Suchen

IT-Sicherheit in der Cloud Die Vorzüge und Hürden von Cloud Computing

Autor / Redakteur: Rolf Haas* / Florian Karlstetter

Cloud Computing verspricht gesteigerte Effizienz und Produktivität sowie Kostenreduzierung. Eine hervorragende Grundlage für Unternehmen, sich für die digitale Transformation zu rüsten, um auch in Zukunft wettbewerbsfähig zu bleiben. Doch hinter den Chancen verbergen sich auch einschlägige Risiken, die Unternehmen nicht aus den Augen verlieren dürfen.

Firmen zum Thema

Wie Unternehmen die Cloud heute zu ihren Gunsten nutzen und sich gleichzeitig vor Bedrohungen schützen können.
Wie Unternehmen die Cloud heute zu ihren Gunsten nutzen und sich gleichzeitig vor Bedrohungen schützen können.
(Bild: © kran77 - stock.adobe.com)

Wie Unternehmen die Cloud heute zu ihren Gunsten nutzen und sich gleichzeitig vor Bedrohungen schützen können, erklärt Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.

Im Oktober 2019 ließ McAfee über das Marktforschungsinstitut Censuswide eine Umfrage unter 500 IT-Leitern und 253 Angestellten durchführen. Das Thema befasst sich mit der Frage, wie deutsche Unternehmen die Cloud nutzen. Die Ergebnisse dieser Umfrage sind eindeutig: 91 Prozent der IT-Leiter schätzt ihr Unternehmen als stark Cloud-fokussiert – also ‚Cloud-First‘ – ein. Einige der Unternehmen haben sogar bereits vor mindestens sieben Jahren die erste cloudbasierte Anwendung in ihre IT-Landschaft implementiert. Über die Hälfte der Betriebe (62 Prozent), in denen die Cloud noch nicht an erster Stelle steht, geht jedoch davon aus, dass sie in den kommenden zwei Jahren aufgeholt haben werden. Die Studie von McAfee macht demnach deutlich, dass die Zahl der Unternehmen wächst, in denen Cloud Computing die traditionellen On-Premises ablöst.

Cloud Computing für mehr Effizienz und Produktivität

Die Migration in die Cloud in Bezug auf die digitale Transformation von Unternehmen ist nicht mehr wegzudenken. 86 Prozent der befragten IT-Leiter gibt sogar an, dass ihr Unternehmen eine Strategie verfolgt, um in Zukunft nur noch mit Cloud Computing (‚Cloud-only‘) zu arbeiten. 34 Prozent von ihnen sind sich sogar sicher, dass sie diesen Status im kommenden Jahr erreichen werden. Betrachtet man die Vorteile und Chancen, die eine solche Umstellung mit sich bringt, sollte diese Entscheidung auch niemanden verwundern.

Sowohl IT-Leiter (84 Prozent) als auch die Angestellten der Unternehmen (70 Prozent) sind sich einig, dass cloudbasierte Anwendungen ihren Arbeitsalltag um einiges effizienter gestalten – nicht zuletzt wegen der Bereitstellung einer potenziell vielseitigen und größeren Service-Palette. Ebenso bestätigen die befragten IT-Leiter zu 66 Prozent, dass ihre Cloud-First-Strategie einen positiven Einfluss auf ihre Unternehmensproduktivität hat.

Neben der Mitarbeiterproduktivität, können Unternehmen mithilfe von Cloud Computing auch die „Time-to-Market“ ihrer Produkte erheblich verkürzen und Kosteneinsparungen verbuchen. Cloud-First-Unternehmen zeigen sich sogar offener Innovationen gegenüber und schaffen eine Expansion in neue Märkte. Ein weiterer Vorteil, von dem private und gewerbliche Cloud-Nutzer gleichermaßen profitieren, ist die Zugänglichkeit und das einfache und schnelle Versenden von Daten. Doch bilden diese Vorteile nur eine Seite der Medaille. Unternehmen müssen sich der Risiken bewusst sein, die sich mit Cloud Computing in die betriebsinterne IT-Landschaft schleichen können.

Cyber-Kriminelle und die Jagd nach gewinnbringenden Daten

Je zugänglicher die Daten in der Cloud sind, desto verführerischer scheint das Teilen und Lagern von Daten jeglicher Art zu sein. Darunter fallen auch sensible und/oder unternehmenskritische Inhalte. McAfee schätzt in ihrem Cloud Adoption and Risk Report, dass rund 21 Prozent aller Daten in der Cloud unter diese Kategorie fallen. Und auch die IT-Leiter der aktuellen Umfrage bestätigen: Über die Hälfte (61 Prozent) gibt an, dass sich bereits mindestens die Hälfte ihrer unternehmenskritischen Daten auf Cloud-Servern befindet. Und obwohl 70 Prozent der IT-Leiter, die dieses Vorhaben nicht unterstützen, Sicherheitsbedenken als Hauptgrund nennen, planen 96 Prozent der IT-Leiter noch mehr sensible Daten in der Cloud unterzubringen.

Diese kritische Menge solcher Dateninhalte stellt ein gefundenes Fressen für Cyber-Kriminelle dar. Immer mehr Unternehmen – kleine, mittelständische und große gleichermaßen – geraten ins Visier von Hackern und Saboteuren. In einer Umfrage über den Wirtschaftsschutz in der digitalen Welt (PDF) konnte Bitkom feststellen, dass in den vorangegangenen zwei Jahren die Zahl der Unternehmen, die von mindestens einer Cyber-Attacke betroffen waren, von 53 auf 75 Prozent gestiegen ist. Zum einen kann Malware, die über externe Hardware oder einem infizierten E-Mail-Anhang, der die Mitarbeiter durch Spear-Phishing erreicht, in das Unternehmensnetzwerk gelangen, die daraufhin Tore für Cyber-Kriminelle öffnet. Diese bedienen sich uneingeschränkt an der wertvollen Beute in Form von sensiblen Daten und verkaufen sie im Darknet. Zum anderen sind sie mit Ransomware in der Lage, Daten zu verschlüsseln, um somit den operativen Unternehmensbetrieb nachhaltig zu stören und gleichzeitig große Geldsummen zu erpressen.

Interne Gefahren im Schatten der IT

Die Bedrohungen von außen sind vielseitig, doch gibt es auch in den internen Reihen Sicherheitsrisiken, die Unternehmen nicht vernachlässigen dürfen. Die „unaufmerksamen Mitarbeiter“ spalten sich in zwei Subkategorien: Jene, die seltsam anmutenden E-Mails nicht die nötige Aufmerksam schenken und somit Opfer von Social Engineering werden, und Mitarbeiter, die – wenn auch unbeabsichtigt – aktiv zur Vergrößerung von Sicherheitslücken beitragen.

In letzterem Fall handelt es sich um Nutzer, die sich im Bereich der sogenannten „Schatten-IT“ bewegen, also IT-Applikationen und -Services nutzen, die nicht offiziell von der unternehmensinternen IT-Abteilung abgesegnet wurden. Laut der Umfrage von McAfee, sind sich 53 Prozent der IT-Leiter sicher, dass über die Hälfte ihrer Belegschaft unautorisierte Cloud-Services nutzt. Rund 41 Prozent der Angestellten stimmen dem sogar ganz offen zu. Sie nutzen diese Services und Anwendungen wohlwissend, dass die IT-Abteilung nichts von ihrer Existenz weiß. Demgegenüber stehen 14 Prozent der Angestellten, die nicht einmal wissen, welche Cloud-Services überhaupt genehmigt wurden und welche nicht.

Was diesen Mitarbeitern dabei jedoch entgeht: Solche Anwendungen fallen unter den Radar der IT-Abteilung. Sobald Sicherheitslücken auftauchen, kann die IT-Abteilung diese folglich nicht stopfen, da ihnen die Kontrolle und Übersicht über diese fehlt. Da vielen Ottonormal-Mitarbeitern ebenso das Security-Know-How fehlt, haben es Cyber-Kriminelle leicht, sich über Sicherheitslücken in das Netzwerk zu schleusen. Dies kann in Datenverlusten, Malware und Compliance-Verstößen resultieren.

Ein umfassender Sicherheitsansatz muss her

Über Data Loss Prevention (DLP)-Lösungen können Daten je nach Sensibilität eingestuft werden, wodurch die Kontrolle über sie effizienter und leichter fällt. Im Falle eines Sicherheitsverstoßes sind DLPs in der Lage, diese Aktivitäten zu stoppen. Wurde eine DLP jedoch On-Premise implementiert, wird die Cloud-Infrastruktur in Sachen Sicherheit nicht miteinbezogen. Für dieses Problem schaffen Cloud Access Security Broker (CASB) Abhilfe. Diese erweitern die lokal geltenden Sicherheitsrichtlinien auf die Cloud und stellen die Compliance sicher. Außerdem übernehmen sie das Monitoring der Datenbewegung zwischen Cloud-Services und Endnutzern und melden auffällige Aktivitäten in Echtzeit.

Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.
Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.
(Bild: McAfee)

Auch wenn IT-Leiter eine Verbesserung der Datensicherheit mit der Nutzung von Cloud-Services assoziieren (rund 84 Prozent), stellen Cloud-Provider nur einen Bruchteil an Sicherheitsmaßnahmen zur Verfügung. Die Unternehmen selbst tragen einen beträchtlichen Teil dieser Verantwortung und sind angehalten, sich um die umfassende Datensicherheit zu kümmern. Die finanziellen Schäden, die durch die Vernachlässigung der Datensicherheit zustande kommen, beliefen sich im letzten Jahr auf durchschnittlich 102,9 Millionen Euro, so Bitkom in ihrem Bericht zum Wirtschaftsschutz. Diese Summe beweist, dass der Schutz der Unternehmensdaten vor äußeren und inneren Einflüssen ebenso wichtig ist wie das Nutzen von Chancen für die eigenen Vorteile.

Der Autor: Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.

(ID:46390140)