Sicherheit in der Wolke (Un-)Sicherheitsfaktor Cloud

Autor: Sarah Böttcher

Nicht nur die Cloud-Nutzung, auch Cyber-Angriffe auf Cloud Services haben in den ersten vier Monaten dieses Jahres stark zugenommen. Nun stellt sich die ketzerische Frage: Bringt die Cloud Sicherheitsrisiken für Unternehmen mit sich?

Firmen zum Thema

Viele Unternehmen hängen mit ihrer Cloud-Security-Strategie in der Schwebe.
Viele Unternehmen hängen mit ihrer Cloud-Security-Strategie in der Schwebe.
(Bild: Cristina Conti - stock.adobe.com)

Die Cloud-Nutzung in Unternehmen ist laut dem aktuellen „Cloud Adoption & Risk Report“ von McAfee in den ersten vier Monaten dieses Jahres um 50 Prozent gestiegen. Der Einsatz von Cloud Collaboration Tools stieg sogar um satte 600 Prozent. So brauchte es scheinbar erst eine Pandemie, doch jetzt ist es eine unbestreitbare Tatsache: Die Cloud ist im Markt angekommen. Doch mit der zunehmenden Verbreitung der Cloud ist parallel auch die Anzahl der Cyber-Angriffe drastisch ­gestiegen. So verdreifachten sich laut den Studien­ergebnissen anormale Login-Versuche in Cloud Services, und externe Angriffe auf eben diese nahmen sogar um das Siebenfache zu. „Das Risiko, das durch cyberkriminelle Angriffe auf Cloud-Umgebungen entsteht, ist weitaus höher, als jenes, das von Mitarbeitern ausgeht, die sich an das neue Arbeitsumfeld gewöhnen müssen“, bemerkt Rajiv Gupta, Senior Vice President für den Bereich Cloud-Sicherheit bei McAfee.

Authentifizierungs- und Berechtigungsprobleme, nicht gepflegte internetbezogene Workloads und falsch konfigurierter Speicher sind laut einer ­aktuellen Studie im Auftrag von Orca Security die schwächsten Glieder einer durchgängigen Cloud-Sicherheit. Durch die steigende Komplexität der ITK-Systeme sowie die zunehmende Schnelligkeit der Migration einiger Unternehmen in die Cloud ergeben sich zahlreiche zusätzliche Möglichkeiten für Cyberkriminelle, Server zu kompromittieren und Unternehmen zu infiltrieren. Bringt eine Cloud-Einführung für Unternehmen somit schon Sicherheitsrisiken mit sich?

Thorsten Weimann, Gründer und CEO bei Abtis
„Oftmals führt ein ,Zoo‘ von unterschiedlichsten Sicherheitslösungen zu unbeherrschbarer Komplexität und zu einer Fehleinschätzung. Denn gefühlte Sicherheit bedeutet nicht gleich vorhandene Sicherheit.“

Bildquelle: Abtis

Nicht die Cloud ist das Problem

Eine fehlerhafte Umsetzung der Cloud-Migration oder ein lückenhaftes Sicherheitskonzept führen durchaus zu erhöhten Sicherheitsrisiken, weiß Thorsten Weimann, CEO und Gründer von Abtis, aus Erfahrung. „Das liegt aber sichtlich nicht an der Cloud, sondern an der nicht ausgearbeiteten IT-Security-Strategie vieler Unternehmen“, moniert er. Zudem würden viele Firmen die Gefahren und die Angriffsvektoren unterschätzen. „Meist erachten sie sich selbst als uninteressant oder zu klein für einen gezielten Angriff“, erklärt der ­Abtis-Gründer. Diese Fehleinschätzung in Kombination mit einer nicht existenten IT-Security-Strategie führt am Ende zu mangelhaften Sicherheitsmechanismen.

Die zunehmende Verbreitung der Cloud kann folglich zu einem erhöhten Sicherheitsrisiko führen – allerdings nur aufgrund eben genannter Defizite auf Unternehmensseite. „Grundsätzlich bringt die Cloud keine zusätzlichen Sicherheitsrisiken im Vergleich zu heutigen On-Premises-Infrastrukturen mit sich. Vielmehr löst sie zahlreiche Security-Herausforderungen“, ist Weimann überzeugt. Denn schließlich geht es um den Schutz von Identitäten und Informationen. Da spiele die Bereitstellungsart keine Rolle.

Security-Strategie bleibt auf der Strecke

Scheinbar verfallen Unternehmen in eine Art hektischen Cloud-Aktionismus und beschäftigen sich bei der Migration nur mit Teilbereichen der IT-Security wie beispielsweise dem Datenschutz. Hier fehlt es an entsprechender Beratung. „Es hilft ja nicht, nur ein paar Lizenzen zu beziehen oder ein Stück Cloud günstig zu kaufen. Es braucht Strategie, Konzept, Umsetzung und vor ­allem auch kontinuierliche Begleitung“, ­betont Weimann. Und eben das scheint die größte Herausforderung für Unternehmen beim Schutz von Cloud-Infrastrukturen und -Workloads zu sein. „Das Thema IT-Security ist kein Projekt der IT-Abteilung, sondern des gesamten Unternehmens. Es endet nicht, es verändert sich lediglich“, ­erläutert der CEO. So muss bei der Transformation in die Cloud die IT-Security-Strategie angepasst und das komplette ­Unternehmen sensibilisiert werden.

Robert Korherr, CEO bei Prosoft
„Bei der Auslagerung von Daten, Services oder Applikationen in die Cloud addieren sich zu den Risiken, die Unternehmen bei der Absicherung der IT und Daten haben, noch weitere.“

Bildquelle: Prosoft

Auch Christina Decker, Head of Channel and Alliances bei Trend Micro, ist überzeugt, dass eine Cloud-Sicherheitsstrategie in Unternehmen schon sehr früh ansetzen muss: „Bei digitalen Transformationsprojekten müssen Unternehmen Security-­Aspekte bereits zu Beginn mit einbeziehen sowie Sicherheits- und Risikobewertungen mit einfließen lassen.“ Zahlreiche Unternehmen sind damit überfordert und greifen auf die Hilfe von Service Providern zurück. Das merkt auch Robert Korherr, CEO bei Prosoft: „Im KMU-Umfeld mangelt es trotz zunehmender Digitalisierung und steigender Anforderungen noch am Bewusstsein für IT-Sicherheit. Zusätzlich ­fehlen dort Sicherheitsspezialisten, unter anderem weil die Personalkosten überdurchschnittlich hoch und die Ressourcen Mangelware sind. Dementsprechend profitieren KMU von gehosteten Services überdurchschnittlich.“

Die Cloud bringt eine gesteigerte Sicherheit mit sich

Folglich ist eine Cloud-Infrastruktur an sich sicher. Unternehmen sind für die Sicherung ihrer Workloads, Daten und Prozesse jedoch selbst verantwortlich. Dies ist die Grundlage des Modells der geteilten Verantwortung („Shared Responsibility“) in der Cloud. Doch auch hier hakt es in Deutschland scheinbar noch an Transparenz und Beratung. Laut einer aktuellen Studie im Auftrag von Trend Micro haben 82 Prozent der deutschen Unternehmen ihre Cloud-Migration intensiviert. Fast alle (99 %) sind jedoch überzeugt, dass ihr Cloud Service Provider einen ausreichenden Schutz für ihre Daten bietet. Auch laut einer aktuellen Arcserve-Umfrage gehen in Deutschland 54 Prozent der Unternehmen davon aus, dass ihr Cloud-Anbieter für den Schutz und die Wiederherstellung ihrer Daten verantwortlich ist. Auch Prosoft-CEO Korherr beobachtet das Phänomen und sieht diesen Mangel an Transparenz beziehungsweise Unwissenheit als größten Fehler, den Unternehmen in puncto Cloud-Sicherheit begehen können.

Paradoxerweise sehen laut der Umfrage von Trend Micro momentan zahlreiche Firmen (41 %) in der Sicherheit ein sehr signifikantes Hindernis für die Cloud-Einführung, und das, obwohl die Cloud letztlich eine gesteigerte Sicherheit mit sich bringt. Fest steht: Die Einführung der Cloud ist kein einmaliger Prozess. Sie erfordert vielmehr kontinuierliches Management und strategische Konfiguration. Ebenso verhält es sich mit der Sicherheit in Unternehmen: Diese müssen nicht nur jetzt, sondern auch in Zukunft, ihre Sicherheitsstrategie dem digitalen Wandel anpassen und entsprechend ganzheitlich erweitern.

(ID:47482894)

Über den Autor

 Sarah Böttcher

Sarah Böttcher

Online CvD & Redakteurin bei IT-BUSINESS, Vogel IT-Medien