grandeduc - stock.adobe.com
Bei der Cloud-Sicherheit dem Risikofaktor Mensch begegnen
Selbst wenn die besten Sicherheits-Tools zum Einsatz kommen, können bei der Cloud-Nutzung Fehler von Endanwendern oder IT-Abteilungen das Unternehmen angreifbar machen.
Hacker sind stets auf der Suche nach Schwachstellen in IT-Systemen und dementsprechend wachsam müssen Unternehmen agieren. Es existieren zahlreiche Tools, um Bedrohungen zu erkennen und Daten zu schützen. Ein besonderes Cloud-Sicherheitsrisiko können diese Werkzeuge jedoch nicht in allen Fällen berücksichtigen: den menschlichen Faktor.
Weder Endanwender noch IT-Abteilungen verhalten sich immer ideal im Hinblick auf die Sicherheit. Alle sind anfällig für Phishing-Angriffe oder machen andere Fehler, wie die Nutzung von vertraulichen Informationen außerhalb des Unternehmens oder die unsachgemäße Bereitstellung von Sicherheitslösungen. Hinzu kommt, dass die Best Practices in Sachen Cloud-Sicherheit oftmals im Widerspruch zum Wunsch der Mitarbeiter stehen, möglichst schnell und effektiv zu arbeiten.
Um den menschlichen Risikofaktoren bei der Cloud-Nutzung richtig zu begegnen, müssen Unternehmen wissen, wo die Grenzen ihrer Sicherheitswerkzeuge liegen. Darüber hinaus ist es wichtig, ein entsprechendes Sicherheitsbewusstsein in der Belegschaft zu schaffen.
Risiken durch Endanwender
Phishing-Angriffe sollen Anwender dazu verleiten, auf unterschiedliche Art und Weise sensible Informationen oder Zugangsdaten preiszugeben. Oftmals sehen diese Angriffe nach legitimen Anfragen aus, so dass die Mitarbeiter dem Angriff zum Opfer fallen und die IT-Systeme gefährden.
Mit der zunehmenden Nutzung von mobilen Endgeräten und Cloud-Diensten ist zudem eine erhebliche Menge an Unternehmensdaten außerhalb des Unternehmens angesiedelt. Hinzu kommt, dass die Endanwender von unterschiedlichsten Orten auf vertrauliche Informationen zugreifen – mit all den Risiken, die dieser Zugriff bergen kann.
Zum Schutz der Daten empfehlen sich hier DLP-Lösungen (Data Leak Protection beziehungsweise Data Loss Prevention), die Dokumente mit sensiblen Informationen identifizieren können und Mitarbeiter auf ein potentielles Cloud-Sicherheitsrisiko hinweisen können. Je nach Ausprägung können diese Tools auch den Zugriff auf bestimmte Daten unterbinden. Entsprechende Produkte werden beispielsweise von CA Technologies, Cisco, Veracode oder auch Symantec angeboten.
IT-Abteilungen als Risikofaktor
Auch IT-Abteilungen können aufgrund ihres Verhaltens ein Sicherheitsrisiko bei der Cloud-Nutzung darstellen. Ein bekanntes Problem ist üblicherweise das Patch-Management. Je nach Ausprägung des Cloud-Angebots gilt es auch dort, zeitnah Sicherheitsupdates einzuspielen, der Anbieter ist nicht für alles verantwortlich. Da IT-Abteilungen häufig dringendere Probleme zu lösen haben, geschieht das Einspielen von Updates in der Praxis nicht immer zeitnah.
Weil die Entwicklerwerkzeuge es erlauben, werden zudem häufig auch eigene Cloud-Anwendungen einfach zusammengeklickt. Oftmals, ohne dass die entsprechenden Sicherheitsaspekte Berücksichtigung finden, selbst wenn die Entwicklungstools dies hergeben würden. Und so entsteht schnell eine sehr anfällige Anwendung.
Bei einer Migration von Diensten oder Anwendungen in die Cloud müssen IT-Abteilungen ihre Prozesse entsprechend anpassen. Nicht alle Best Practices, die in der eigenen Umgebung prima funktioniert haben, sind für die Cloud sinnvoll, so Jim Reavis, CEO der Cloud Security Alliance. Unternehmen müssen da nicht nur ihre Einstellung, sondern auch die Werkzeuge entsprechend anpassen. Manchmal ist dann ein buchbarer Dienst sinnvoller als der Einsatz einer Appliance.
Die Informationsflut im Griff behalten
Viele IT-Abteilungen nutzen Sicherheits-Tools oder -dienste, die Cloud-Implementierungen und Systemprotokolle überwachen. Erkennen diese Tools eine Bedrohung, lösen sie entsprechend einen Alarm aus. Nicht alle dieser Warnmeldungen weisen wirklich auf eine echte Bedrohung hin. Die richtigen herauszufiltern, kann IT-Teams deutlich überfordern. Bei den anfallenden Datenmengen kann dann die entscheidende Meldung übersehen werden, und so ein potenzielles Cloud-Sicherheitsrisiko nicht wahrgenommen werden.
„In den letzten Jahren sind die Computerressourcen explosionsartig gestiegen, weit stärker als in der Vergangenheit“, so Reavis. „Viele Unternehmen haben da selbst nicht mit skaliert und die Anzahl der Sicherheitsexperten, die nötig für die Bewertung der Risiken wären, entsprechend angehoben.“
Oftmals werden Sicherheitslösungen von IT-Abteilungen auf die Schnelle im Unternehmen ausgerollt, ohne dass sich eingehend damit beschäftigt worden wäre. In der Praxis führt das häufig zu Problemen. Zudem mangelt es in diesem Bereich immer noch an der Standardisierung. Muss eine IT-Abteilung beispielsweise unterschiedlichste VPNs verwalten und unterbleibt bei nur einer Lösung eine entscheidende Einstellung, ist das Netzwerk unter Umständen offen für Angriffe.
Das große Ganze betrachten
Damit Endanwender und IT-Abteilungen ihre jeweilige Rolle bei der Cloud-Sicherheit besser erfüllen, müssen Unternehmen Richtlinien entwickeln, Standardwerkzeuge einsetzen sowie in Schulungen investieren. Schnelle Lösungen funktionieren meist nicht, wenn es darum geht den Risikofaktor Mensch besser in den Griff zu bekommen. Ein langfristiger Ansatz sowie die Anwendung anerkannter Best Practices für die Cloud-Sicherheit sind da erfolgsversprechender.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
