Cloud Security - Wie sicher sind Sie?

Cloud Security - Wie sicher sind Sie?

Die Migration in die Cloud geht zügig weiter, da die Vorteile die Kosten und Nachteile bei
weitem überwiegen. Die meisten IT-Experten gehen davon aus, dass sich dieser Trend mit
noch mehr technischen Neuerungen und Kapazitäten fortsetzen wird, weshalb der Umstieg
von lokalen auf Cloud-basierte Lösungen immer häufiger erfolgt.

Darüber hinaus sehen wir weitere Innovationen rund um Cloud-Angebote von Software as a
Service (SaaS) über Platform as a Service (Paas) bis hin zu Infrastructure as a Service (IaaS)
und weitere Angebote. Das Aufkommen von Private Clouds und die damit verbundenen
Lösungen zeigen, dass die Vorteile der Verlagerung einiger Funktionen in die Cloud von
grossem Nutzen sind.

Aber was sind die Risiken? Jedes IT-System kann anfällig für Einbrüche sein, und Hacker sind auf der Suche nach der besten Verteidigung. Diese Schwachstellen verschwinden nicht mit einem Wechsel in die Cloud und können ohne fundierte Vorbereitung noch ausgeprägter werden.

Laut dem BakerHostetler "Data Security Incident Response Report" werden Angriffe
unabhängig von der Umgebung fortgesetzt und es ist eine solide Vorbereitung erforderlich,
um Daten und Systeme zu schützen. Der Bericht stellte fest, dass die häufigsten Ursachen für Vorfälle waren:

  • Phishing - 34% aller Vorfälle
  • Netzwerkeingriffe - 19% der Vorfälle
  • Versehentliche Bekanntgabe (z.B. Mitarbeiterfehler) - 17% der Vorfälle
  • Gestohlene oder verlorene Geräte - 11% der Vorfälle
  • Andere - 19% der Vorfälle - einschliesslich einer neuen Kategorie "Fehlkonfiguration".

Eine Fehlkonfiguration spiegelt Fälle wider, in denen unbefugte Personen Zugriff auf in der
Cloud gespeicherte Daten erhalten, weil die Berechtigungen auf "öffentlich" statt auf
"privat" gesetzt werden. Diese neue Kategorie machte 6% der gesamten Vorfälle aus.

Der Bericht enthielt auch einige interessante Erkenntnisse darüber, wie Unternehmen auf
die Verstösse reagieren und damit umgehen. Der Lebenszyklus des Vorfalls und die
Rücklaufquoten waren wie folgt:

  • Detection - 66 Tage nach dem Eindringen
  • Eingrenzung - 3 Tage von der Entdeckung bis zur Eindämmung
  • Analyse - 36 Tage vom Einsatz der forensischen Teams bis zum Abschluss der
    Untersuchung
  • Benachrichtigung - 38 Tage von der Entdeckung bis zur Benachrichtigung

Der Schaden, der durch Eingriffe entstehen kann, ist ein erhebliches Geschäftsrisiko, mit dem Unternehmen konfrontiert sind. Neben den Daten, Anwendungen und Prozessen, die weiterhin "vor Ort" sein könnten, gibt es nun auch Planungen und Überlegungen, die an die Cloud weitergegeben werden müssen. Es ist absolut wichtig, dass Unternehmen "Business Continuity Plans" entwickeln und mit ihren Cloud Service Providern zusammenarbeiten, um sicherzustellen, dass die Cloud integraler Bestandteil dieses Plans ist.

Diese Pläne sind jetzt genauso wichtig wie Disaster Recovery-Pläne und die Gesamtplanung sieht so aus:

Image_business continuity and disaster recovery planning

Sicherheit ist und bleibt eines der wichtigsten Themen von Amazon Web Service (AWS). Eine Web-Anwendung ist jedoch nur dann sicher, wenn auf jeder Ebene für Sicherheit gesorgt wird. Deshalb arbeitet AWS mit einem geteilten Verantwortlichkeitsmodell, bei dem AWS für die Sicherheit "der" Cloud und der Kunde für die Sicherheit "in" der Cloud verantwortlich ist. Die Sicherheit "in" der Cloud beginnt bereits mit dem Design und der Architektur des Cloud-Setups und der Anwendung und setzt auf Frameworks wie der Virtual Private Cloud (VPC) und dem Identity and Access Management (IAM) von
AWS auf.

Einmal in Betrieb, reicht es von Updates und Patches einzelner AWS-Instanzen bis hin zur proaktiven Überwachung der Anwendung. Wir unterstützen unsere Kunden mit der Sicherheit "in" der Cloud, da eine Anwendung nur dann sicher ist, wenn sowohl "in" als auch "die" Cloud berücksichtigt wird.

Image_Cloud Security_2
Die Komplexität der IT-Welt nimmt weiter zu, da immer mehr Geschäftsfunktionen den Weg in die Cloud finden und hybride Systeme zur Norm werden. Ohne eine sorgfältige Planung und solide Abstimmung mit Drittanbietern könnten Unternehmen ihre Verwundbarkeit erhöhen. Cloud-Sicherheit beginnt mit einer soliden Planung.



Erhalten Sie in unserem Whitepaper«Unternehmen in der Cloud» weitere Informationen zum Thema Cloud und was dies für Unternehmen bedeutet.