Webcast

Sicher und compliant in der Cloud

28.04.2020
Anzeige  Automatisierte Abläufe schaffen mehr Security und Compliance bei der Cloud-Nutzung. Wie das funktioniert, zeigt ein Webcast der Computerwoche.
Mit der Nutzung der Cloud steigen auch ihre Risiken.
Mit der Nutzung der Cloud steigen auch ihre Risiken.
Foto: bestfoto77 - shutterstock.com

Ob Applikationen oder Infrastruktur - die Nutzung von Cloud-Services steigt. Doch das birgt zwei Herausforderungen: IT-Sicherheit und Compliance. Was Automatisierung dabei leisten kann, zeigt ein Webcast der Computerwoche.

Richard Werner, Business Consultant bei Trend Micro, spricht über die Risiken, die mit der wachsenden Beliebtheit der Cloud einhergehen. Fachjournalist Sven Hansel von der Computerwoche moderiert den Webcast und betont, dass es um beide Ebenen geht: IT-Security und Compliance. Der Bedarf ist hoch: wie eine Umfrage unter den Webcast-Zuschauern zeigt, operieren bereits 42 Prozent mit einer hybriden Cloud-Umgebung. 19 Prozent beschränken sich auf eine private Cloud und acht Prozent auf eine public. Zehn Prozent schließlich bleiben bisher on premise.

"Wie ist denn die aktuelle Bedrohungslage?", will Hansel vom Experten wissen. Der schätzt sie als "leicht erhöht" ein. Insbesondere werden Phishing-Attacken gestartet, bei denen Angreifer versuchen, Zugangsdaten abzugreifen. "Viele davon tarnen sich als Informationen zu Corona", beobachtet Werner.

Viele Angreifer versuchen es über die "Chefmasche"

Zweitens versuchen es viele Angreifer derzeit über die "Chefmasche": Mitarbeiter werden angerufen oder angemailt und - scheinbar - vom Vorgesetzten aufgefordert, Geld zu überweisen. Die einfachste Möglichkeit ist in solchen Fällen die, beim Chef nachzufragen. Wer per Telefon kontaktiert wird, fragt per Mail nach und umgekehrt. Denn meistens gehen die Kriminellen nur über einen der beiden Wege. Werner fügt an: "Das setzt aber ein Klima voraus, in dem man den Chef fragen kann!"

Und damit ist er bei einem ganz wichtigen Punkt: "Bei Compliance ist Technologie nur ein Teil, genauso wichtig sind die Prozesse", betont der Experte. Es geht darum, wie man die Technologie einsetzt, und nicht zuletzt um eine saubere Dokumentation.

Für Compliance bestehen verschiedene Anforderungen: regional, lokal oder branchenspezifisch, wie etwa beim Paymentcard Industry Data Security Standard. Gemeinsam ist all diesen Vorschriften Dreierlei: es geht um die Sicherung von Daten und Systemen, es geht um Risikomanagement - Entscheider müssen Risiken abwägen, zulassen und dokumentieren - und es geht um eine Meldepflicht, wenn es zu Verstößen kommt.

"Compliance gilt unabhängig vom Formfaktor"

"Compliance gilt unabhängig vom Formfaktor", betont Werner. Die Vorgaben beziehen sich also auf das bisherige Datacenter genauso wie auf die Cloud. Das sei eine Anforderung, "die Unternehmen gerne unterschätzen". Wählt ein Unternehmen hybride Umgebungen, kollidieren die Ansprüche, so der Experte. Denn die hybride Cloud soll Kreativität, Flexibilität und Geschwindigkeit ermöglichen - drei Schlagworte, die in der Compliance und auch Security-Welt "eher kontraproduktiv" sind. Das zeigen die Auswertungen Data Breaches.

Als Ursachen für Datenverluste hat Trend Micro folgendes ausgemacht: erstens nutzen Angreifer anfällige Verknüpfungen, um DevOps Pipelines anzugehen. Zweitens stellen Serverless Plattformen eine Angriffsoberfläche für bösartigen Code dar. Zum dritten bilden Schwachstellen in Containern eine Herausforderung und viertens steigern Fehlkonfigurationen das Risiko in Cloud-Umgebungen. Dennoch: die "größte Schwachstelle" bleibe der Mensch, so Werner. Etwas falsches anzuklicken oder mit schwachen Passwörtern zu hantieren, das ist schlicht menschlich.

Seiner Beobachtung nach fehlt vielen Unternehmen der zentrale Überblick in ihren hybriden Umgebungen. Wo liegt was und wie ist es konfiguriert, was ist im Alarm-Fall das Wichtigste, was ist dann zu tun - solche Fragen müssen geklärt sein. Dass oft ungleiches Knowhow besteht und sich Vorschriften schnell ändern, kommt erschwerend hinzu. Und auch hier geht es wieder um den "Faktor Mensch": Leider gibt es immer noch Unternehmen, die ohne Security-Konzept in die Cloud gehen, berichtet Werner. Auch gebe es oft Generationen-Konflikte zwischen jungen Cloud-affinen Entwicklern einerseits und erfahrenen CISOs andererseits.

Wenn die Führung ihrer Verantwortung nicht nachkommt

Welche Technologien helfen? Der Experte nennt Patch-Management, also Vulnerability Scanning, Intrusion Prevention und die Firewall, sowie Änderungsmanagement, im Einzelnen Application Control, Integrity Monitoring und Log Inspection. Außerdem sollte die Anti-Malware auf dem Stand sein, also Behavioral Analysis Madchine Learning und Sandbox Analysis beinhalten. Immer müssen die Verantwortlichen Umgebungen, Plattformen, APIs und Integration auf dem Schirm haben.

"Ich brauche eine Plattform, die mich darauf aufmerksam macht, dass Fehler passiert sind", fasst Werner zusammen. Trend Micros neue Security-Plattform Cloud One resultiert aus der eigenen Forschung, die das Unternehmen vorantreibt.

Am Schluss des Webcasts gehört einem Zuschauer das Wort. Er stellt fest: "Geschäftsleitungen und Aufsichtsräte nehmen ihre Verantwortung nicht wahr! Oft werden Daten noch nicht einmal klassifiziert." Dem kann Werner zur zustimmen: "Wir erleben es leider oft, dass die Security als negativ wahrgenommen wird. Dabei sind wir der Schutz des Unternehmens!"

Hier den Webcast ansehen

Zur Startseite