Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Web Security

    Was sind Cloud-Sicherheitskontrollen und ihre Vorteile?

    Cloud-Sicherheit ist eine gemeinsame Verantwortung von Anbietern und ihren Kunden. Unternehmen müssen angesichts des wachsenden Cyberrisikos die notwendigen Cloud-Sicherheitskontrollen einführen.

    by Daniel Argintaru
    888846278.jpg

    Wichtige Punkte

    • Die Cloud-Sicherheit unterscheidet sich von der traditionellen IT-Sicherheit, da die Verantwortung zwischen Cloud-Anbietern und ihren Kunden geteilt wird.
    • Die Sicherheitskontrollen in der Cloud umfassen Prozesse und Technologien, die Unternehmen vor Bedrohungen und menschlichen Fehlern schützen.
    • Welche Kontrollen ein Unternehmen einrichtet, hängt von den gewählten Cloud-Bereitstellungs- und Servicemodellen ab.

    Die Umstellung auf Cloud-basierte IT hat einen fiebrigen Höhepunkt erreicht, beschleunigt durch den pandemiebedingten Anstieg der Fernarbeit. Zum ersten Mal haben Unternehmen im vergangenen Jahr mehr für Cloud-Dienste als für Rechenzentren ausgegeben, was einen Wendepunkt in der Beziehung zwischen IT-Anbietern und Kunden markiert. [i]

    Doch die Cloud ist nicht risikofrei, vor allem nicht in einer Umgebung, in der die Datensicherheit in der gemeinsamen Verantwortung von Cloud-Unternehmen und Nutzern liegt. Untersuchungen von IDC zeigen, dass 98 % der Unternehmen seit Anfang 2020 mindestens eine Datenschutzverletzung in der Cloud erlebt haben. [ii] Es gibt zwei Mängel, die zu diesem Anstieg von Cloud-Datenverletzungen beitragen: falsch konfigurierte Cloud-Sicherheitskontrollen und menschliches Versagen. Tatsächlich hat Gartner vorausgesagt, dass bis 2022 95 % der Sicherheitsverletzungen in der Cloud auf Fehler der Kunden zurückzuführen sein werden. [iii]

    Was sind Cloud-Sicherheitskontrollen?

    Cloud-Sicherheitskontrollen beziehen sich auf eine Reihe von Maßnahmen, die Unternehmen zum Schutz ihrer Cloud-Umgebung ergreifen, einschließlich der Prozesse und Technologien, mit denen sie sich gegen Sicherheitsverletzungen schützen. Zusammengenommen helfen diese Kontrollen Unternehmen, die Bedrohungen zu erkennen, denen sie ausgesetzt sind, Schwachstellen in ihrer Cloud-Umgebung zu beheben und Schutzmaßnahmen zu implementieren, die die von ihren Cloud-Anbietern angebotenen Cybersicherheitsmaßnahmen ergänzen.

    Nach Angaben der Cloud Security Alliance (CSA), einer Branchenorganisation, die bewährte Verfahren für die Verwaltung von Cloud-Systemen und -Daten fördert, lassen sich die Sicherheitskontrollen in der Cloud in drei Kategorien einteilen:

    • Präventiv: zur Behebung von Schwachstellen in Cloud-Systemen.
    • Detective: , um einen Angriff zu erkennen, bevor er sich zu einem ausgewachsenen Einbruch auswächst.
    • Korrekturmaßnahmen: um die Auswirkungen eines Angriffs zu minimieren, nachdem er stattgefunden hat.

    Wie kann Cloud Computing die Sicherheit verbessern?

    Cloud Computing ist nicht per se riskant. Die großen Cloud-Anbieter integrieren in ihre Lösungen eine solide Datensicherheit, die durch ihre umfangreichen Ressourcen und jahrzehntelange Erfahrung gestützt wird. Nur wenige Unternehmen verfügen über die IT-Kapazitäten oder die Arbeitskraft, um den gleichen Standard an Datensicherheit in großem Umfang zu gewährleisten, weshalb es von Vorteil ist, mit einem Cloud-Anbieter zusammenzuarbeiten.

    Die Datensicherheit in der Cloud liegt jedoch in der gemeinsamen Verantwortung. Die Cloud-Anbieter sind für den Schutz ihrer Rechenzentren und der Cloud-Infrastruktur verantwortlich, aber es obliegt ihren Kunden, die Daten zu schützen, die zu und von diesen Systemen und innerhalb ihrer Organisation fließen. Hier kommen die Cloud-Sicherheitskontrollen ins Spiel, die Unternehmen dabei helfen, die Daten und Systeme zu schützen, die sie in der Cloud nutzen, unabhängig davon, ob die Daten statisch sind oder von ihren Mitarbeitern bearbeitet werden.

    Es steht mehr denn je auf dem Spiel. Eine erfolgreiche Sicherheitsverletzung führt nicht nur zum Verlust sensibler Daten oder zur Unterbrechung des Betriebs. Sie kann auch den Ruf eines Unternehmens erschüttern und das Vertrauen, das es bei seinen Kunden aufgebaut hat, zerstören, was Jahre dauern kann, bis es wiederhergestellt ist. Und sie kann zu behördlichen Strafen für die Nichteinhaltung von Vorschriften oder zu Zivilklagen wegen Verletzung des Datenschutzes führen, wenn sich die Kontrollen als mangelhaft erweisen.

    Cloud Controls Matrix

    Der Industriestandard für die Definition von Cloud-Sicherheitskontrollen ist die Cloud Controls Matrix (CCM) der CSA. [iv] Mit fast 200 Kontrollzielen, die 17 verschiedene Bereiche abdecken, wurde die CCM entwickelt, um Unternehmen dabei zu helfen, die Sicherheit ihrer Cloud-Implementierung auf granularer Ebene zu bewerten.

    In der umfassenden Tabelle ist auch festgelegt, welche Akteure in der Cloud-Lieferkette für die einzelnen Sicherheitskontrollen verantwortlich sein sollten. Anhand dieses Rahmens können Unternehmen systematisch dafür sorgen, dass ihre Cloud-Daten und -Prozesse sowohl sicher als auch gesetzeskonform sind.

    Cloud-Sicherheitskontrollen - Bereitstellungsmodelle

    Das Cloud-Bereitstellungsmodell eines Unternehmens hat Einfluss auf den Grad der Verantwortung, die es für den Schutz seiner Cloud-Daten und -Infrastruktur übernimmt, im Gegensatz zu der Verantwortung, die dem Cloud-Anbieter übertragen wird. Im Allgemeinen entscheiden sich Unternehmen für die Bereitstellung einer öffentlichen Cloud, einer privaten Cloud oder eines hybriden Ansatzes.

    • Public-Cloud-Bereitstellungen: Bei einer Public-Cloud-Bereitstellung verlassen sich Unternehmen auf die Infrastruktur und das physische IT-Netzwerk eines Anbieters, um ihre Cloud-Anwendungen auszuführen. Sie sind jedoch nach wie vor Eigentümer ihres eigenen Betriebssystems, ihrer Anwendungen und Daten, und es liegt in ihrer Verantwortung, diese Werte zu schützen. Es ist ein weit verbreiteter Irrglaube, dass Public-Cloud-Anbieter für den Schutz der Daten ihrer Kunden verantwortlich sind; dies ist jedoch selten der Fall.
    • Private Cloud-Bereitstellungen: Wenn sich Unternehmen für eine private Cloud-Bereitstellung entscheiden, behalten sie die volle Kontrolle über ihre Cloud-Hardware und -Software. Dies gilt unabhängig davon, ob sie sich in ihrem eigenen Rechenzentrum befindet oder von einem Drittanbieter gehostet wird. Dies zwingt die Unternehmen zwar dazu, ihre eigenen Daten zu sichern, schafft aber auch Klarheit darüber, wer für deren Sicherheit verantwortlich ist und welche Kontrollen eingerichtet werden müssen.
    • Hybride Cloud-Bereitstellungen: Hybride Cloud-Bereitstellungen erfreuen sich zunehmender Beliebtheit, da sie Unternehmen dabei helfen, den Übergang von lokaler zu Cloud-basierter IT in ihrem eigenen Tempo zu vollziehen. In einer hybriden Umgebung werden Daten und Anwendungen zwischen privaten und öffentlichen Clouds hin- und hergeschoben, wobei Unternehmen ihre Nutzung der öffentlichen Cloud oft skalieren, um Nachfragespitzen zu bewältigen. Dieser Ansatz ermöglicht eine größere Flexibilität, verkompliziert aber auch die Cloud-Lieferkette und erfordert von den Unternehmen große Sorgfalt bei der Festlegung ihrer Cloud-Sicherheitskontrollen.

    Cloud-Sicherheitskontrollen nach Servicemodell

    Die Sicherheitskontrollen in der Cloud variieren nicht nur je nach Bereitstellungsmodell, sondern hängen auch davon ab, welches Servicemodell ein Unternehmen für seine Cloud-Systeme wählt. Es gibt einige Überschneidungen zwischen Bereitstellungs- und Servicemodellen, aber im letzteren Fall ist der entscheidende Faktor, ob ein Unternehmen Cloud-Software, cloudbasierte Infrastruktur oder eine Cloud-Entwicklungsplattform kauft.

    • Software-as-a-Services (SaaS): Wenn Unternehmen in eine SaaS-Cloud-Lösung investieren, zahlen sie eine wiederkehrende Gebühr für die Nutzung leistungsfähiger Anwendungen, ohne eine eigene IT-Infrastruktur zur Unterstützung dieser Anwendungen aufzubauen. Die SaaS-Anbieter ihrerseits implementieren Cloud-Sicherheitskontrollen für die Infrastruktur und die Anwendung selbst. Somit müssen die Kunden ihre eigenen Kontrollen für alle Daten, die in und aus der SaaS-Anwendung fließen, und für die Mitarbeiter, die die Software nutzen, einführen.
    • Infrastructure-as-a-Service (IaaS): Bei einem IaaS-Dienstmodell zahlen Unternehmen für die Ausführung ihrer Anwendungen oder ihres Betriebssystems auf externen Cloud-Servern. Diese Art von Dienst umfasst skalierbaren Speicherplatz, Rechenleistung und Netzwerkinfrastruktur, ohne dass die Cloud-Infrastruktur intern aufgebaut oder verwaltet werden muss. IaaS-Cloud-Anbieter implementieren Sicherheitskontrollen in ihrer Infrastruktur und ihren Netzwerkressourcen, während ihre Kunden für den Rest aufkommen, von den Anwendungen, die sie nutzen, über die Daten, die sie verwalten, bis hin zu den Personen, die diese Cloud-Systeme nutzen.
    • Platform-as-a-Service (PaaS): Bei einem PaaS-Servicemodell erhalten Kunden eine in der Cloud gehostete Plattform, auf der sie neue Anwendungen erstellen, ausführen und verwalten können, ohne in die zugrunde liegende Infrastruktur zu investieren oder diese zu verwalten. PaaS-Anbieter hosten sowohl die Hardware und Software hinter dieser Plattform als auch die Entwickler-Tools, die zum Erstellen und Testen neuer Anwendungen erforderlich sind. Diese reichen von Middleware und Datenverwaltungstechnologien bis hin zu Power Analytics und DevOps-Services. Die Anbieter sind auch für die Implementierung von Cloud-Sicherheitskontrollen auf jeder dieser Ebenen verantwortlich.

    Risiken im Zusammenhang mit Cloud-Sicherheitskontrollen

    Wie bereits erwähnt, besteht die erste Herausforderung bei der Sicherung von Cloud-basierten Systemen darin, festzustellen, wer für die einzelnen Elemente der Cloud-Lieferkette verantwortlich ist. Selbst wenn die Anbieter alle notwendigen Vorkehrungen treffen, um ihre Infrastruktur und Software zu sichern, werden ihre Kunden weiterhin durch menschliches Versagen und schlechte Konfigurationen geplagt, was zu Sicherheitsverletzungen führt.

    Insbesondere die öffentliche Cloud bietet ein attraktives Ziel für Hacker. Mit einer praktisch grenzenlosen Angriffsfläche und so vielen Akteuren, die Daten über öffentliche Cloud-Anwendungen austauschen, gibt es unzählige Möglichkeiten für den Einstieg. Ransomware, Phishing und andere Malware-Angriffe sind in der öffentlichen Cloud immer häufiger anzutreffen. Viele Unternehmen haben darauf reagiert, indem sie sich für einen Cloud Access Security Broker (CASB) entschieden haben, eine zwischengeschaltete Software- oder Hardwareebene, die dabei hilft, Risiken zu erkennen und die Sicherheitskontrollen zu verbessern.

    Auch die Automatisierung ist zu einer entscheidenden Komponente der Cloud-Sicherheit geworden. Nur wenige Unternehmen haben die Ressourcen, um die Vielfalt und den Umfang der Bedrohungen zu überwachen, mit denen sie täglich konfrontiert werden. Daher helfen ihnen automatisierte Lösungen, die auf künstlicher Intelligenz beruhen, Schritt zu halten.

    Merkmale und Vorteile von Cloud-Sicherheitskontrollen

    Richtig konfiguriert und angewendet, bieten Cloud-Sicherheitskontrollen Unternehmen einen durchgängigen Schutz für ihre Cloud-Anwendungen, -Infrastruktur und -Daten, sei es vor externen Bedrohungen oder menschlichen Fehlern. Dies beginnt mit der Transparenz über die Cloud-Systeme, Nutzer und Sicherheitsrichtlinien des Unternehmens, die dann bewertet und verbessert werden können, um Lücken oder Schwachstellen zu beheben.

    Diese Kombination aus Sichtbarkeit und Kontrolle bietet eine Reihe von Vorteilen, darunter:

    • Die Fähigkeit, Cloud-Konfigurationen zu überwachen und zu bewerten.
    • Integrierte Sicherheitsmaßnahmen, die jeden Teil der Cloud-Lieferkette abdecken.
    • Bewährte Verfahren und Verantwortlichkeit für jeden Akteur in der Kette, von der IT-Abteilung bis zum Endnutzer.
    • Größeres Vertrauen in den Datenschutz und die Einhaltung von Vorschriften.
    • Eine klare Aufteilung der Sicherheitsverantwortung zwischen Cloud-Anbietern und Kunden.
    • Ein vollständiger Überblick über Cloud-Daten, der hilft, gefährdete Informationen und Prozesse zu erkennen.
    • Ein Mechanismus für die kontinuierliche Bewertung und Verbesserung der Cloud-Sicherheit.

    Cloud-Sicherheitskontrollen - warum sind sie wichtig?

    Sicherheitsverletzungen und menschliches Versagen werden immer häufiger auftreten, wenn Unternehmen nicht die notwendigen Maßnahmen ergreifen, die sich auf Rechenzentren, Geräte und Dienste von Drittanbietern erstrecken. Die Wahl der richtigen Cloud-Sicherheitskontrollen kann das Geschäftsrisiko minimieren.

    Die Quintessenz

    Der Übergang zur Cloud-basierten IT ist nicht nur ein technologischer Wandel. Es ist eine Transformation, die neue Prozesse, neue Arbeitsweisen und neue Sicherheitskontrollen erfordert. Selbst wenn Unternehmen mit führenden Cloud-Anbietern zusammenarbeiten, die in ihren Produkten und Diensten den neuesten Schutz bieten, müssen sie die Daten, Anwendungen und Infrastrukturen, die in ihrer Obhut verbleiben, sichern. Um die Vorteile der Cloud nutzen zu können, ohne das Risiko zu erhöhen, müssen Unternehmen ihre Cloud-Sicherheit in den Griff bekommen

    [i] " Die große Cloud-Computing-Welle ," InfoWorld

    [ii] " So ziemlich jedes Unternehmen hat irgendeine Art von Cloud-Datenverletzung erlitten ," TechRadar

    [iii] " Ist die Cloud sicher? ", Gartner

    [iv] " Cloud Controls Matrix ," Cloud Security Alliance

    gettyimages-862201574.png
    Nächster Punkt
    Web Security |
    Sicherheit in öffentlichen, privaten und hybriden Clouds: Was ist der Unterschied?

    Verwandte Artikel

    Web Security
    Microsoft OneDrive Sicherheit
    Web Security
    Neue Ansätze zur Bekämpfung von Ransomware zeichnen sich ab
    Web Security
    Wie Microservices die Tür für Makro-Bedrohungen öffnen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang