Die Beschränkungen im Rahmen der Corona-Pandemie haben gezeigt, dass heutzutage kaum mehr ein Unternehmen um den Einsatz von Cloud-Diensten herumkommt. Mithilfe von Cloud-nativen Kollaborations- und Kommunikations-Tools ließen sich in den letzten Monaten dezentrale Teams leichter managen und die Zusammenarbeit unter ihnen gewährleisten. Doch erkannten auch Cyber-Kriminelle ihre Chance, Schwachstellen in unausgereiften Cloud-Strategien aufzuspüren, um sensible Daten abgreifen zu können. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, zeigt auf, wie eine sichere Migration in die Cloud gelingt und eine langfristige Cloud-Sicherheitsstrategie aussehen sollte.
Laut einer aktuellen, von McAfee in Auftrag gegebenen Studie gaben 92 Prozent der befragten IT-Leiter an, dass ihr Unternehmen bereits eine Cloud-first-Strategie verfolgt. Dies überrascht nicht, denn die Vorteile von Cloud-Diensten liegen klar auf der Hand: Dazu zählen unter anderem eine Steigerung der Mitarbeiterproduktivität (66 Prozent), Kosteneinsparungen (62 Prozent) oder als Antreiber von Innovationen (62 Prozent). 65 Prozent haben sich für die Cloud-Migration entschieden, weil sie Cloud Computing mit einem höheren Sicherheitsniveau assoziieren. Doch sorgen Cloud Provider nicht automatisch für einen Rundum-Schutz: Vielmehr verteilt sich die Sicherheitsverantwortung auf alle involvierten Akteure – Provider, Unternehmen und Endnutzer – gleichermaßen. Deshalb gaben 65 Prozent der Befragten ihre Bedenken hinsichtlich des Sicherheitsaspekts als Grund an, warum sie in Zukunft keine Cloud-only-Strategie verfolgen wollen.
Datenschätze in der Cloud locken Cyber-Kriminelle an
Mithilfe von Cloud-Anwendungen lässt sich nicht nur die zwischenmenschliche Kommunikation leichter umsetzen, sondern sie fördern ebenso die Zusammenarbeit vor allem durch das schnelle Teilen von Daten – auch jenen mit sensiblen oder unternehmenskritischen Inhalten. Diese Informationen verteilen sich auf geschätzt 21 Prozent aller Daten in der Cloud. 96 Prozent der befragten IT-Leiter planen sogar, in nächster Zeit noch mehr sensible Informationen in ihre Cloud zu speisen. Das verstärkte Teilen sensibler Daten über die Cloud mittels ungeschützter Links, stellt ein erhebliches Sicherheitsrisiko für Unternehmensnetzwerke dar. Und trotzdem sind laut einer weiteren McAfee-Studie nur 30 Prozent der befragten Unternehmen in der Lage, Daten sowohl auf sämtlichen Endgeräte als auch im Netzwerk und der Cloud mittels einheitlicher Sicherheitsrichtlinien zu schützen. Und lediglich nur 36 Prozent können ihre Data Loss Prevention (DLP)-Richtlinien auch in der Cloud-Umgebung durchsetzen.
Neben den technischen Schwachstellen durch unzureichende Schutzmaßnahmen, vergrößert die sogenannte Schatten-IT das Risikopotenzial noch weiter. Dabei greifen Mitarbeiter – mutwillig oder unwissentlich – auf alternative Cloud-Anwendungen zurück, mit denen sie unter Umständen besser arbeiten können, die jedoch von der IT-Abteilung offiziell nicht genehmigt wurden. Hierdurch verlieren IT-Teams den Überblick über den Einsatz aller Dienste und können im Ernstfall nicht adäquat auf Bedrohungen reagieren.
Cyber-Angreifer kennen diese technischen sowie menschlichen Schwachstellen von Cloud-Infrastrukturen genauso wie den Wert der Cloud in Form von sensiblen und unternehmenskritischen Daten. Sie versuchen, jedes Schlupfloch auszunutzen, um in das Unternehmensnetzwerk zu gelangen und Daten sowie Informationen abzugreifen. Deshalb ist es wichtig, dass Unternehmen einen ganzheitlichen Sicherheitsansatz zum Schutz vor Datendiebstahl und Kompromittierung wählen.
Die Cloud ganzheitlich vor Bedrohungen schützen
Unternehmensnetzwerke sind von mehreren Punkten aus angreifbar: über die Endgeräte, sobald sich Daten auf dem Weg in oder aus der Cloud befinden und über die Cloud selbst. Oftmals haben Unternehmen mehrere Lösungen im Einsatz, um jeden potenziellen Angriffspunkt abzusichern. Laut der Enterprise Strategy Group nutzen Organisationen durchschnittlich 25 bis 49 unterschiedliche Tools von bis zu zehn verschiedenen Anbietern. Die Problematik dabei ist, dass diese Lösungen in den meisten Fällen einzelne, alleinstehende Datensilos generieren, die sie nicht miteinander austauschen können.
Ganzheitliche Sicherheitslösungen wie Unified Cloud Edge (UCE) von McAfee schaffen Abhilfe: Sie bieten einen „Device-to-Cloud“-Schutz sämtlicher Daten vom Endgerät in und aus der Cloud sowie innerhalb von SaaS-Cloud-Diensten (Software-as-a-Service) und bieten die nötige Transparenz des Cloud-Netzwerks. Dies gewährleistet eine solche Lösung, indem sie die Fähigkeiten und Funktionen von Data Loss Prevention-Lösungen (DLP), Cloud Access Security Brokern (CASBs) sowie Cloud-basierten Secure Web Gateways (SWGs) zu einem großen Ganzen miteinander vereinen.
CASBs sorgen dafür, dass Sicherheitsrichtlinien von lokal agierenden DLP-Tools ebenfalls in der Cloud umgesetzt werden. In Verbindung mit SWGs überwachen sie den Datenverkehr zwischen Anwendern und Anwendungen, machen auf verdächtige Aktivitäten aufmerksam und erlauben es IT-Teams, Nutzungsprivilegien für bestimmte Cloud-Dienste zu vergeben. Außerdem schaffen sie die nötige Transparenz, damit IT-Teams unautorisierte Anwendungen oder Bewegungen leicht ausfindig machen können. So behält die IT-Abteilung die Kontrolle über die Cloud-Umgebung, können bei potenziellen Bedrohungen sofort einschreiten und entsprechende Maßnahmen einleiten.
Fazit: Initiativen zur Gewährleistung von Cloud-Sicherheit
Eine ganzheitliche Cloud-Sicherheitsstrategie ist das A und O, wenn es um den umfassenden Schutz von Daten im Netzwerk geht. Das wissen auch führende Cyber-Sicherheitsunternehmen: Auf ihr Bestreben wurden mehrere Initiativen ins Leben gerufen, die sich dem Schaffen von Awareness in Sachen Cloud-Sicherheit aber auch der direkten Umsetzung in Form von offenen Ökosysteme, Integrationslösungen und Services widmen:
- Die Cloud Security Alliance (CSA) setzt sich für die Sensibilisierung in Sachen Cloud-Sicherheit ein. In Zusammenarbeit mit Branchenexperten und Verbänden treibt sie Cloud-Securtiy-spezifische Forschung, Zertifizierungen und Veranstaltungen an und bietet darüber hinaus Lösungen für eine ganzheitlich sichere Cloud Computing-Umgebung.
- Die Mitglieder der Open Cybersecurity Alliance (OCA) entwickeln und fördern Open-Source-Inhalte, -Codes, -Tools sowie -Prozesse, die auf die Interoperabilität und den Datenaustausch von Cyber Security-Tools abzielen, die weiterhin in Silos arbeiten. McAfee bietet im Rahmen der OCA ihre Kommunikationsstruktur Data Exchange Layer (OpenDXL) an, die die Sicherheitsmaßnahmen verschiedener Anbieterprodukte sowie intern entwickelter und Open-Source-Lösungen verbindet und optimiert.
- McAfee hat selbst auch eine Initiative etabliert: die Security Innovation Alliance (SIA). Dieses Partnerprogramm setzt sich besonders für ein offenes Ökosystem ein. Die integrierten Sicherheitslösungen der SIA-Partner sollen für das schnelle Identifizieren von Bedrohungen und die Verringerung von Risiken sorgen.
Über Rolf Haas
„Rolf Haas ist Senior Enterprise Technology Specialist EMEA bei McAfee und bringt über 25 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen und alle Bereiche der IT Security, wie Malware, IPS und Verschlüsselung.“
Über McAfee
McAfee ist eines der weltweit führenden Cyber-Sicherheitsunternehmen, mit Lösungen vom Endgerät bis hin zur Cloud. Inspiriert durch die Stärke enger Zusammenarbeit entwickelt McAfee Lösungen, um eine sicherere Welt für Geschäfts- sowie Privatkunden zu schaffen. Durch die Bereitstellung von integrierten Lösungen, die mit Produkten anderer Hersteller zusammenarbeiten, unterstützt McAfee Unternehmen und Organisationen dabei, Cyber-Umgebungen abzusichern, Bedrohungen zu erkennen und Schwachstellen zu beheben. Privatnutzern bietet McAfee dank Schutz auf allen ihren Geräten einen sicheren digitalen Lebensstil – sei es zu Hause oder von unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsexperten führt McAfee das Vorgehen gegen Cyber-Kriminelle zugunsten aller. www.mcafee.com/de
Kontakt McAfee
Michelle Spencer
Michelle_spencer@mcafee.com
Pressekontakt Hotwire
Stephanie Yilmaz
Stephanie.Yilmaz@hotwireglobal.com
Titelbild von Philipp Katzenberger auf Unsplash
Textlizenz:
CC BY-ND 4.0 DE
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.
- Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.