Welche Herausforderungen sich für CISOs bei der Datensicherheit in der Cloud stellen

Zwei Personen an einem Notebook diskutieren über Herausforderungen der Datensicherheit in der Cloud.

Hybride und Multi-Cloud-Umgebungen sind in vielen Unternehmen Realität. Und bereiten den CISOs Kopfzerbrechen, wenn es um die Einhaltung der Datensicherheit geht. Denn die Herausforderungen für die Cybersecurity sind in heterogenen Umgebungen zahlreich.

Text: Andreas Heer, Bild: Swisscom, Datum: 1. März 2024    5 Min.

Es gibt Momente, da kommt selbst IT-Fachleuten die Cloud nebulös vor. Intransparent und nicht greifbar, ganz wie eine Wolke im meteorologischen Sinn. Solche Momente stellen sich immer dann ein, wenn es darum geht, sich einen Überblick zu verschaffen über (heterogene) Cloud-Umgebungen.

Es versteht sich von selbst, dass mangelnde Transparenz ein unerwünschter Zustand ist, wenn es um Datensicherheit geht. Denn die Anforderungen an die Datensicherheit sind fast so exponentiell gestiegen wie die Daten­mengen selbst im Rahmen der fortlaufenden Digitalisierung. In einem datengetriebenen Umfeld müssen die Daten verfügbar und verlässlich sein, damit das Geschäft läuft.

Aufgrund dieser Faktoren ist Datensicherheit im Cloud-Zeitalter anspruchsvoller geworden. «Früher, als die Daten ausschliesslich im eigenen Rechenzentrum lagen, hat eine Unterteilung in verschiedene Sicherheitszonen ausgereicht», blickt Alex Obrist zurück, Produktverantwortlicher Managed Cloud and Security Services bei Swisscom. «Heute werden Daten dagegen klassifiziert und kategorisiert und beim Zugriff Rollen und Identitäten geprüft. Das ist der eigentliche Paradigmenwechsel, der mit der Cloud stattgefunden hat.»

Die Herausforderungen der Datensicherheit in hybriden und Multi-Cloud-Umgebungen lassen sich auf Englisch mit den drei «C» zusammenfassen: Complexity, Culture, Compliance. Im Einzelnen präsentiert sich die Situation wie folgt:

  • Komplexität: In hybriden und Multi-Cloud-Umgebungen werden Daten an verschiedenen Orten verarbeitet und gespeichert, On-Premises, in der Private und in der Public Cloud. Das erhöht die Angriffsfläche, auf die zunehmend raffiniertere und immer häufigere Cyberangriffe treffen.
  • Kultur: Komplexe Umgebungen erhöhen die Gefahr von Konfigurationsfehlern, die beispielsweise zu leicht via Internet zugänglichen AWS Buckets oder Azure Blobs führen. Dazu kommen Mitarbeitende, die – meistens unabsichtlich – Daten nicht mit den nötigen Schutzmassnahmen in der Cloud speichern. Der Faktor Mensch spielte gemäss dem Verizon Data Breach Investigations Report 2023 in drei Vierteln aller Fälle eine Rolle.
  • Compliance: Einerseits steigen die Anforderungen an Unternehmen laufend, weil Regulatorien oder Gesetze verschärft werden – zum Beispiel mit dem neuen Datenschutzgesetz (nDSG) oder der NIS-2-Richtlinie der EU. Andererseits ist die Überprüfung und Durchsetzung der Compliance über unterschiedliche Umgebungen hinweg anspruchsvoll.

Lesen Sie diesen Artikel und den Folgeartikel zu Best Practices und Lösungsansätzen bequem als PDF.

Komplexe Cloud-Umgebungen erschweren die Datensicherheit

Cyberkriminalität ist längst ein Geschäft. Ransomware as a Service, Aufteilung der einzelnen Angriffsschritte auf spezialisierte Personen und sogar Call Center der Ransomware-Banden für ihre «Kunden» zeugen davon. Die Angriffe werden immer grossflächiger, und neue Sicherheitslücken werden innert Tagen ausgenutzt. Attacken erfolgen oft dort, wo sich eine Gelegenheit bietet – wehe einem Unternehmen, dass seine Systeme nicht rechtzeitig gepatcht hat.

Bei 98 Prozent der Befragten wiesen die Cloud-Umgebungen kritische Lücken aufgrund von Konfigurationsfehlern auf.

Quelle: Zscaler Cloud (In)Security Report 2022

Fehlkonfigurationen in der Public Cloud vereinfachen den Cyberkriminellen die Arbeit, vor allem beim Einstieg in die Infrastruktur eines Unternehmens (initial access). Da ein schlecht geschütztes Testsystem, dort ein Webmail-Zugang ohne Zweifaktor-Authentifizierung, der dank per Phishing erbeuteten Zugangsdaten offensteht: Aus solchen Zutaten mischen die Angreifer ihren Giftcocktail.

Hierbei machen sich die Cyberkriminellen zunutze, dass hybride und Multi-Cloud-Umgebungen rasch unübersichtlich werden. Eine Test-VM ist schneller aufgesetzt als abgesichert und dokumentiert. Und schon stochern die Sicherheitsverantwortlichen im Nebel. Die fehlende Visibilität ist eine Herausforderung für Unternehmen, wie Alex Obrist sagt: «Früher gab es ein Konzept für die Datenspeicherung. Heute existieren unzählige Tools, um Daten in der Cloud zu identifizieren. Das passende zu finden und richtig einzusetzen, ist eine Herausforderung.» Ein Mangel an Übersicht erschwert es Unternehmen, einheitliche Policies durchzusetzen und die Compliance-Vorgaben zu erfüllen.

Der Mensch ist entscheidend für die Sicherheitskultur

Es ist nicht allein die Verteilung von Daten und Applikationen, die die IT-Landschaft unübersichtlich macht. Hinzu kommen die unterschiedlichen Sicherheitsansätze und -systeme der Cloud-Anbieter. Das erfordert unterschiedliche Vorgehensweisen bei den Cloud-Service-Providern, um zum gleichen Ziel zu kommen und die Cloud-Umgebung gemäss den Vorgaben abzusichern. «Versucht ein Unternehmen, die Sicherheits­anforderungen mit den unterschiedlichen Tools umzusetzen, besteht das Risiko, dass der Überblick verloren geht», schildert Alex Obrist die Situation.

Eine derart heterogene Tool-Landschaft erhöht die Wahrscheinlichkeit menschlicher Fehler. Vor allem, wenn die Fachleute fehlen, die sich mit verschiedenen Cloud-Anbietern auskennen. Und Fehlkonfigurationen gehören zu den grössten Sicherheitsrisiken in hybriden und Multi-Cloud-Umgebungen. Gemäss einer Studie von Zscaler von 2022 wiesen die Cloud-Umgebungen von 98 Prozent der Befragten kritische Lücken auf aufgrund von Konfigurationsfehlern.

Doch auch der unerwünschte Datenabfluss oder die versehentliche Veröffentlichung vertraulicher Geschäftsdokumente ist ein Risiko in Cloud-Umgebungen – ob dies nun mit Absicht geschieht oder nicht.

Eine Komplexitätsschicht darauf legt das Thema «Datenhaltung Schweiz». Ist sichergestellt, dass die eingesetzten Sicherheits-Tools wirklich in der Schweiz betrieben werden und beispielsweise der SMS-Dienst für die Kunden nicht einen Umweg über ein anderes Land nimmt? Sich hier den Durchblick zu verschaffen in den Angeboten der Anbieter, ist eine echte Herausforderung – und eine mühsame dazu.

Die Compliance im Blindflug durch die Wolken

Der eingangs erwähnte nebulöse Moment stellt sich oft ein, wenn die Einhaltung der Compliance-Vorgaben nachgewiesen werden soll. Ohne Visibilität und den Überblick über die gesamte IT-Umgebung ist ein umfassendes Monitoring schlicht nicht umsetzbar. Ein solches ist aber Voraussetzung, um Data Governance, Regulatorien und gesetzliche Vorgaben einzuhalten. «Unternehmen benötigen ein Dateninventar, um diese Assets schützen zu können. Dazu braucht es Visibilität», konstatiert Alex Obrist. «Für ein Unternehmen, bei dem der Betrieb von Cloud-Umgebungen nicht zur Kernkompetenz gehört, ist es schwierig, den Überblick zu behalten.»

Dieselben Voraussetzungen verlangen auch Sicherheitszertifizierungen wie beispielsweise ISO 27001. Sie bauen auf Compliance und standardisierten Prozessen auf und setzen entsprechende Kontrollinstrumente voraus. Die Visibilität über die gesamte Umgebung zurückzugewinnen sollte also oberstes Ziel einer Datensicherheitsstrategie sein.

Wirksame Datensicherheit in hybriden und Multi-Cloud-Umgebungen

Heterogene hybride und Multi-Cloud-Umgebungen verlangen nach neuen Ansätzen und Tools, um die Datensicherheit zu gewährleisten und zu überprüfen:

  • Security und Compliance by Design, um Konfigurationsfehler schon vor der Inbetriebnahme zu erkennen.
  • Zentral – im wahrsten Sinne des Wortes – ist dabei ein Monitoring, das den Zustand der gesamten hybriden oder Multi-Cloud-Umgebung überprüft. Damit lässt sich die korrekte Umsetzung nachweisen.
  • Um einheitliche Sicherheitslinien durchzusetzen, müssen sich diese von zentraler Stelle aus verwalten und anwenden lassen.
  • Weil Cloud-Anbieter auf unterschiedliche Ansätze und Tools setzen, benötigen auch die IT-Fachleute ein gesteigertes Sicherheitsbewusstsein. Das Security-Awareness-Training sollte also entsprechend auf die Fachleute ausgeweitet werden.
  • Fehlen die Fachleute oder ist der Betrieb einer umfassenden internen Cybersecurity-Abteilung aus wirtschaftlichen Gründen nicht sinnvoll, können Aufgaben an Managed Security Services Provider (MSSP) ausgelagert werden.

«Unternehmen müssen an zentraler Stelle entscheiden können, wie sie diese Daten schützen wollen – egal, wo sie sind», fasst Alex Obrist diesen Ansatz zusammen. Dann können sich die Wolken verziehen und den Blick freigeben auf die Cloud-Landschaft.

Lesen Sie im Folgeartikel, mit welchen Best Practices und Lösungsansätzen Unternehmen die Datensicherheit in hybriden und Multi-Cloud-Umgebungen sicherstellen können. Laden Sie jetzt beide Artikel herunter.

Jetzt Artikelserie «Datensicherheit» herunterladen

Der Download-Link wird Ihnen umgehend per E-Mail zugeschickt.

Unsere Datenschutzbestimmungen inklusive Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenbearbeitung oder Abmeldung von Newsletter finden Sie hier: Datenschutzbestimmungen(öffnet ein neues Fenster)