Umfassende Cloud-Sicherheitsstrategie für die Zukunft der Arbeit

Data & StorageSicherheit
Datenschutz in der Cloud (Bild: Shutterstock)

Cloud-Dienste sind bereits seit langem fester Bestandteil von IT-Infrastrukturen in vielen Unternehmen. Die Restriktionen im Rahmen der COVID-19-Pandemie haben verdeutlicht, dass sich der Einsatz der Technologie lohnt. Unternehmen konnten ihre Angestellten sicher dezentral arbeiten lassen und gleichzeitig weiterhin eine effiziente Zusammenarbeit ermöglichen. Aber nicht nur Unternehmen, auch Cyber-Kriminelle haben sich den neuen Rahmenbedingungen schnell angepasst. Eine überstürzte Verlagerung von Anwendungen und Daten in eine Cloud-Umgebung macht daher auch angreifbar. Wie Unternehmen effiziente Arbeitsumgebungen mit einer langfristigen Cloud-Sicherheitsstrategie kombinieren, erklärt Rolf Haas, Senior Enterprise Technology Specialist bei McAfee.

Eine aktuelle, von McAfee in Auftrag gegebene Umfrage zeigt: Seit Anfang des Jahres ist die Cloud-Nutzung in Unternehmen weltweit um 50 Prozent gestiegen. Weltweit wurden außerdem 1.400 IT-Entscheider befragt, um einen umfassenden Überblick über den Status Quo der Cloud-Sicherheit zu erhalten. Dabei beobachten die jeweiligen IT-Entscheider unterschiedliche Vorteile der Cloud-Dienste, die ihr Unternehmen voranbringen: Sei es eine Steigerung der Mitarbeiterproduktivität (66 Prozent), Kosteneinsparungen (62 Prozent) oder als Antrieb von Innovationen (62 Prozent). Auch die Sicherheit der Technologie wird bei vielen als Vorteil gesehen: 65 Prozent der Befragten haben sich für die Cloud-Migration entschieden, weil sie Cloud-Computing mit einem höheren Sicherheitsniveau assoziieren. Dabei sorgt eine Umstellung auf Cloud-Dienste nicht automatisch für einen Rundum-Schutz: Vielmehr verteilt sich die Sicherheitsverantwortung unübersichtlich zwischen Providern, Unternehmen und Endnutzern.

Rolf Haas, der Autor dieses Gastbeitrags, ist Senior Enterprise Technology Specialist bei McAfee (Bild: McAfee).
Rolf Haas, der Autor dieses Gastbeitrags, ist Senior Enterprise Technology Specialist bei McAfee (Bild: McAfee).

Das neue Gut: Daten

Neben der dezentralen Arbeitsweise unterstützt die Cloud-Technologie auch den Austausch von Informationen und Daten. Je effizienter die Cloud-Infrastrukturen funktionieren, umso verlockender ist es, dort Daten zu teilen und zu lagern. Laut dem Cloud Adoption and Risk Report sind rund 21 Prozent der Daten in der Cloud sensibel und/oder unternehmenskritisch. Zusätzlich planen 96 Prozent der befragten IT-Leiter, noch mehr sensible Daten in ihre Cloud einzuspeisen. Diese Entwicklung müssen die Experten mit einem ganzheitlichen Sicherheitsansatz verknüpfen, um auch in Zukunft ihre wertvollen Daten umfassend zu schützen. Immerhin wird jedes vierte Unternehmen Opfer von Cyber-Kriminellen, die Daten aus der Cloud stehlen. Zusätzlich sind laut der aktuellen Untersuchung nur 30 Prozent der befragten Unternehmen in der Lage, Daten sowohl auf sämtlichen Endgeräten, als auch in der Cloud durch einheitliche Sicherheitsrichtlinien zu schützen. Nur 36 Prozent der Experten geben an, dass sie ihre Data Loss Prevention (DLP)-Richtlinien auch in ihren Cloud-Umgebungen umsetzen können.

Menschliche Schwachstellen

Neben fehlenden einheitlichen Richtlinien stellen auch die Mitarbeiter selbst ein Risiko dar. Die sogenannte Schatten-IT bietet Cyber-Kriminellen einen einfachen Zugriffspunkt für mögliche Angriffe. Wenn Mitarbeiter – meist unwissentlich – auf alternative Cloud-Anwendungen zurückgreifen, kann es passieren, dass die IT-Teams den Überblick über den Einsatz der verschiedenen Dienste verlieren. Da die Nutzung der Anwendungen nicht offiziell genehmigt ist, haben die verantwortlichen Experten keinen umfassenden Überblick über potentielle Bedrohungen. Dadurch öffnet sich ein Fenster für unentdeckte Angreifer. Neben technischen können also auch menschliche Schwachstellen mögliche Angriffspunkte einer Cloud-Infrastruktur darstellen. Daher gilt es für Unternehmen, eine ganzheitliche Sicherheitsstrategie zu entwickeln. So können die Vorzüge der Cloud-Migration weiterhin Unternehmen voranbringen, ohne Risiken für sensible Daten und Mitarbeiter zu schaffen.

Die Lösung: Umfassende Strategie kombiniert mit Expertise

Wird eine ganzheitliche Cloud-Sicherheitsstrategie verfolgt, kann die Technologie Unternehmen zahlreiche Vorteile bieten. Das Ziel sollte ein einheitlicher „Device-to-Cloud“-Schutz sein. Eine optimale Lösung vereint Funktionen von DLP-Lösungen, Cloud Access Security Brokern (CASBs) und Cloud-basierten Secure Web Gateways (SWGs). Dabei sorgen CASBs dafür, dass Sicherheitsrichtlinien von lokal eingesetzten DLP-Tools auch in der Cloud umgesetzt werden. Zusätzlich überwachen sie, in Kombination mit SWGs, den Datenverkehr zwischen Anwendern und Anwendungen. Dies ermöglicht es IT-Teams, Nutzungsprivilegien für bestimmte Cloud-Dienste zu vergeben. Dadurch entsteht eine Transparenz, wodurch unautorisierte Zugriffe oder die Nutzung von Schatten-IT leicht identifizierbar werden.

Zusätzlich haben Cyber-Sicherheitsunternehmen zahlreiche Initiativen für eine gesteigerte Cyber-Sicherheit in der Cloud ins Leben gerufen. Eine dieser Initiativen ist die Cloud Security Alliance (CSA). Sie widmet sich der Sensibilisierung für Cloud-Sicherheit und betreibt, unterstützt durch Branchenexperten und Verbände, Forschung in diesem Bereich. Zusätzlich bietet die CSA Zertifizierungen und Veranstaltungen sowie Lösungen für eine ganzheitliche und sichere Cloud-Computing-Umgebung an. Eine weitere Initiative, die sich vor allem Open-Source-Inhalten und der Interoperabilität von Cyber-Security-Tools verschrieben hat, ist die Open Cybersecurity Alliance (OCA). Sie entwickelt und fördert zahlreiche Open-Source-Prozesse, die die IT-Sicherheit von Unternehmen optimal unterstützen. Außerdem gibt es noch die Security Innovation Alliance (SIA). Das Partnerprogramm von McAfee hat ein offenes Ökosystem zum Ziel, wodurch Bedrohungen schneller identifiziert und Risiken verringert werden sollen. Kombiniert man eine umfassende Strategie mit den Erkenntnissen der Experten der verschiedenen Initiativen, können Unternehmen die Zukunft der Arbeit mitgestalten – ohne große Risiken einzugehen.

Autor
Erfahren Sie mehr 
Rolf Haas ist Senior Enterprise Technology Specialist EMEA bei McAfee und bringt über 25 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen und alle Bereiche der IT Security, wie Malware, IPS und Verschlüsselung.
Erfahren Sie mehr