Der Blick in die Glaskugel Was 2022 für die Cloud-Sicherheit wichtig wird

Niemand zweifelt an einer weiter steigenden Bedeutung der Cloud. Doch was wird sich bei den Cloud-Risiken und was bei der Cloud-Sicherheit tun? Worauf sollten sich Unternehmen 2022 einstellen? Wir haben die Prognosen von Analystenhäusern näher angesehen und ausgewertet.

Firmen zum Thema

Beim Thema Cloud-Sicherheit zeichnen sich einige Veränderungen ab, die für Unternehmen als Cloud-Anwender wichtig werden können.
Beim Thema Cloud-Sicherheit zeichnen sich einige Veränderungen ab, die für Unternehmen als Cloud-Anwender wichtig werden können.
(Bild: gemeinfrei© Meli1670 / Pixabay )

Betrachtet man die Vorhersagen der Marktforscher zu Cloud Computing im allgemeinen und Cloud-Sicherheit im speziellen, kommt man an den neuen Arbeitsmodellen wie Hybrid Work nicht vorbei.

Hybrid Work erhöht weiter die Cloud-Risiken

„Die Transformation der Arbeit und Remote Work hat sich durch die Pandemie fraglos beschleunigt“, so Sabrina Schmitt, Senior Consultant und Projektleiterin bei IDC. „29 Prozent der befragten Entscheider wollen auch in Zukunft remote arbeiten, das sind fast dreimal so viel wie noch vor dem Jahr 2020.“ 79 Prozent der Unternehmen planen ein neues bzw. verändertes Arbeitsplatzmodell, 36 Prozent davon eine Mischung aus Präsenz am Unternehmensstandort und Remote-Arbeit – also ein hybrides Arbeitsplatzmodell. Die Bürozentriertheit ist damit auch hierzulande passé. Elf Prozent wollen ihre Büroflächen sogar gänzlich aufgeben und verfolgen einen rein virtuellen Ansatz.

Für die flexible Arbeit unterwegs, im Homeoffice, im klassischen Büro und am geteilten Schreibtisch (Desk Sharing) sind Cloud-Dienste als Basis des Digital Workplace unabdingbar. Das gilt natürlich auch für das Jahr 2022. Dabei wird in den nächsten Monaten das Bewusstsein dafür zunehmen, dass hybride Arbeit nicht nur mehr Sicherheit bei den Endgeräten und sichere Verbindungen voraussetzt, sondern auch ein ausgefeilteres Identitäts- und Berechtigungsmanagement für die genutzten Cloud-Services.

Mit Hybrid Work wird deshalb nicht nur vermehrt die IAM-Lösung aus der Cloud stammen, sondern umgekehrt braucht es für die Cloud-Dienste IAM-Funktionen, die alles abbilden, was man auch in der On-Premises-IT geregelt hat, und hätte zudem die cloud-spezifischen Berechtigungen.

Cloud-Strukturen sind weiterhin zu komplex

Auch der nächste Punkt, der die Cloud-Sicherheit 2022 betreffen wird, ist eine Fortsetzung der Herausforderungen, die bereits in diesem Jahr und davor begonnen haben. Denn mit der zunehmenden Cloud-Nutzung wird auch dieses Problem größer, nämlich die Cloud-Komplexität.

Mehr als 80 Prozent der IT-Führungskräfte in Deutschland halten die Technologie, Daten und Betriebsumgebungen in ihren Unternehmen für unnötig komplex und schätzen, dass die Betriebe daher nicht optimal gegen Cyberangriffe geschützt sind, so die Studie „Digital Trust Insights 2022“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Dabei sagen dies 85 Prozent auch über die genutzten Cloud-Umgebungen.

Komplex sind teilweise auch die Beziehungen zu Zulieferern: Rund ein Drittel (32 %) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 %).

Bekanntlich sind Unklarheiten und fehlende Transparenz der ideale Nährboden für Fehler und Sicherheitslücken, zum Beispiel durch Schatten-IT bei den Cloud-Diensten und durch fehlerhafte Cloud-Konfigurationen. Unternehmen müssen deshalb dringend Transparenz erlangen in ihren Cloud-Strukturen und Cloud-Lieferbeziehungen. Cloud-Visibilität ist mehr denn je Trumpf.

Cloud-Strategien sind noch unvollständig

Bisher war die Cloud lediglich ein Element der Informationstechnologie. Künftig wird sie die zentrale Komponente und das dominierende Gestaltungsprinzip sein, so IDC. Organisationen müssen also ihre Cloud-Strategien und ihre IT-Infrastruktur zügig aufeinander abstimmen, um sich auf eine Zukunft integrierter IT-Landschaften vorzubereiten, in denen eine umfassende Abstrahierung von Hardware, Automatisierung, Vernetzung, Cloud-Native, Colocation und Edge Computing eine zentrale Rolle spielen.

Dabei zeichnen sich auch bestimmte Cloud-Entwicklungen ab, die man aus Security-Sicht beleuchten sollte: 80 Prozent der von IDC Befragten nutzen verschiedene Cloud-Typen, die Hybrid Cloud ist dabei klar das dominierende Modell. Die Unternehmen konzentrieren sich in der Regel auf einen Hyperscaler bzw. Infrastrukturanbieter, mit dem sie die Zusammenarbeit Schritt für Schritt vertiefen. Ein zweiter Hyperscaler wird in Betracht gezogen bzw. evaluiert, um benchmarken zu können oder um punktuell Services nutzen zu können. Nur sehr große Unternehmen verfolgen eine Strategie, die mehrere Hyperscaler umfasst.

eBook zum Thema

Cloud-Resilienz

eBook Cloud-Resilienz
(Bildquelle: CloudComputing-Insider)

Wer Cloud-Dienste nutzt, stellt daran bestimmte Anforderungen wie Performance, Verfügbarkeit und Sicherheit. Leider wird oftmals die Resilienz, die Widerstandskraft, vergessen.

  • Was bedeutet Widerstandskraft im Cloud Computing?
  • Warum sind Clouds nicht resilient genug?
  • Wie man die Cloud-Widerstandskraft stärken kann

Das bedeutet aber, dass sich Unternehmen weniger auf Multi-Cloud-Sicherheit als vielmehr auf Hybrid-Cloud-Security konzentrieren müssen. Das ist jedoch keine Vereinfachung, da man scheinbar nur die On-Premises-IT und einen Cloud-Anbieter im Security-Konzept berücksichtigen muss. Stattdessen bedeutet dies eine stärkere Abhängigkeit von der Security des gewählten Cloud-Anbieters im Rahmen der geteilten Verantwortung: die Cloud-Sicherheit des gewählten Providers hat höchste Priorität. Zudem müssen ergänzende Cloud-Sicherheitslösungen passend für den Cloud-Dienst der Wahl ausgesucht und konfiguriert werden.

Es geht somit künftig weniger um das Management der verschiedenen Cloud-Sicherheitsfunktionen in Multi-Clouds, sondern um eine ganz genaue Kontrolle und Überwachung der Sicherheit bei dem Cloud-Provider der Wahl, bei den eigenen Aufgaben der Cloud-Sicherheit (Shared Responsibility) und bei der On-Premises-Sicherheit. Das gilt es auch gerade bei den Konzepten für Cloud-Verfügbarkeit und Cloud-Ausfallsicherheit zu berücksichtigen.

Security by Design darf in der Cloud nicht mehr fehlen

Die Cloud ist der kritische Faktor für digitales Business der nächsten Generation. Die Anwendungsmodernisierung und -entwicklung für die Cloud und in der Cloud entwickeln sich dabei zunehmend zum Enabler für hohe Geschwindigkeit, Flexibilität und Agilität, so IDC. Den Unternehmen steht ein umfassendes Toolset aus Lösungen, Prozessen und Methoden mit DevOps im Zentrum zur Verfügung. Die Beherrschung dieser komplexen Gemengelage ist alles andere als trivial.

Eines der größten Risiken sind Löcher in der Security-Kette. Zwar stehen den Unternehmen bei Cloud Native und DevOps viele unterschiedliche Security Tools zur Verfügung und die große Zahl der am Markt verfügbaren Lösungen ist ein klarer Beleg für die Komplexität und Vielfältigkeit des Themas, dennoch kommen sie offenbar nicht umfassend zum Einsatz.

Offensichtlich kann dann aber Security by Design nicht gelingen, nicht in der Cloud und nicht in den Applikationen, die in der Cloud entwickelt werden. Unternehmen müssen deshalb den Einsatz geeigneter Security-Tools für die Entwicklung der Cloud und in der Cloud forcieren.

(ID:47812195)