Vom Flickenteppich zur Komplettlösung

Die Covid-19-Krise hat die Migration der IT in die Cloud merklich beschleunigt. Insbesondere Remote Working hat fast über Nacht zu einem enormen Anstieg der Nachfrage nach Online-Diensten und hochverfügbaren Anwendungen geführt. Dies hat die Cloud-Nutzung in allen Bereichen intensiviert und Unternehmen dazu veranlasst, ihre digitale Transformation voranzutreiben – und manchenorts in zwei Monaten mehr zu erreichen, als für die nächsten fünf Jahre geplant war.

Dieser Sprung nach vorn hat jedoch seinen Preis. Unser Cloud Security Report 2020 (vgl. Kasten) zeigt nicht nur auf, dass 68 Prozent der Unternehmen zwei oder mehr Cloud-Anbieter nutzen. Der beschleunigte Umstieg in die Cloud und die dadurch entstandenen Sicherheits­lücken haben zu einer Zunahme von Angriffen geführt – und zu einer wachsenden Besorgnis bei Unternehmen.

Viele Organisationen empfinden den Umstieg in die Cloud als sicherheitstechnisch riskant. Laut Report glauben 52 Prozent der Unternehmen, dass das Risiko von Sicherheitsverletzungen in Cloud-Umgebungen höher ist als vor Ort, und drei von vier Entscheiderinnen sind sehr oder sogar äusserst besorgt über die Sicherheit in der Cloud.

Diese Bedenken fordern von den Unternehmen einen hohen Tribut. Der Bericht stellt fest, dass Organisationen in der Regel 27 Prozent ihres Budgets für die IT-Sicherheit ausgeben. Fast 60 Prozent der Organisationen erwarten, dass diese Ausgaben nächstes Jahr weiter steigen werden. Dies mit gutem Grund: In der ersten Hälfte dieses Jahres wurden laut dem Medium CRN über 3,2 Milliarden Datensätze bei zehn grossen Data Breaches veröffentlicht. Solche Sicherheitsverletzungen können für Firmen fatal sein.

Laut Report ist die grösste Bedrohung in der Cloud eine Fehlkonfiguration. 68 Prozent der Unternehmen gaben dies als ihre grösste Sorge an, gegenüber 62 Prozent im Vorjahr. Eine Fehlkonfiguration liegt dann vor, wenn ein Cloud-bezogenes System, Tool oder Asset nicht richtig konfiguriert ist, wodurch das System gefährdet und einem potenziellen Angriff oder Datenleck ausgesetzt wird. Auf diese Bedrohung folgten unbefugter Zugriff (58 %), unsichere Schnittstellen (52 %) und Account-Hijacking (50 %).

Die Studie befasste sich überdies mit den wichtigsten Sicherheitsbedenken in der Cloud. Dazu gehören Datenverlust oder -lecks (69 %) – das sind 5 Prozent mehr als im Vorjahr – sowie Datenschutz und Vertraulichkeit (66 %) – 4 Prozent mehr als im Vorjahr. Es folgten Bedenken hinsichtlich der versehentlichen Offenlegung von Berechtigungsnachweisen und der Reaktion auf Vorfälle (44 %), der Einhaltung rechtlicher und regulatorischer Vorschriften (42 %) sowie der Datenhoheit, -aufbewahrung und -kontrolle (37 %). Eine weitere Ursache für die Besorgnis von Führungskräften und Sicherheitsexperten ist die Compliance. 90 Prozent der Befragten halten die kontinuier­liche Einhaltung von Vorschriften während der Migration von lokalen Standorten in die Cloud für äusserst wichtig.

Obwohl Cloud-Dienste integrierte und oft fortschrittliche Sicherheitsmassnahmen bieten, unterliegen Firmen einem Modell der geteilten Verantwortung. Letztlich bedeutet dies, dass Kunden für die Sicherung ihrer eigenen Daten und Arbeitslasten in der Cloud verantwortlich sind.

Herkömmliche Sicherheits-Tools, die für Unternehmen vor Ort gut funktioniert haben, sind nicht dafür ausgelegt, die sich verändernden, verteilten und virtuellen Umgebungen der Cloud zu handhaben. Der Bericht zeigt, dass sich Führungskräfte dieser Einschränkung sehr wohl bewusst sind. Über 80 Prozent der Befragten gaben an, dass diese Tools entweder überhaupt nicht in der Cloud funktionieren oder nur eine begrenzte Funktionalität bieten.

Was brauchen Unternehmen also, um sicher in die Cloud zu migrieren? Die wichtigsten Überlegungen bei der Auswahl eines Cloud-Sicherheitsanbieters sind die Kosteneffizienz (63 %), die einfache Bereitstellung (53 %), die Automatisierung (52 %) und die Frage, ob die Lösung Cloud-intern ist (52 %). Da fast 80 Prozent der Unter­nehmen eine Multi-Cloud-Architektur eingeführt haben, benötigen die meisten auch eine einheitliche Cloud-Sicherheitsplattform, die in der Lage ist, alle oben genannten Metriken in ihrer komplexen Infrastruktur bereitzustellen.

Die Umfrage ergab, dass eine Möglichkeit, diese Cloud-Sicherheitsanforderungen zu erfüllen, darin besteht, das Personal zu schulen und zu zertifizieren. Die Ergebnisse zeigen jedoch auch, dass über die Hälfte der Befragten das Fachwissen und die Ausbildung der Mitarbeiter als grösstes Hindernis für eine sinnvolle Cloud-Nutzung ansehen. Die Alternative ist der Einsatz von Cloud-basierten Sicherheits-Tools. Dies vergrössert den Bedarf an hochautomatisierten Werkzeugen, die von IT-Sicherheitsteams intuitiv für eine effiziente Handhabung der wachsenden Anforderungen an ihre Cloud-Umgebung genutzt werden können.

Eine einheitliche, native Cloud-Sicherheitsplattform kann die Sicherheit bei Cloud-Workloads zum Beispiel auf AWS, Azure oder Google Cloud Platform automatisieren und die wichtigsten Anliegen sowie Sicherheitsbedrohungen adressieren. Dazu gehören: unbefugter Zugriff, Compliance sowie Fehlkonfiguration. Die Plattform muss einen Überblick bieten über alle Multi-Cloud-Ressourcen und -Services und soll die Sicherheitslage visualisieren und bewerten, um Fehlkonfigurationen zu erkennen, Compliance- und Governance-Probleme zu lösen und automatisch Best Practices wie den Just-in-Time-Zugriff für den Identitätsschutz und die Bewachung sensibler Vorgänge durchzusetzen. Eine moderne Cloud-Compliance- und Governance-Lösung soll sicherstellen, dass Cloud-Deployments verschiedenen Compliance-Standards (z. B. HIPAA, EU-DSGVO und NIST) gerecht werden, und sie setzt kundenspezifische Richt­linien ein, um Governance-Anforderungen zu erfüllen.

Trotz der Sicherheitsbedenken, die im Bericht zum Ausdruck gebracht werden, sind die grössten Bedrohungen oft diejenigen, die unbemerkt bleiben. Eine moderne Lösung soll mithilfe von Machine Learning und Bedrohungs­forschung Gefahren in der gesamten Multi-Cloud-Umgebung «jagen», wobei Anomalien aufgedeckt und verwertbare Erkenntnisse für eine schnelle Abhilfe geschaffen werden.

Eine fortschrittliche Cloud Network Security schützt Assets in der dynamischen Public Cloud durch automatische Skalierung, Bereitstellung sowie Richtlinienaktualisierungen. Eine solche Lösung verfügt über eine einzige, einheitliche Konsole, die identische Sichtbarkeit, Richtlinien­verwaltung, Protokollierung und Reporting in allen Um­gebungen bietet und so die Komplexität der Sicherung einer Multi-Cloud- oder Hybrid-Cloud-Architektur reduziert.

Die Lösung muss Sicherheitsbedrohungen jeder Art und auf jeder Ebene bewältigen. Sie soll die Security für serverlose Anwendungen automatisieren sowie Container-Sicherheit und Schutz für Cloud-Workloads bieten. Dazu zählen Schwachstellenbewertung, Sicherheits-Scans und -Analysen sowie die Bereitstellung einer DevSecOps-Strategie durch die Durchsetzung granularer Sicherheitsrichtlinien.

Traditionelle Sicherheitswerkzeuge sind nicht angemessen, um die wachsende Zahl von Sicherheitsverletzungen und die dynamische, virtuelle und dezentralisierte Natur der Cloud zu bewältigen. Es braucht eine einheitliche, hoch automatisierte und kostengünstige Cloud-Sicherheits­lösung, die in der Lage ist, Bedrohungen in Multi-Cloud-Umgebungen zu erkennen und zu handhaben.