber auch Cyberkriminellen neue Angriffsmöglichkeiten. Wenn Hacker den Benutzernamen und das Passwort knacken, haben sie denselben Zugriff wie der Benutzer – und das mit einem echten Konto, was bedeutet, dass verdächtige Aktivitäten möglicherweise nicht so schnell erkannt werden. Hinzu kommt oft auch ein allzu freigiebiger Umgang mit Zugriffsberechtigungen: Nutzer erhalten Zugriff auf Dateien und Programme, den sie für ihren Job überhaupt nicht benötigen. Das führt dazu, dass Angreifer sich noch leichter im System ausbreiten können. Auch böswillige Insider können sich auf diesem Weg Daten beschaffen, die sie anschließend an Konkurrenten oder über das Darknet verkaufen können.
Doch der Bericht deckt noch ein weiteres Problem im Zusammenhang mit Cloud Computing auf. Denn allzu oft müssen sich Angreifer gar nicht die Mühe machen, Nutzerkonten zu hacken, um an sensible Daten zu gelangen. Der Grund? Ungeschützt in der Cloud gelagerte Dateien, die für jeden, der weiß, wo man suchen muss, frei zugänglich sind. Weitere Sicherheitslücken entstehen darüber hinaus durch unsichere Schnittstellen und APIs, falsche Konfigurationen und fehlende Kontrollen bei Änderungen der Einstellungen oder unsichere Software. Auch eine fehlende Sicherheitsarchitektur und -strategie zählen zu den häufig anzutreffenden Fehlern. Die Gründe hierfür sind meist fehlendes Wissen und zu große Hast bei der Einrichtung der Cloud.
Worauf sollten also Unternehmen achten, wenn sie die Möglichkeiten der Cloud nutzen wollen, ohne dabei ein Sicherheitsrisiko einzugehen? Der Bericht empfiehlt zur Verbesserung der Identitäts- und Zugriffsverwaltung ein Zero-Trust-Modell, das bei jedem Schritt des Benutzers durch die Cloud-Umgebung eine erneute Validierung erfordert. So wird verhindert, dass Angreifer mit nur einem Satz Anmeldeinformationen Zugriff auf eine Vielzahl an Daten erhalten. Zudem sollten schwache Passwörter vermieden werden und wo auch immer möglich eine Mehr-Faktor-Authentifizierung eingesetzt werden.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de