Cloud-Nutzung setzt Ordnung in der eigenen IT voraus

Bedenkenswerte Gewohnheiten

Solange die IT ausschließlich im eigenen Rechenzentrum betrieben wurde, genügte es gegebenenfalls, ein paar granulare Firewall-Regeln hinzuzufügen, um nur bestimmte Verbindungen nach innen und außen zu erlauben.

Interne webbasierte Anwendungen funktionierten ausreichend mit HTTP; HTTPS war nicht zwingend erforderlich. Das aufwendige und unliebsame Handhaben von Zertifikaten hat man sich oftmals geschenkt.

Jeder, der sich im Netzwerk bewegen konnte, war mehr oder minder auch dazu berechtigt. Demnach schien es oftmals egal, ob die Daten verschlüsselt waren.

Das Verhältnis von Risiko und Aufwand wurde oftmals anders abgewogen und Risiken bewusst eingegangen. Zudem gingen viele IT-Teams davon aus, dass Anwender ohnehin nur über ein begrenztes Verständnis der Zusammenhänge verfügten.

Es existierten unterschiedliche Maßnahmen, um Bedrohungen für die eigene Organisation in den Griff zu bekommen. Über Standards wie 802.1x lässt sich festlegen, dass nur autorisierte Geräte Zugriff zum Netzwerk bekommen.

Das verringert zumindest die Wahrscheinlichkeit eines unerlaubten Zugriffs, da der Anwender sowohl physischen Zugriff als auch ein zugelassenes Gerät benötigt. Der Verzeichnisdienst Active Directory wurde bis dato meist mehr oder minder gut gepflegt und bereinigt, was meist so lange in Ordnung ging, wie jeder Anwender ohne Probleme in Sachen Berechtigungen seiner täglichen Arbeit nachkommen konnte.

Die Zeit vor der Cloud-Nutzung gestattete in der täglichen Arbeit durchaus viele pragmatische und weniger konsequente Ansätze, da das Risiko für den Geschäftsbetrieb durch etwaige Folgen geringer war. Und Admins, die neu zum IT-Team stießen, übernahmen meist das gut eingeführte Chaos ihrer Vorgänger.

Es bestand kaum ein Anreiz, Vorgehensweisen zu ändern, sondern es galt meist nur bestehende Prozesse am Laufen zu halten. Mit der Cloud-Einführung haben sich jedoch viele Faktoren grundlegend geändert. Es ist keine Option, alles einfach weiter wie gehabt zu handhaben.

Typische Vorgehensweisen vor dem Cloud-Umzug überprüfen

Es gibt zahllose Beispiele dafür, warum die Cloud-Migration ein guter Anlass ist, die eigene IT und die Abläufe auf den Prüfstand zu stellen. Exemplarisch sei hier die Konfiguration von Microsofts Azure Active Directory angeführt. Azure AD synchronisiert jedes Active-Directory-Objekt der eigenen Umgebung mit der Cloud, wenn nichts anderes konfiguriert ist.

Da sollte man schon ein sehr gut bereinigtes System am Start haben, oder zumindest genau wissen, ob man das wirklich möchte. Übersehene Kennwörter und Konten könnten so zu einem unbewussten Risiko werden, das nur darauf wartet, von einem Angreifer ausgenutzt zu werden.

Oder um das Thema HTTP/HTTPS noch einmal zu strapazieren: Anwender im Unternehmen wollten heutzutage von jedem Ort der Welt aus und mit einer Vielzahl unterschiedlichen Geräten auf interne Webanwendungen zugreifen.

Wollte man früher externen Zugriff auf eine interne Webanwendung gewähren, war es ein durchaus angewendeter Ansatz, einfach mal eine Bresche in die Firewall zu schlagen. Bei einer unverschlüsselten HTTP-Website sind Nutz- wie Zugangsdaten relativ ungeschützt. Keine wirklich gute Idee, wenn Anwender aus nicht nachvollziehbaren Netzwerkverbindungen darauf zugreifen wollen.

Wichtige Maßnahmen für die IT-Sicherheit

Grund genug also, die eigene IT mal wieder auf den Prüfstand zu stellen und sich verstärkt auf die Sicherheit des Unternehmens zu konzentrieren. Mit ein paar grundlegenden Maßnahmen kann man da bereits viel erreichen:

Das Active Directory aufräumen. Überprüfen Sie die Benutzerkonten, deaktivieren Sie nicht mehr verwendete Konten und verwalten Sie die Organisationseinheiten so, dass sie nachvollziehbar und logisch sind. Implementieren Sie einen durchgängigen Prozess zur Verwaltung von Konten, von der Erstellung bis zur Löschung.

Die eigenen Passwortrichtlinien auf den Prüfstand stellen. Wenn Sie keine weiterreichenden Maßnahmen einsetzen, sollten Sie zumindest eine stringente Kennwortrichtlinie angesichts aktueller Erkenntnisse durchsetzen. Ziehen Sie wo immer möglich, wie etwa bei Azure Active Directory, Multifaktor-Authentifizierung (MFA) in Betracht. Kombinieren Sie MFA mit anderen Zugangskontrollen, um den Zugriff für die Anwender so bequem und zeitgleich so sicher wie möglich zu machen.

Die Nutzung der Konten überprüfen und überwachen. Wenn irgendwas mit der Nutzung der Anwenderkonten nicht ordnungsgemäß läuft, dann sollte die IT-Abteilung zeitnah davon Kenntnis erlangen. So können rechtzeitig Abhilfemaßnahmen eingeleitet werden. Lösungen wie Azure Active Directory können beispielsweise bei verdächtigen Aktivitäten, etwa der Anmeldung von einem untypischen Ort aus, Warnmeldungen abgeben.

Durchgängig HTTPS implementieren. IT-Abteilungen müssen nicht für jede Website ein Zertifikat erwerben, um HTTPS zu aktivieren. Wenn die Website nur für vertrauenswürdige Computer bestimmt ist, kann dies auch selbst bereitgestellt werden. Oder, wenn es sich anbietet, kann auch auf ein Wildcard-Zertifikat gesetzt werden. Sobald das Zertifikat bereitgestellt ist, können Sie die gewünschten Sites mit Azure Active Directory Application Proxy freigeben, statt Ports in der Firewall zu öffnen. Und dies bringt gleich noch einen weiteren Vorteil mit sich: Es kann ein Azure Active Directory Login erzwungen werden, um Multifaktor-Authentifizierung und den Schutz von Identitäten sicher zu stellen, bevor der Nutzer auf die interne Site gelangt. Und dies unabhängig von Gerät oder Ort, an dem sich der Anwender befindet.

Die genannten Aspekte sind selbstredend nur ein Auszug dessen, was IT-Teams beachten sollen, wenn sie von einer lokalen Lösung in die Cloud umziehen. Je nachdem welche Dienste genutzt werden sollen, gibt es zahlreiche weitere Faktoren, die beachtet werden wollen.