- Anzeige -


Sie sind hier: Startseite » Markt » Tipps und Hinweise

Sicherung von Cloud Assets


CyberArk warnt vor Cyber-Attacken auf Cloud Computing-Umgebungen
Attacke gegen Managed Services und Cloud Provider

- Anzeigen -





Privilegierte Benutzerkonten und Zugangsdaten für die Administration von Cloud Services sind attraktive Ziele für Cyber-Angreifer. Viele Unternehmen unterschätzen die Gefahr, warnt CyberArk. Erst im Mai 2017 hat das Bundesamt für Verfassungsschutz (BfV) in seinem "Cyber-Brief" vor einer aktuellen Angriffskampagne gegen IT-Dienstleister gewarnt. Betroffen seien vor allem Managed Services und Cloud Provider. Auch wenn solche Angriffe bisher vorwiegend in den USA, Japan, Großbritannien und Indien zu beobachten seien, gebe es Hinweise, dass zunehmend auch Deutschland betroffen ist.

"Die Einschätzung des BfV teilen wir voll und ganz. Viele Unternehmen gehen davon aus, dass sie bei einer Auslagerung der IT in die Cloud aller Sorgen hinsichtlich Sicherheit ledig sind. Ein Trugschluss, und zwar ein äußerst gefährlicher", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. "An der Implementierung konsistenter Sicherheitsmaßnahmen über Cloud- und On-Premises-Umgebungen hinweg führt kein Weg vorbei."

Eine zentrale Maßnahme zur Abwehr von Attacken ist laut CyberArk die Sicherung privilegierter Benutzerkonten und Zugangsdaten, die in vielen Fällen das erste Ziel von Angreifern sind; zu nennen sind hier beispielsweise privilegierte Zugangsdaten, die für die Administration von Cloud Computing-Services wie Infrastructure-as-a-Service (IaaS) oder Database as a Service genutzt werden.

Der Begriff "privilegierte Zugangsdaten" ist dabei weit zu fassen, es geht nicht nur um Administrator-Passwörter, sondern zum Beispiel auch um APIs, SSH-Keys und Application Accounts, also in Applikationen eingebettete

Bei Public Clouds erfolgt der Zugang von Unternehmen zur Cloud Computing-Infrastruktur oft automatisch über Schnittstellen und APIs mit privilegierten Zugangsdaten. Möglich ist aber auch ein manueller Zugriff auf Cloud-Services über Management-Konsolen. In beiden Fällen aber gilt: Der privilegierte Zugang muss adäquat verwaltet, gesichert und überwacht werden.

Die Sicherung von Cloud Assets muss für ein Unternehmen immer mit der Sicherung administrativer Privilegien beginnen, das heißt, privilegierte und administrative Zugangsdaten, die für die Zugriffsauthentifizierung auf Managementkonsolen und APIs verwendet werden, sollten immer in einem sicheren Vault gespeichert werden und nach jeder Verwendung geändert werden.

Ebenso wichtig ist die Eliminierung der in Applikationen, Konfigurationsdateien oder Skripten eingebetteten Credentials, die für den Zugriff auf andere Systeme, etwa Datenbanken, benötigt werden. Solche Zugangsdaten wie Passwörter, Zertifikate oder API-Schlüssel finden sich oft sogar in Klartext. Die damit verbundene Gefahr liegt auf der Hand. Somit sollten auch alle statischen Passwörter beseitigt und sämtliche Application Accounts – wie privilegierte Zugangsdaten von IT-Administratoren auch – zentral abgelegt, verwaltet und regelmäßig geändert werden.

"Unternehmen verkennen oft, dass bei der Cloud-Sicherheit eine geteilte Verantwortlichkeit gilt", so Kleist. "Klar ist der Provider verantwortlich für die Sicherheit der Cloud; dazu gehören die Computing-, Storage- und Netzwerk-Ressourcen, die physikalische Infrastruktur und die sichere Bereitstellung von Services. Aber auch das auslagernde Unternehmen muss sich seiner Verantwortung bewusst sein und die sichere Nutzung von Cloud Services gewährleisten, vor allem hinsichtlich der Sicherung der privilegierten Zugangsdaten von IT-Administratoren, Applikationen und Konfigurationsdateien. (CyberArk: ra)

eingetragen: 27.09.17
Home & Newsletterlauf: 17.10.17


Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Datenzugriff auf Paketebene

    Das Jahr 2017 war geprägt von einer starken Zunahme des Enterprise Cloud Computing. Laut Gartner nutzen derzeit bereits 90 Prozent der globalen Unternehmen zumindest einen Cloud-Service. Doch mit nur einem Cloud Computing-Service kommt heute kaum noch jemand aus, und auch ein einziger Cloud-Service-Provider wird zunehmend Seltenheitswert besitzen. Multicloud, also die Nutzung multipler Public Clouds, entwickelt sich schnell zum nächsten Schritt beim Aufbau wirklich dynamischer Infrastrukturen. Durch die dynamische Ausführung von Workloads über mehrere Cloud-Provider hinweg können Unternehmen sicherstellen, dass Workloads wirklich optimiert werden. Die erwähnte Gartner-Studie berichtet, dass 70 Prozent der Unternehmen bis 2019 Multi-Cloud-Implementierungen planen - gegenüber 10 Prozent heute.

  • Sicherheitsverantwortung in der Cloud

    Das enorme Wachstum von Cloud Computing-Services in der Geschäftswelt hat einen leidigen, aber vorhersehbaren Nebeneffekt: Die Cloud wird zum beliebten Ziel für Cyberkriminelle. Aufgrund der vernetzten Struktur kann sich Malware in der Cloud rasch auf Anwendungen und Geräte verbreiten, falls keine Sicherheitsmaßnahmen getroffen werden. Doch mit entsprechenden Best Practices können Unternehmen sich gegen die wachsende Bedrohung von Malware in der Cloud schützen. Die Cloud bietet Unternehmen nicht nur Skalierbarkeit, Flexibilität und Agilität, sondern auch effizientere Arbeitsprozesse und damit einhergehende Kostenersparnis bis hin zu bequemerer Datensicherung und Disaster Recovery. Die aktuellen Cloud-Akzeptanzraten deuten laut Gartner darauf hin, dass im Jahr 2020 eine No-Cloud-Policy so selten sein wird wie heute eine No-Internet-Policy.

  • Verfügbare Cloud-Technologie optimal nutzen

    Multi-Cloud-Konzepte sind auf dem Vormarsch, da Unternehmen mehr Auswahl über den besten Ort für ihre Daten und Workloads suchen. Im Verlauf teilen Branchenexperten ihr Wissen darüber, was IT-Teams beachten sollten, um die Vorteile der Cloud-Flexibilität bei der Einführung einer Multi-Cloud-Strategie voll ausschöpfen zu können. Sie empfehlen drei Schlüsseltechnologien, die beim Aufbau einer Multi-Cloud-Umgebung wichtig sind. Entwickelt in den späten neunziger Jahren von visionären IT-Teams bei Compaq Computing, war Cloud Computing ein Katalysator für die Entwicklung der IT generell und für einen Großteil der modernen globalisierten Welt, wie wir sie heute kennen.

  • Application Intelligence & IoT-Anwendungen

    Die Wachstumsprognosen für das Internet der Dinge sind pessimistischer als noch vor einigen Jahren. Ein Mitgrund ist der falsche Fokus vieler Hersteller: Um erfolgreich zu sein, müssen sie in Zukunft die Nutzererfahrung stärker in den Mittelpunkt rücken. Die Application-Performance-Experten von AppDynamics nennen drei grundlegende Schritte, die alle Hersteller gehen sollten. Jahrelang überschlugen sich die Wachstumsprognosen der Branchenanalysten: 50 Milliarden Geräte sollten bis 2020 im Internet der Dinge (IoT) vernetzt sein, 150 Milliarden, vielleicht sogar 200 Milliarden. Aktuell findet jedoch eine Trendumkehr statt: Statista.com erwartet ein lineares Wachstum und geht für das Jahr 2020 von "lediglich" 30 Milliarden Geräten aus. Auch Gartner hat seine Prognose nach unten korrigiert und spricht aktuell von 20 Milliarden.

  • Service Management & Lizenzmanagement

    Office 365 hat den Durchbruch geschafft. Laut einer Gartner Studie nutzen bereits 61 Prozent der Unternehmen die Cloud Computing-Angebote von Microsoft, weitere 23 Prozent planen den Einsatz von Office 365 innerhalb der nächsten sechs Monate. Die Unternehmen profitieren von Aufwand- und Kostenreduktion. Bei der Lizenzierung der Cloud Computing-Lösungen allerdings gehen viele Unternehmen nach dem Gießkannenprinzip vor und geben dadurch mehr für Lizenzen aus als notwendig. Vor nicht allzu langer Zeit hatten noch viele IT-Verantwortliche Bedenken in Bezug auf die Sicherheit der Public Cloud. Mittlerweile sind die Zweifel beseitigt, immer mehr Unternehmen nutzen ihre Vorteile. Auch zunehmend viele öffentliche Institutionen planen ihren Umzug in die Cloud. In der Regel beginnt der Weg in die Cloud mit Office 365. Schrittweise werden zunächst Outlook und Sharepoint ausgelagert, dann folgen Excel, Word und alle weiteren Produkte, die die Office 365 Suite anbietet. Die Vorteile liegen auf der Hand: Wartung und Administration müssen nicht mehr durch die IT geleistet werden, IT Ressourcen re-fokussieren sich. Oft unterschätzt und ausgeblendet wird aber die Notwendigkeit, die Prozesse im Unternehmen an die Cloud anzupassen. Vom Bestellprozess bis zu Abrechnungen sind Adaptierungen nötig, die durchaus umfangreich werden können.

  • IT entlasten durch Cloud-Services

    Gerade in Zeiten des Fachkräftemangels ist eine hohe Produktivität entscheidend für die Zukunftssicherheit von Unternehmen. Doch viele, vor allem kleinere Firmen leiden unter Produktivitätsverlust durch administrative Aufgaben. Und jetzt verursacht auch noch die DSGVO zusätzlichen Aufwand. Rainer Downar, Executive Vice President Central Europe bei Sage, gibt Tipps, wie Unternehmen produktiver werden können. Kleine und mittlere Unternehmen (KMU) in Deutschland verwenden 3,7 Prozent ihrer gesamten Arbeitszeit auf administrative Tätigkeiten. Das entspricht einem Produktivitätsverlust von mehr als 28 Milliarden Euro pro Jahr. Diese Zahlen erhob die Studie "Sweating the Small Stuff: the impact of the bureaucracy burden", die Plum Consulting im Auftrag von Sage durchgeführt hat. Die Untersuchung zeigt auch: Je kleiner die Unternehmen, desto höher der Anteil unproduktiver Tätigkeiten.

  • Nutzung mehrerer Cloud Computing-Anbieter

    Viele große Unternehmen setzen auf eine Mischung aus Private-Cloud und Public-Cloud-Lösungen verschiedener Anbieter. Eignet sich eine solche Multi-Cloud-Umgebung auch für den Mittelstand? Und worauf sollte man dabei achten? Unternehmen verzeichnen heute eine kontinuierlich steigende Zahl von Workloads, Applikationen und Services. Die Festlegung auf nur einen Cloud-Anbieter fällt mittlerweile selbst für Infrastruktur-Dienste schwer. Denkt man darüber hinaus strategisch über den Einsatz von Software-as-a-Service (SaaS)-Angeboten nach, ist die Nutzung mehrerer Cloud Computing-Anbieter zumeist obligatorisch.

  • Für Multi-Cloud ein geeignetes API-Konzept nötig

    Die Multi-Cloud ist in immer mehr Unternehmen Realität. Das Handling mehrerer Cloud Services gestaltet sich allerdings oft sehr komplex. Die Multi-Cloud-Checkliste von Nexinto zeigt, worauf Anwender für einen reibungslosen Betrieb achten sollten. Mittlerweile ist es für Unternehmen normal, verschiedene Cloud Computing-Services für ihr Business einzusetzen. Dabei greifen sie nicht nur auf einen Anbieter oder Hersteller zurück: Der parallele Einsatz verschiedener Architekturen, Technologien und Betriebsmodelle bringt seine ganz eigenen Herausforderungen mit sich. Um die zunehmende Komplexität zu beherrschen, sollten Multi-Cloud-Nutzer vor allem diese fünf Aspekte beherzigen.

  • Cloud-Wahl hat Auswirkungen auf Performance

    Die Argumente für eine Migration in die Cloud gehören mittlerweile zum IT-Allgemeinwissen. Aber ein Selbstläufer ist die Umstellung selbstverständlich nicht. In einer aktuellen Umfrage von IDC und AppDynamics gaben 75 Prozent der befragten Unternehmen an, in den nächsten beiden Jahren zwei bis fünf Clouds nutzen zu wollen - 60 Prozent verfolgen damit das Ziel, die Kosten zu senken. Doch wer hoch hinaus will, der braucht ein stabiles Fundament. Das gilt nicht nur für den Bau von Wolkenkratzern, sondern auch für eine erfolgreiche Multi-Cloud-Strategie. Unternehmen müssen vier Herausforderungen meistern, damit der Sprung in die Wolken nicht im kalten Wasser endet.

  • Ein Mikro-Rechenzentrum so gut wie die Cloud

    Unternehmen befinden sich an einem Wendepunkt. Sie müssen neue Wege finden, wie sie Kunden für sich gewinnen. Die Geschäftsentwicklung erfolgt heute nicht mehr linear. Stattdessen können sich Chancen jederzeit aus allen Richtungen auftun. Unternehmen brauchen die Flexibilität, um umgehend reagieren zu können. Mit einem traditionellen Rechenzentrum ist das nicht möglich. Starre IT-Strukturen sind eher ein Bremsklotz als ein Enabler, weil sie zu komplex zu managen sind und jede Änderung viel Zeit kostet.