Datensicherheit und Compliance im Fokus

Warum Sichtbarkeit für die Cloud-Sicherheit entscheidend ist

| Autor / Redakteur: Gerald Lung* / Florian Karlstetter

In puncto Cloud-Migration gibt es häufig noch offene Punkte beim Thema Sicherheit.
In puncto Cloud-Migration gibt es häufig noch offene Punkte beim Thema Sicherheit. (Bild: gemeinfrei (despoticlick / pixabay) / CC0)

Gartner prognostizierte bereits 2015 , dass bis zum Jahr 2020 95 Prozent der Sicherheitsvorfälle in der Cloud durch falsches oder fahrlässiges Nutzerverhalten verursacht werden. In der Tat ist der Faktor Mensch trotz steigender Angriffe von außen der Hauptgrund für Sicherheitsverletzungen.

Unternehmen sollten sich bei der Cloud-Migration unbedingt über die erhöhte Gefahr im Klaren sein, die der Cloud-Zugriff durch Mitarbeiter, Partner, Kunden und andere Parteien mit sich bringt. Durch die Adaption von neuer Technologie müssen sich alle in einer neuen Umgebung zurechtfinden und dabei darf man sie nicht alleine lassen. Für den Netwrix 2018 Cloud Security Report wurden 853 CIOs, Systemadministratoren und andere IT-Fachkräfte befragt, um den Stand der Cloud-Sicherheit zu evaluieren, und zeigt, wie Unternehmen ihre Risiken minimieren können.

Laut den Ergebnissen der Studie speichern 88 Prozent der befragten Unternehmen Kunden-, Mitarbeiter-, Finanz- und andere sensible Daten sowie ihr geistiges Eigentum in der Cloud. Sicherlich gibt es beim Umgang mit solchen sensiblen Informationen immer Bedenken, allerdings sind die Organisationen vom Mehrwert der Wolkentechnologie überzeugt. Zudem geben fast alle Unternehmen an, dass ihnen Sicherheit in der Cloud besonders wichtig ist.

Die größten Sorgen beim Thema Cloud

Zwar haben viele Unternehmen den Sprung in die Wolke zumindest teilweise vollzogen, allerdings zeigen die Ergebnisse, dass es noch in vielen Bereichen Skepsis gibt. Die größte Angst haben 88 Prozent der Befragten vor dem Datenverlust in der Cloud. Wie im letzten Jahr folgen darauf die Risiken eines unberechtigten Zugriffs (69 Prozent) und die Infiltration der Cloud durch Malware (50 Prozent). Die viertgrößte Herausforderung ist für die Befragten, sicherzustellen, dass die Accounts der Mitarbeiter legitim genutzt werden (39 Prozent). Das hat die Angst vor DDoS-Angriffen abgelöst und setzt mit drei der vier größten Befürchtungen einen Schwerpunkt auf die Sicherheit der Daten und die Kontrolle des Zugriffs auf diese.

Die Aufmerksamkeit gegenüber Angriffen, die sich legitimer Zugangspunkte innerhalb des eigenen Netzwerkes bedienen, ist damit deutlich gestiegen. Von den befragten Unternehmen, die 2017 einen Sicherheitsvorfall hatten, gaben 58 Prozent Insidern die Schuld. 78 Prozent der Organisationen wurden Opfer von externen Angriffen, allerdings zählen hier auch Phishing-Angriffe, die immer noch das Zutun eines Mitarbeiters bedürfen, sodass letztlich selbst fast die Hälfte (45 Prozent) aller Teilnehmer ohne Sicherheitsvorfälle ihre eigenen Mitarbeiter als die größte Bedrohung für ihre IT-Sicherheit betrachten. Dies bedeutet aber nicht, dass die komplette Belegschaft mutwillig zur Bedrohung werden kann, sondern das Bedarf zur Unterstützung besteht.

Die Bemühungen sind trotz großer Aufmerksamkeit gering

Bedenklich ist, dass die Unternehmen offensichtlich Bedrohungen für die Cloud wahrnehmen, denen sie kaum etwas entgegensetzen. Lediglich 28 Prozent der Studienteilnehmer hat nach eigenen Angaben grundlegende Mechanismen zur Legitimitätsprüfung des Verhaltens ihrer IT-Angestellten. Noch geringer ist die Zahl jener, die die Aktivitäten von Geschäftsanwendern, Dritten mit legitimen Zugang und ihrer Cloud-Anbieter prüfen können. Dabei alarmiert besonders, dass sich viele Unternehmen anscheinend auch gar nicht darum bemühen.

Es gibt zahlreiche gute Sicherheitslösungen, aber die Sicherheitsverantwortlichen müssen in der Cloud neue Ansätze ausprobieren, um Sichtbarkeit herzustellen. Was On-Premises funktioniert, ist nicht unbedingt für die Cloud anwendbar oder ausreichend, sodass die IT-Abteilungen unter Umständen zusätzliches Budget oder neue Qualifikationen benötigen, um ihre Daten zu schützen.

Es fehlen Maßnahmen, um die Sichtbarkeit in der IT-Umgebung zu erhöhen

Die vier häufigsten Pläne für 2018, um die Datensicherheit im eigenen Unternehmen zu verbessern, sind Mitarbeiterschulungen, strengere Sicherheitsrichtlinien, neue Sicherheitssoftware und mehr IT-Sicherheitsfachkräfte.

Neue Schulungsangebote für Anwender und IT-Fachkräfte sind in 55 Prozent der befragten Unternehmen für 2018 geplant. Das ist ein guter Schritt, um unabsichtliche Insider zu vermeiden, wenn darauf geachtet wird, dass die Schulungsinhalte nicht veralten. Dazu sollten sie sich stets auf die aktuellen Bedrohungen konzentrieren und erklären, wie man die Fallen von Angreifern umgeht, unabhängig davon, ob sie von außen kommen oder ein vertrauter Kollege sind.

Die Unternehmen erkennen allerdings auch, dass solche Angebote und Schulungen allein nicht ausreichen und deshalb planen fast ebenso viele Unternehmen (53 Prozent) 2018 ihre bestehenden Sicherheitsrichtlinien zu verschärfen. Dabei sollten sie stets einen kritischen Blick dafür haben, dass die Richtlinien der Bedrohungslandschaft entsprechen und sicherstellen, dass die Vorgaben auch auf allen Ebenen des Unternehmens befolgt werden.

Weitere Schritte werden eine stärkere Automatisierung von Sicherheitsaufgaben sein, wie sie manche Softwareanbieter anbieten (39 Prozent) oder der Einsatz von neuen Inhouse-Lösungen (36 Prozent). Neues Sicherheitspersonal einzustellen, hielten 17 Prozent der Befragten für ein Kernanliegen. Auf der anderen Seite sind immerhin 16 Prozent der IT-Fachkräfte mit dem Stand der Dinge zufrieden und sehen momentan keinen akuten Handlungsbedarf.

Offensichtlich ist die Liste der möglichen Maßnahmen nicht vollständig, allerdings fehlen insbesondere Lösungen, die die Sichtbarkeit in ihrer Cloud-Umgebung erhöhen. Sichtbarkeit bedeutet, dass das Unternehmen in der Lage ist, verdächtige Aktivitäten, Fehler oder Verstöße gegen die Compliance zu erkennen, die auf böswillige Absichten hinweisen. Das ist zweifellos ein wichtiges Thema über die IT-Sicherheit hinaus. Ein Beispiel dafür ist die Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mail gelten wird, und eine durchgehende Sichtbarkeit bei der Erhebung, Speicherung und Verarbeitung personenbezogenen Daten verlangt.

Fazit

Gerald Lung ist Country Manager DACH bei Netwrix.
Gerald Lung ist Country Manager DACH bei Netwrix. (Bild: Netwrix)

Cloud-Migration ist aktuell immer noch das bestimmende Thema für IT-Entscheider. Projekte sind oftmals in einer fortgeschrittenen Phase, allerdings gibt es häufig noch offene Punkte beim Thema Sicherheit. Unternehmen machen erst nach und nach ihre Erfahrungen. In der Praxis macht sich dies vor allem in einer Bedrohung durch die eigenen Mitarbeiter deutlich, die durch ihr Verhalten absichtlich oder versehentlich die Datensicherheit in ihrem Unternehmen bedrohen. Es wäre zu einfach, hier die Schuldigen auf einer Seite zu suchen. Mit diesem Wissen sollten IT-Entscheider daher um mehr Sichtbarkeit in ihren Systemen bemühen, um unerwünschte Aktivitäten in ihrem Netzwerk aufzudecken.

Der Autor

*Gerald Lung ist Country Manager DACH bei Netwrix.

* Diesen Beitrag haben wir von unserem Schwesterportal CloudComputing-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45313581 / Outsourcing)