Geschäftssicherheit

Durch die Beseitigung dieser Fehler und blinden Flecken kann Ihr Unternehmen große Fortschritte bei der Optimierung seiner Cloud-Nutzung erzielen, ohne sich Cyber-Risiken auszusetzen

Phil Muncaster

Januar 16 2024
 • 
,
5 Minute. lesen

Cloud Computing ist ein wesentlicher Bestandteil der heutigen digitalen Landschaft. IT-Infrastruktur, Plattformen und Software werden heute eher als Service bereitgestellt (daher die Abkürzungen IaaS, PaaS bzw. SaaS) als in einer traditionellen On-Premises-Konfiguration. Und das spricht vor allem kleine und mittlere Unternehmen (KMU) an.

Die Cloud bietet die Möglichkeit, mit größeren Konkurrenten gleichzuziehen und so eine größere geschäftliche Agilität und schnelle Skalierung zu ermöglichen, ohne das Budget zu sprengen. Dies könnte der Grund sein, warum 53 % der weltweit befragten KMUs in a kürzlich erschienenen Bericht sagen, dass sie jährlich über 1.2 Millionen US-Dollar für die Cloud ausgeben; gegenüber 38 % im letzten Jahr.

Doch mit der digitalen Transformation gehen auch Risiken einher. Sicherheit (72 %) und Compliance (71 %) sind die am zweit- und dritthäufigsten genannten größten Cloud-Herausforderungen für die KMU-Befragten. Der erste Schritt zur Bewältigung dieser Herausforderungen besteht darin, die größten Fehler zu verstehen, die kleinere Unternehmen bei ihren Cloud-Implementierungen machen.

Die sieben größten Cloud-Sicherheitsfehler, die KMU machen

Um es klarzustellen: Die folgenden Fehler sind nicht nur Fehler, die KMU in der Cloud machen. Selbst die größten und am besten ausgestatteten Unternehmen vergessen manchmal die Grundlagen. Aber durch die Beseitigung dieser blinden Flecken kann Ihr Unternehmen große Fortschritte bei der Optimierung seiner Cloud-Nutzung machen, ohne sich potenziell ernsthaften finanziellen oder Reputationsrisiken auszusetzen.

1. Keine Multi-Faktor-Authentifizierung (MFA)

Statische Passwörter sind von Natur aus unsicher und nicht jedes Unternehmen hält sich daran solide Richtlinie zur Passworterstellung. Passwörter können sein auf verschiedene Weise gestohlenB. durch Phishing, Brute-Force-Methoden oder einfach nur erraten. Aus diesem Grund müssen Sie eine zusätzliche Authentifizierungsebene hinzufügen. MFA macht es Angreifern viel schwerer, auf die SaaS-, IaaS- oder PaaS-Konto-Apps Ihrer Benutzer zuzugreifen, und verringert so das Risiko von Ransomware, Datendiebstahl und anderen möglichen Folgen. Eine weitere Möglichkeit besteht darin, nach Möglichkeit auf alternative Authentifizierungsmethoden umzusteigen, z passwortlose Authentifizierung.

2. Zu großes Vertrauen in den Cloud-Anbieter (CSP)

Viele IT-Führungskräfte glauben, dass eine Investition in die Cloud effektiv bedeutet, alles an einen vertrauenswürdigen Dritten auszulagern. Das stimmt nur teilweise. Tatsächlich gibt es eine Modell der geteilten Verantwortung zur Sicherung der Cloud, aufgeteilt zwischen CSP und Kunde. Was Sie beachten müssen, hängt von der Art des Cloud-Dienstes (SaaS, IaaS oder PaaS) und dem CSP ab. Auch wenn der Großteil der Verantwortung beim Anbieter liegt (z. B. bei SaaS), kann es sich lohnen, in zusätzliche Kontrollen durch Dritte zu investieren.

3. Fehler beim Sichern

Gehen Sie wie oben beschrieben niemals davon aus, dass Ihr Cloud-Anbieter (z. B. für Dateifreigabe-/Speicherdienste) Ihnen den Rücken freihält. Es lohnt sich immer, für den schlimmsten Fall zu planen, bei dem es sich höchstwahrscheinlich um einen Systemausfall oder einen Cyberangriff handelt. Es sind nicht nur die verlorenen Daten, die Ihr Unternehmen beeinträchtigen, sondern auch die Ausfallzeiten und Produktivitätseinbußen, die auf einen Vorfall folgen können.

4. Fehler beim regelmäßigen Patchen

Wenn Sie das Patchen nicht durchführen, setzen Sie Ihre Cloud-Systeme der Ausnutzung von Sicherheitslücken aus. Dies wiederum könnte zu Malware-Infektionen, Datenschutzverletzungen und mehr führen. Patch-Management ist eine zentrale Best Practice für die Sicherheit, die in der Cloud ebenso relevant ist wie vor Ort.

5. Cloud-Fehlkonfiguration

CSPs sind ein innovativer Haufen. Aber die schiere Menge an neuen Funktionen und Möglichkeiten, die sie als Reaktion auf Kundenfeedback einführen, kann für viele KMU letztendlich zu einer unglaublich komplexen Cloud-Umgebung führen. Dadurch ist es viel schwieriger zu wissen, welche Konfiguration am sichersten ist. Zu den häufigsten Fehlern gehören: Konfigurieren des Cloud-Speichers sodass Dritte darauf zugreifen können und offene Ports nicht blockiert werden.

6. Der Cloud-Verkehr wird nicht überwacht

Ein verbreiteter Spruch besagt, dass es heute nicht mehr um die Frage „ob“, sondern um „wann“ geht, in der Ihre Cloud-Umgebung (IaaS/PaaS) verletzt wird. Daher ist eine schnelle Erkennung und Reaktion von entscheidender Bedeutung, wenn Sie die Anzeichen frühzeitig erkennen und einen Angriff eindämmen möchten, bevor er sich auf das Unternehmen auswirken kann. Daher ist eine kontinuierliche Überwachung unerlässlich.

7. Die Kronjuwelen des Unternehmens konnten nicht verschlüsselt werden

Keine Umgebung ist zu 100 % vor Sicherheitsverletzungen geschützt. Was passiert also, wenn es einer böswilligen Partei gelingt, an Ihre sensibelsten internen Daten oder streng regulierten persönlichen Daten von Mitarbeitern/Kunden zu gelangen? Indem Sie es im Ruhezustand und während der Übertragung verschlüsseln, stellen Sie sicher, dass es nicht verwendet werden kann, selbst wenn es abgerufen wird.

Cloud-Sicherheit richtig machen

Der erste Schritt zur Bewältigung dieser Cloud-Sicherheitsrisiken besteht darin, zu verstehen, wo Ihre Verantwortlichkeiten liegen und welche Bereiche vom CSP bearbeitet werden. Anschließend müssen Sie entscheiden, ob Sie den Cloud-nativen Sicherheitskontrollen des CSP vertrauen oder diese durch zusätzliche Produkte von Drittanbietern verbessern möchten. Folgendes berücksichtigen:

• Invest in Sicherheitslösungen von Drittanbietern um Ihre Cloud-Sicherheit und den Schutz Ihrer E-Mail-, Speicher- und Kollaborationsanwendungen zusätzlich zu den Sicherheitsfunktionen zu verbessern, die in Cloud-Dienste integriert sind, die von den weltweit führenden Cloud-Anbietern angeboten werden
• Fügen Sie erweiterte oder verwaltete Erkennungs- und Reaktionstools (XDR/MDR) hinzu, um eine schnelle Reaktion auf Vorfälle und die Eindämmung/Behebung von Verstößen zu ermöglichen
• Entwickeln und implementieren Sie ein kontinuierliches, risikobasiertes Patching-Programm, das auf einem starken Asset-Management basiert (d. h. wissen Sie, über welche Cloud-Assets Sie verfügen, und stellen Sie dann sicher, dass diese immer auf dem neuesten Stand sind).
• Verschlüsseln Sie Daten im Ruhezustand (auf Datenbankebene) und während der Übertragung, um sicherzustellen, dass sie geschützt sind, selbst wenn die Bösewichte sie in die Hände bekommen. Dies erfordert auch eine effektive und kontinuierliche Datenermittlung und -klassifizierung
• Definieren Sie eine klare Zugriffskontrollrichtlinie. die Vorschreibung sicherer Passwörter, MFA, Least-Privilege-Prinzipien und IP-basierter Einschränkungen/Zulassungslisten für bestimmte IPs
• Erwägen Sie die Einführung eines Zero Trust-Ansatz, das viele der oben genannten Elemente (MFA, XDR, Verschlüsselung) neben Netzwerksegmentierung und anderen Kontrollen umfassen wird

Bei vielen der oben genannten Maßnahmen handelt es sich um dieselben Best Practices, die man auch bei der Bereitstellung vor Ort erwarten würde. Und auf hohem Niveau sind sie es, auch wenn die Details unterschiedlich sein werden. Denken Sie vor allem daran, dass die Cloud-Sicherheit nicht nur in der Verantwortung des Anbieters liegt. Übernehmen Sie noch heute die Kontrolle, um Cyber-Risiken besser zu verwalten.