Enterprise Clouds aktiv schützen Sicherheit selbst in die Hand nehmen

Autor / Redakteur: Al Lakhani* / Elke Witmer-Goßner

Unternehmen verlagern ihre Anwendungen zunehmenden in die Cloud, um von den Vorteilen im Bereich Performance und Flexibilität zu profitieren. Wer jedoch denkt, dass auch das Thema Cybersecurity damit erledigt ist, dem droht womöglich ein böses Erwachen.

Firma zum Thema

Die Cloud ist kein Ruhekissen! Unternehmen sollten vor allem in Puncto Sicherheit das Prinzip „Zero Trust“ verinnerlichen.
Die Cloud ist kein Ruhekissen! Unternehmen sollten vor allem in Puncto Sicherheit das Prinzip „Zero Trust“ verinnerlichen.
(Bild: ©allvision - stock.adobe.com)

Cloud-Dienste erfreuen sich wachsender Beliebtheit bei Unternehmen jeglicher Größe und die Analysten von IDC prognostizieren ein jährliches Umsatzwachstum von über 20 Prozent im Bereich der Public-Cloud-Services. Obwohl das Thema also mittlerweile Standard in vielen Firmen ist, halten sich einige Bedenken hartnäckig. Die Angst vor Datenverlust oder unberechtigtem Zugriff von außen zählt dabei zu den Hauptargumenten gegen die Überführung sensibler Daten in die Public Cloud. Zudem werden immer mehr Stimmen laut, die Cloud-Anbieter stärker in die Pflicht zu nehmen. Einer aktuellen Studie zufolge wünschen sich rund 98 Prozent der befragten Unternehmen mehr Engagement der Cloud-Anbieter im Bereich Cybersecurity.

Alle Verantwortung bei dem Provider zu verorten, wird der Thematik jedoch nicht gerecht. Wer Vorteile der Cloud, etwa geringere Betriebskosten oder der unkomplizierte Remote-Zugriff für Mitarbeiter aus dem Homeoffice, für sich nutzen möchte, muss auch dafür sorgen, dass das System adäquat geschützt ist. Denn die meisten Cloud-Provider bieten ihre Dienste zunächst einmal unter der Prämisse an, dass diese stabil und performant laufen und vor einem technischen Ausfall geschützt sind.

Sicherheitskonzepte für den Zugriff etwa obliegen jedoch den Unternehmen selbst. Mit der Nutzung mehrerer Clouds (Multi-Cloud-Umgebungen) sowie verschiedener Anwendungen für Kommunikation, Kollaboration und andere SaaS-Dienst gehen eine Reihe von unabdingbaren Schutzmaßnahmen einher.

Sicherheit zu Ende denken

Für die Sicherheitsarchitektur in der Cloud ist eine End-to-End-Lösung unabdingbar – zu groß ist das Risiko, dass Schwachstellen an den verschiedenen Endpunkten das gesamte System in Gefahr bringen. Im Speziellen ist hier auf eine sichere Datenkommunikation zwischen Public und Private Cloud zu achten und die geschäftskritischen Daten zu verschlüsseln. Zudem sollte das Schlüsselmanagement selbst abgesichert und getrennt aufbewahrt werden.

Das Gleiche gilt auch für das Identity- und Access-Management in der Cloud. Zwar bieten die Cloud-Provider hier mittlerweile eigene Routinen an, doch diese bedingen, dass Unternehmen die vollständige Kontrolle abgeben. Single Sign-on-Dienste mögen zwar komfortabel erscheinen, sind jedoch im Zweifelsfall ein Single Point of Failure. Gelangen Hacker in den Besitz der Zugriffsdaten von Mitarbeitern oder Administratoren ist der Schaden oft enorm. Wie leicht das passieren kann, zeigen unzählige Phishing-Angriffe, die wir gerade in Zeiten von Corona erlebt haben.

Um das zu verhindern, sollten Unternehmen auf zwei Prinzipien setzen: „Zero Trust“ und „Least Privilege“. Ersteres besagt, dass sämtliche Zugriffe – sowohl intern als auch von außen – authentifiziert werden müssen. Dabei sollte die Authentifizierung nicht ausschließlich an Credentials gekoppelt sein und mindestens eine 2-Faktor-Authentifizierung erfolgen. Least Privilege-Modelle sorgen zudem dafür, dass Anwendern nur diejenigen Zugriffsrechte zugestanden werden, die er oder sie auch wirklich benötigt.

Sicherheit zu Ende denken bedeutet aber auch, dass das Identitätsmanagement selbst abgesichert wird. Wer Recovery-Prozesse, das Onboarding neuer Mitarbeiter oder die „Root-User“ (Zugriffsrechte der Administratoren) nicht konsequent mitdenkt, lässt Teilbereiche ungeschützt. Damit bricht die Sicherheitskette als Ganzes zusammen. Auch diese Überlegung spricht dafür, dass Unternehmen die Kontrolle nicht vollständig abgeben. Kryptografische Schlüssel sind nur dann wirklich sicher, wenn die Cloud-Nutzer auch die vollständige Kontrolle über deren Verwaltung haben.

Daher sollte bei der Cloud-Nutzung auf eine externe Lösung zurückgegriffen werden, die im Idealfall die Prinzipien von Zero Trust gewährleisten. Wer zusätzliche Risiken in Verbindung mit externen Dienstleistern verhindern möchte, sollte zudem darauf achten, dass das „Zero Knowledge“-Prinzip eingehalten wird. Dabei geht es darum, keinerlei Daten aus dem Identitiy- und Access-Prozess bei dem IDP (Identity-Provider) vorzuhalten. Wie wichtig das sein kann, zeigen jüngste Angriffe auf Kaseya oder SolarWinds. Drittanbieter geraten zunehmend ins Visier von Cyberkriminellen, auch weil über sie der Angriff auf unzählige Ziele erleichtert wird.

Überkomplexität vermeiden

Eine übermäßig komplexe Infrastruktur, aufwändige Workloads sowie komplizierte Prozesse für den Zugriff auf Unternehmensressourcen sollten bei aller gebotenen Security-Awareness dennoch vermieden werden. Ist die User Experience für den Anmelde- und Authentifizierungsprozess umständlich oder mit hohem individuellen Aufwand verbunden, so sinkt die Akzeptanz bei den Mitarbeitern rapide. Man kennt das etwa von Routinen für die Änderung von Passwörtern. Wenn Mitarbeiter ständig dazu aufgefordert werden, ein neues Passwort zu wählen, so wählen die meisten ein Passwort, dass sich jedes Mal nur geringfügig ändert. Wer nun meint, das Problem sei mit einem Passwort-Manager aus der Welt geschafft, der vergisst, dass auch solche Lösungen mit einem „Master-Passwort“ arbeiten – und auch das muss regelmäßig geändert werden. Die Problematik wird also lediglich verschoben.

Doch es gibt auch Lösungen, die gänzlich auf Passwörter verzichten und die offensichtlichste haben die meisten Menschen stets griffbereit: das Smartphone. Was für das Entsperren des Smartphones per Gesichtserkennung gilt, ist auch für den Arbeitsrechner längst machbar und zudem ein Sicherheitsfaktor mit dem Nutzer ortsunabhängig identifiziert werden können. Das eigene Smartphone hat man stets dabei und ein Verlust wird den meisten Menschen deutlich schneller bewusst, als wenn ein Passwort gestohlen wird. Doch auch hier bleibt immer ein Restrisiko und Unternehmen sollten sich stets intensiv mit der zugrunde liegenden Technologie der Anbieter beschäftigen.

Niemand erhält Vertrauen per se

Unternehmen verlassen auf dem Weg in die Cloud die Grenzen des eigenen Netzwerks und Daten und Anwendungen entziehen sich schrittweise ihrer Kontrolle. Um Zugriffe besser steuern zu können, sollten Unternehmen das Zero Trust-Prinzip für die Cloud verinnerlichen: „Vertraue niemandem“ – weder Mitarbeitern, noch Cloud-Anbietern, noch anderen Dienstleistern.

Al Lakhani, IDEE GmbH.
Al Lakhani, IDEE GmbH.
(Bild: Christoph Kassette)

* Der Autor Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH, Anbieter von Authentifizierungs-, Autorisierungs- und Verifizierungslösungen. Er ist ausgewiesener Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld. Mit seinem Unternehmen verfolgt Lakhani die Vision einer Welt, in der alle digitalen Interaktionen der Menschen vertrauenswürdig und privat sind.

(ID:47637626)