- Anzeige -


Sie sind hier: Startseite » Markt » Tipps und Hinweise

Zugriff auf Cloud-Anwendungen


Mit sieben Schritten sicher in die Wolke - Best Practices für die Cloud Security
Dank der zahlreichen Vorteile wird die Cloud-Migration auch zukünftig weiter steigen – jedoch damit auch die Sicherheitsbedrohungen


- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Die Cloud ist dank ihrer Flexibilität und Kapazität im Vergleich zu herkömmlichen Rechen- und Speichermethoden mittlerweile ein wichtiges Standbein für viele Unternehmen geworden. Doch wie bei herkömmlichen Speicher- und File-Sharing-Methoden entstehen auch durch die Cloud spezifische Datensicherheitsprobleme. Ein pragmatischer, datenzentrierter Ansatz kann den Weg in die Wolke jedoch übersichtlich umsetzbar machen. Im Folgenden ein 7-stufiges Framework für ein effektives Cloud-Security-Programm.

1. Sicherung der Endpunkte, die Zugriff auf Cloud-Anwendungen haben
Cloud-Anwendungen befinden sich außerhalb der IT-Umgebung eines Unternehmens und damit auch außerhalb des Schutzes, den viele netzwerk- oder perimeterbasierte Sicherheitstechnologien bieten. Bevor Unternehmen Cloud-Services nutzen, ist es wichtig, die Geräte zu sichern, die für den Zugriff auf die Cloud verwendet werden. Diese Endpunkte sollten durch Sicherheitstechnologien wie Data Loss Prevention (DLP) mit Kontrollen für die Datenexfiltration, End-to-End-Verschlüsselung und den sicheren Zugriff geschützt werden. Auf diese Weise wird der unbefugte Upload sensibler Daten in die Cloud verhindert und sichergestellt, dass Daten vor dem Hochladen verschlüsselt werden.

Daten sollten in der Cloud verschlüsselt bleiben und nur dann entschlüsselt werden, wenn sie das Gerät eines autorisierten Benutzers erreicht haben. Sobald Daten in die Cloud gelangen, befinden sie sich nicht mehr unter der direkten Kontrolle des Unternehmens. Daher ist die Verschlüsselung sensibler Daten und die Verhinderung des Hochladens bestimmter Datentypen grundlegend, um unternehmenskritische Informationen vor Cyberkriminellen zu schützen.

2. Überwachung des Zugriffs auf Cloud-Daten und -Dienste
Auch die Transparenz des Datenzugriffs und deren Verwendung ist entscheidend für die effektive Daten-Security in der Cloud. Neben der Sicherung der Endpunkte, die für den Zugriff auf Cloud-Daten verwendet werden, müssen Unternehmen dafür sorgen, dass sie einen Überblick darüber haben, wer auf die Cloud zugreift und welche Daten dort hoch- oder heruntergeladen werden. Diese Transparenz erhöht die Effektivität der Endpunkt-Sicherheitskontrollen und ermöglicht es dem Sicherheitsteam, riskantes oder verdächtiges Verhalten im Zusammenhang mit Cloud-Daten schnell zu erkennen und darauf zu reagieren.

3. Nutzung von Cloud-APIs zur Ausweitung der Datensicherheit
Wenn ein Unternehmen die Nutzung von Cloud-basierten E-Mail-Services oder Storage-Dienste wie Box oder Dropbox zulässt, sollte es die APIs der Anbieter nutzen, um bestehende Datensicherheitsmaßnahmen auf diese Plattformen auszuweiten. Auf diese Weise kann die Transparenz des Cloud-Datenzugriffs optimiert und eine bessere Kontrolle durch Verschlüsselung oder Zugriffsmanagement über Daten in der Cloud ermöglicht werden. Viele Netzwerksicherheitsgeräte bieten Cloud-Integrationen über APIs an. Unternehmen sollten daher ihren Provider fragen, mit welchen Cloud-Plattformen sie integriert sind, und die Vorteile dieser Funktionen nutzen, sofern verfügbar.

4. Sicherung der Cloud-Anwendungen
Neben Endpunkten und Netzwerken hängt die Cloud-Security auch von der Sicherheit der in der Cloud laufenden Anwendungen ab. Viel zu oft tritt die Sicherheit bei der Entwicklung von Cloud-Applikationen in den Hintergrund, insbesondere bei Cloud-Apps, die von einzelnen Entwicklern oder kleinen Teams erstellt werden.

Unternehmen sollten deshalb ihre Cloud-Anwendungen auf häufig ausgenutzte Sicherheitsschwachstellen testen und Drittanbieter von Cloud-Applikationen auffordern, ihnen die Ergebnisse von Anwendungssicherheitstests (wie statische oder dynamische Analysen oder Penetrationstests) mitzuteilen. Alle Schwachstellen, die beim Testen von Anwendungen entdeckt werden, sollten vor der Verwendung der Apps sicher gepatcht werden.

5. Implementierung von Richtlinien und Kontrollen für BYODs
Wenn Unternehmen den Zugriff auf Cloud-Daten über mitarbeitereigene mobile Geräte (Laptops, Smartphones oder Tablets) zulassen möchten, ist es unbedingt erforderlich, dass sie zunächst eine BYOD-Richtlinie erstellen und Kontrollen implementieren, um den ordnungsgemäßen Datenzugriff durch BYOD-User durchzusetzen. Unternehmen sollten die Verwendung von Zwei-Faktor-Authentifizierung, End-to-End-Verschlüsselung und MDM-Software (Mobile Device Management) erwägen, um die BYOD-Nutzung in der Cloud zu sichern. Die Zwei-Faktor-Authentifizierung hilft, unbefugten Zugriff zu verhindern, während die Verschlüsselung sicherstellt, dass sensible Cloud-Daten, auf die BYOD-Benutzer zugreifen, nur für autorisierte Personen sichtbar sind. Die Verwaltungssoftware für mobile Geräte ist eine gute letzte Verteidigungslinie, wenn ein Gerät verloren geht oder gestohlen wird, da MDM es IT-Abteilungen ermöglicht, den Zugriff auf BYODs einzuschränken oder bei Bedarf die Daten auf dem Gerät aus der Ferne zu löschen.

6. Regelmäßige Backups der Cloud-Daten
Da Cloud-Anbieter und -Anwendungen zunehmend im Visier von Cyber-Angriffen stehen, müssen sich Unternehmen auf das Worst-Case-Szenario einstellen: den permanenten Verlust von Cloud-basierten Daten. Obwohl dies nicht vor Konsequenzen wie finanziellen Verlusten oder rechtlichen Sanktionen schützt, stellt die Durchführung regelmäßiger Backups zumindest sicher, dass alle kritischen Daten wiederhergestellt werden können, die bei einem Cloud-Datenverstoß, einem Ransomware-Angriff oder einer destruktiven Malware-Infektion verloren gehen.

7. Sicherheitsschulungen der Mitarbeiter
Unabhängig davon, wie sicher Endgeräte, Anwendungen und Netzwerkverbindungen sind, hängt deren Sicherheit auch von den Mitarbeitern ab, die sie nutzen. Social-Engineering-Taktiken wie Spear-Phishing gehören nach wie vor zu den häufigsten, einfachsten und erfolgreichsten Methoden von Cyberkriminellen. Regelmäßige Schulungen sind entscheidend, um sicherzustellen, dass Mitarbeiter Social-Engineering-Angriffe effektiv erkennen und sichere Web-Gewohnheiten aufbauen können. Unternehmen sollten deshalb regelmäßig simulierte Social-Engineering-Angriffe durchführen, um die Fähigkeit ihrer Mitarbeiter zu testen, Schwachstellen zu erkennen und zu beseitigen.

Dank der zahlreichen Vorteile wird die Cloud-Migration auch zukünftig weiter steigen – jedoch damit auch die Sicherheitsbedrohungen. Durch die oben genannten Sicherheitsschritte, bestehend aus datenzentrierten Technologien und Security Best Practices, können Unternehmen ihre Daten in der Wolke jedoch effektiv vor Angreifern schützen. (Digital Guardian: ra)

eingetragen: 10.09.20
Newsletterlauf: 05.11.20

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • IT-Sicherheit ist kein "Off-the-shelf"-Produkt

    Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheits-Tools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen für MSS im eigenen Unternehmen zu stellen? Andreas Mayer, Founder & Business Development bei indevis, gibt sechs Tipps. Unternehmen sind heute grundsätzlich dazu bereit, in ausgefeilte Security-Technologien zu investieren - dies ist jedoch nur der erste Schritt, um ein angemessenes Schutzniveau aufzubauen. Denn auch Top-Lösungen muss man konfigurieren und in Betriebsprozesse eingliedern. Security ist ein Drittel Technik, ein Drittel Prozesse, Organisation und Schnittstellen sowie ein Drittel Benutzer-Awareness. Nur wenn Unternehmen alle drei Bereiche gleichermaßen berücksichtigen, kann es gelingen, sich bestmöglich gegen Cyberangriffe zu schützen.

  • Zwingend das Thema Cloud-Datenschutz

    Microsoft 365 zählt zu den führenden Software-as-a-Service (SaaS)-Diensten weltweit. Doch der Einsatz - zum Beispiel an Schulen - steht derzeit hinsichtlich Datenschutz und Informationssicherheit teilweise in der Kritik. Die Carmao GmbH rät unter anderem dazu, dass Unternehmen die in Microsoft 365 gespeicherten Daten verschlüsselt und damit geschützt ablegen sollten. Bei Microsoft 365 handelt es sich um eine Komplettlösung, die Online-Dienste, Office-Web-Anwendungen und Office-Software-Abonnements kombiniert. Viele Firmen und auch öffentliche Einrichtungen wie z.B. Schulen und Universitäten setzen auf die Lösung.

  • Security aus der Steckdose gibt es nicht

    Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheits-Tools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen für MSS im eigenen Unternehmen zu stellen? Andreas Mayer, Founder & Business Development bei indevis, gibt sechs Tipps.

  • Die Welt des Kunden verstehen

    Standardisierung und Automatisierung haben das IT Service Management in den letzten Jahren stark geprägt. Klassische Frameworks wie ITIL, CoBit, ISO-Normen und Software-Tools trugen auf der einen Seite wesentlich dazu bei, das Dienstleistungsmanagement zu professionalisieren. Auf der anderen Seite führten sie jedoch dazu, dass sich Abläufe und Prozesse zunehmend bürokratischer gestalten. Die Folge: Starre Vorgänge prägen den Arbeitsalltag der Mitarbeiter. Ihre Aufmerksamkeit entfernt sich nach und nach vom Kunden, weil sie ganz von Verfahren, Richtlinien und Strukturen eingenommen wird. Kein Wunder, dass solche Aufgaben nach und nach automatisiert werden. Die Stärke von Automaten besteht darin, Verfahren stumpf nach Regeln abzuarbeiten. Trotz des Vormarsches von künstlicher Intelligenz, auch im Service, sind es gerade die besonderen Kundensituationen, die nach wie vor Menschen erfordern.

  • Automatisierung der Workflows

    Seit dem Ausbruch der Corona-Pandemie stehen Unternehmen unter einem enormen wirtschaftlichen Druck. Damit sie weiterhin wettbewerbsfähig bleiben können, müssen sie in den digitalen Wandel investieren. Schließlich ermöglicht die Digitalisierung eine Reihe von Verbesserungen in Form von neuen Aufträgen, schnelleren Prozessen, geringeren Kosten oder vereinfachten Workflows. So haben die Ereignisse des Jahres 2020 in zahlreichen Unternehmen eine beispiellose Automatisierungswelle ausgelöst. Laut Forrester Research hat die Pandemie dazu geführt, dass mehr denn je in die Automatisierung von Geschäfts- und IT-Prozessen investiert wurde. Remote-Arbeit, technologische Fortschritte und die Notwendigkeit eines effektiven Krisenmanagements trugen maßgeblich dazu bei, dass es in einigen Unternehmen zu hektischen Aktionen kam - dieser Trend wird sich 2021 voraussichtlich fortsetzen.

  • ERP-Lösung modernisieren oder ablösen

    Die Modernisierung eines ERP-Systems oder die Einführung einer neuen ERP-Lösung sind keine einfachen Aufgaben. Viele ERP-Projekte bringen deshalb auch nicht den gewünschten Erfolg. Signavio, ein führender Anbieter von Business-Transformation-Lösungen, nennt fünf Gründe, die eine erfolgreiche ERP-Transformation verhindern. Viele Unternehmen stehen vor der Herausforderung, ihre ERP-Lösung zu modernisieren oder abzulösen. Handlungsbedarf besteht etwa, wenn die Software aktuelle Anforderungen nicht mehr abdeckt. Darüber hinaus machen auch zu hohe IT-Kosten, häufige Systemausfälle oder eine große Anwenderunzufriedenheit häufig eine ERP-Transformation erforderlich.

  • Sicherung von Container-Daten

    Container gibt es zwar schon seit den 1970er Jahren, aber erst 2013 machte die Software-Firma Docker den Container-Ansatz so richtig populär. Mittlerweile haben Container-Lösungen wie Kubernetes die Art und Weise, wie Anwendungen entwickelt, verwaltet und bereitgestellt werden, grundlegend verändert. Sie ermöglichen es Entwicklern, sich ausschließlich auf die Software-Erstellung und die Bereitstellung von Anwendungen zu konzentrieren. Es ist keine Übertreibung zu sagen, dass Container die Softwareentwicklung revolutioniert haben. Entscheidet sich ein Unternehmen für den Einsatz von Container-Lösungen, muss es aber auf jeden Fall auch die Datensicherung berücksichtigen. Warum das so ist wird klar, wenn man sich anschaut, was Container sind und wie sie eingesetzt werden. Ein Container ist eine Anwendung, die alle ihre Abhängigkeiten, Bibliotheken und Konfigurationsdateien in einem einzigen Paket bündelt. Diese Bündelung erleichtert das Aufsetzen neuer Container-Instanzen und das nahtlose Verschieben dieser Container von einer Rechenumgebung in eine andere.

  • Change-Management-Prozesse

    Komplexe Integrationsvorhaben in der Softwareentwicklung sind oft zeitaufwendig. Die IT-Dienstleisterin Consol nennt sieben Best Practices, mit denen Unternehmen Change-Management-Prozesse in Software-Integrationsprojekten beschleunigen können. Die Lead Time for Changes ist der wichtigste Messindikator für ein erfolgreiches Change Management in der Softwareentwicklung. Diese Lead Time beschreibt dabei die Zeitdauer, die erforderlich ist, um eine Source-Code-Änderung ab einem neuen Commit erfolgreich im Produktivbetrieb nutzen zu können. Basierend auf den Erfahrungswerten aus zahlreichen Software-Integrationsprojekten fördern diese sieben Best Practices ein erfolgreiches Change Management.

  • In Multi-Cloud-Zeiten zählt Expertise

    Verschiedene Cloud-Dienste zu einer ganzheitlichen Lösung zu kombinieren, kann für Unternehmen entscheidende Wettbewerbsvorteile bringen. "Wichtig dafür ist, dass Firmen solche Multi-Cloud- und Hybrid-Cloud-Lösungen einwandfrei beherrschen", sagt Christian Werner, CEO der Logicalis Group in Deutschland. Der internationale Anbieter von IT-Lösungen und Managed Services investiert momentan umfassend im Cloud-Umfeld, um Unternehmen hier in ihrer Strategie zu unterstützen. "Oft verschenken Unternehmen beim komplexen Thema Cloud viel Potenzial, weil es ihnen an eigenen Ressourcen und Know-how fehlt", so Werner. Auf Basis starker Partnerschaften mit zum Beispiel Cisco, Microsoft und Oracle kann Logicalis Unternehmen bei der Planung und dem Zusammenspiel unterschiedlicher Cloud Computing-Dienste umfassend unterstützen.

  • Industrie 4.0 und Software-defined WAN

    Die Cloud- und Edge-Technologien sowie die Verbreitung von IoT-Geräten stellen einen großen Schritt in Richtung Smart Factories in der Fertigungstechnik dar. Smart Factories verlassen sich auf autonome Geräte, die einen konstanten Datenstrom aus vernetzten Betriebs- und Produktionssystemen erzeugen und interpretieren. Die Geräte dieses Systems lernen und passen sich selbstständig an neue Anforderungen an. Dabei kommunizieren sie sowohl über den Netzwerk-Edge als auch in die Cloud. Die Bedeutung dieses Übergangs wird dadurch unterstrichen, dass die Veränderungen, die diese technologische Entwicklung mit sich bringt, als so dramatisch angesehen werden, dass sie als Industrie 4.0 oder die "vierte industrielle Revolution" angekündigt wurden.