Cloud Security ist eine zentrale Herausforderung für Organisationen weltweit. Dies ist längst keine rein technische Angelegenheit mehr, sondern ein Thema für die Führungsetage, das über Resilienz, Wachstum und die Zukunft einer Organisation entscheidet.
In diesem Beitrag teilen Patrick Schraut, Senior Vice President, Cybersecurity, und Renjith Philip, Global Cloud Security Lead, von NTT DATA ihre Erfahrungen aus erster Hand mit Kunden aus verschiedenen Branchen. Sie diskutieren, warum Fehlkonfigurationen und Sichtbarkeitslücken so gefährlich sind, was Zero Trust in hybriden Umgebungen wirklich bedeutet, wie man sich auf geopolitische Risiken vorbereitet und warum es bei Cloud-Sicherheit ebenso sehr um die Förderung von Innovation wie um den Schutz eines Unternehmens geht.
Was macht Cloud Security gerade jetzt zu einem so wichtigen Thema?
Fast jede Organisation nutzt mittlerweile in irgendeiner Form die Cloud, ob sie sich dessen bewusst ist oder nicht. Einige haben sich vollständig auf öffentliche Cloud-Plattformen umgestellt, während andere Cloud-Dienste indirekt über Anwendungen von Drittanbietern und Software-as-a-Service-Angebote nutzen. Diese Allgegenwärtigkeit macht die Cloud zu einem Hauptziel für Angreifer, die sie als ideale Quelle zum Sammeln von Daten und zugehörigen Diensten betrachten.
Die große Herausforderung besteht darin, dass sich die Angriffsmethoden weiterentwickelt haben, viele Unternehmen jedoch nach wie vor auf herkömmliche, lokale Sicherheitsprozesse und -technologien setzen. Dies führt zu einer Diskrepanz zwischen der Art und Weise, wie Dienste bereitgestellt werden, und der Art und Weise, wie sie geschützt werden. Das Ergebnis ist eine Umgebung, die sowohl geschäftskritisch als auch stark exponiert ist. Aus diesem Grund steht Cloud-Sicherheit ganz oben auf der Agenda jedes CISOs und wird dort auch in absehbarer Zukunft bleiben.
- LESEN SIE AUCH → Proaktive Maßnahmen, nachhaltige Sicherheit: So machen Sie Ihr Unternehmen cyberresilient
Wem obliegt letztendlich die Verantwortung für die Cloud-Sicherheit im Modell der geteilten Zuständigkeit?
Mitunter herrscht das Missverständnis, dass mit dem Umstieg auf die Cloud der Anbieter die gesamte Verantwortung für die Sicherheit übernimmt. Tatsächlich handelt es sich jedoch um ein geteiltes Modell. Cloud-Anbieter sichern die Infrastruktur – die Rechenzentren, die Hardware und die Basisplattform –, aber die Unternehmen bleiben dafür verantwortlich, wie sie die Dienste konfigurieren und nutzen.
Diese Verantwortung umfasst Anwendungen, Benutzeridentitäten, Zugriffsberechtigungen und vor allem Daten. Der Anbieter schützt die Infrastruktur, aber der Kunde schützt die Art und Weise, wie er darauf aufbaut. Es ist von grundlegender Bedeutung, diese Aufteilung der Verantwortung zu verstehen. Unternehmen, die ihre Seite dieses Modells vernachlässigen, riskieren, dass wichtige Workloads ungeschützt bleiben, oft ohne es zu merken, bis es zu spät ist.
Was sind die größten Herausforderungen für Unternehmen im Bereich Cloud-Sicherheit?
Die beiden Herausforderungen, die am häufigsten auftreten, sind Fehlkonfigurationen und Sichtbarkeitslücken.
Die Cloud macht es extrem einfach, neue Ressourcen bereitzustellen (manchmal innerhalb von Sekunden) und dabei die langsamen, strukturierten Prozesse zu umgehen, die in der traditionellen IT üblich waren. Diese Geschwindigkeit ermöglicht Innovationen, schafft aber auch so genannte „Blind Spots“ für Sicherheitsteams. Wenn ein Dienst ohne Wissen des Sicherheitsteams erstellt wird, kann er nicht überwacht, gehärtet oder gepatcht werden. Angreifer nutzen diese versteckten Dienste aggressiv aus.
Gleichzeitig sind Fehlkonfigurationen die häufigste Ursache für Sicherheitsverletzungen in der Cloud. Etwas so Einfaches wie das öffentliche Belassen eines Speicher-Buckets oder die Fehlkonfiguration einer Zugriffskontrollliste kann zu einer massiven Schädigung der Datensicherheit führen.
Welche Ursachen haben Fehlkonfigurationen der Cloud in der Praxis?
Die Benutzerfreundlichkeit ist sowohl der größte Vorteil als auch die größte Schwäche der Cloud. Ein Entwickler oder Ingenieur kann mit nur wenigen Klicks einen neuen Server oder eine neue Datenbank bereitstellen. Wenn diese Personen jedoch nicht in Sicherheitsfragen geschult sind, können sie versehentlich riskante Konfigurationen erstellen. Beispielsweise könnten sie interne und externe Schnittstellen auf einem Server verbinden und so unbeabsichtigt eine Brücke zu sensiblen Systemen schaffen.
Früher mussten bei der Bereitstellung eines Dienstes mehrere Teams – Beschaffung, Systemadministratoren und Sicherheit – jede Phase absegnen. Das bot natürliche Sicherheitsvorkehrungen. Heute können diese Schritte vollständig umgangen werden, weshalb es in Unternehmen so häufig zu Fehlkonfigurationen kommt. Die Lösung liegt in einer Kombination aus Schulungen, klaren Richtlinien und vor allem automatisierten Prüfungen, die Fehler erkennen, bevor sie live gehen.
Wie können sich Teams schnell wieder einen Überblick über alle Accounts und Dienste verschaffen?
Hier sind Tools für das Cloud Security Posture Management (CSPM) von unschätzbarem Wert. Anstatt sich auf manuelle Bestandsaufnahmen zu verlassen, verbindet sich CSPM direkt mit Ihren Cloud-Konten bei Anbietern wie Amazon Web Services, Microsoft Azure und Google Cloud. Innerhalb weniger Stunden erhalten Sie einen vollständigen, agentenlosen Überblick über Ihre Ressourcen.
Dieser Überblick umfasst die Arten der ausgeführten Dienste, wie sie kommunizieren, welche Ports offen sind und wo bekannte Schwachstellen bestehen. Einige CSPM-Plattformen integrieren auch Anleitungen zur Behebung oder Automatisierung, damit Sie Lücken schneller schließen können. Für jedes Sicherheitsteam, das mit „Schatten-IT“ in der Cloud zu kämpfen hat, bietet CSPM die Grundlage für die erforderliche Transparenz.
Wie sieht Zero-Trust-Sicherheit in einem Hybrid-Cloud-Modell aus?
Zero Trust Security ist zu einem der meistgenannten Sicherheitskonzepte geworden, wird jedoch oft missverstanden. Wichtig ist, dass es sich dabei nicht um ein Produkt handelt, das man kaufen kann. Es ist vielmehr ein Rahmenkonzept und eine Philosophie.
Die traditionelle Perimetersicherheit war wie ein Banktresor: Sobald man einmal drinnen war, hatte man oft freien Zugang zu allem. Zero Trust kehrt diese Annahme um. Anstatt jedem innerhalb des Perimeters zu vertrauen, verlangt es eine kontinuierliche Validierung in jeder Phase – unabhängig davon, ob die Anfrage von einem Benutzer, einem Gerät, einer Workload oder einer Anwendung stammt. In hybriden Umgebungen, die sich über lokale Rechenzentren und mehrere öffentliche Clouds erstrecken, bietet Zero Trust den konsistenten, prinzipienorientierten Ansatz, den Unternehmen benötigen.
Zero Trust – kurz erklärt?
Im Kern lässt sich Zero Trust in einem Satz zusammenfassen: Vertraue nichts und niemandem und überprüfe alles. Jeder Benutzer muss sich authentifizieren, jedes Gerät muss überprüft, jede Verbindung kontrolliert und jede Zugriffsanfrage nach dem Prinzip der geringsten Privilegien validiert werden.
Bei diesem Modell wird davon ausgegangen, dass Sicherheitsverletzungen nicht ausgeschlossen werden können. Wichtig ist jedoch, dass sich Angreifer, sobald sie sich Zugang verschafft haben, nicht frei bewegen oder ihren Zugriff erweitern können. Zero Trust erschwert laterale Bewegungen erheblich, begrenzt Bedrohungen und schützt sensible Daten, selbst wenn eine Ebene kompromittiert wurde.
Wo sollten Unternehmen ansetzen, um Cloud-Risiken schnell zu minimieren?
Der erste Schritt ist die Visibilität. Was Sie nicht sehen können, können Sie auch nicht schützen. Ein Mapping aller Assets und Services in Ihren Umgebungen ist daher der erste Ansatzpunkt. Sobald Sie dies erreicht haben, ist die Automatisierung die nächste Priorität. Manuelle Überprüfungen und Reaktionen sind für die Geschwindigkeit der Cloud zu langsam.
Die automatisierte Durchsetzung von Richtlinien und die automatisierte Behebung von Problemen verkürzen die Zeit zwischen der Entdeckung eines Problems und seiner Behebung. Eine automatisierte Regel könnte beispielsweise einen öffentlichen Port schließen oder eine falsch konfigurierte Ressource unter Quarantäne stellen, ohne dass ein menschliches Eingreifen erforderlich ist. Diese Kombination – Sichtbarkeit plus Automatisierung – sorgt für eine sofortige Risikominderung und größere Ausfallsicherheit.
Wie lässt sich Automatisierung und eine sichere Cloud-Strategie am besten angehen?
Unternehmen migrieren oft nur einmal in die Cloud und leben dann jahrelang mit diesem Design. Ihre anfänglichen Entscheidungen geben den Ton für die langfristige Sicherheit an. Der Versuch, alles intern aufzubauen, kann riskant sein, wenn dem Team die Erfahrung fehlt.
Der bessere Ansatz besteht darin, internes Fachwissen mit externen Spezialisten zu kombinieren, die dies bereits mehrfach durchgeführt haben. Managed Security Service Provider können beispielsweise dabei helfen, Schutzmaßnahmen einzurichten, Best Practices durchzusetzen und kontinuierlich zu überwachen. Das Ziel sollte darin bestehen, die durchschnittliche Zeit bis zur Erkennung von Bedrohungen und die durchschnittliche Zeit bis zur Wiederherstellung der Dienste nach einem Vorfall zu reduzieren. Automatisierung beschleunigt beides, sodass die Sicherheit mit Ihrem Unternehmen Schritt halten kann.
Wie können sich Unternehmen auf Cloud-Ausfälle aufgrund geopolitischer Ereignisse vorbereiten?
Dies ist eine der schwierigsten Fragestellungen, mit denen unsere Kunden derzeit konfrontiert sind. Wenn es sich um Hardware- oder Softwareausfälle handeln würde, wäre die Antwort einfach: Nutzen Sie mehrere Cloud-Anbieter. Geopolitische Risiken betreffen jedoch oft alle großen Hyperscaler in einer Region, wodurch ein Anbieterwechsel weniger effektiv ist.
Die pragmatische Antwort besteht darin, Geopolitik als ein zu kontrollierendes Wagnis zu betrachten. Das bedeutet, Notfallpläne bereitzuhalten, geopolitische Entwicklungen genau zu beobachten und zu überlegen, ob kritische Workloads vor Ort bleiben oder auf kleinere lokale Anbieter gespiegelt werden sollten – auch wenn diese Anbieter nicht die Funktionalität der Hyperscaler bieten können. Es geht eher um Resilienz und Risikotoleranz als um perfekte Lösungen.
Was bedeutet digitale Souveränität in der Praxis?
Viele Unternehmen gehen davon aus, dass Daten, sobald sie in der Cloud gespeichert sind, automatisch sicher sind und Backups erstellt werden. Die meisten Dienste bieten jedoch standardmäßig keine Backups an. Die Gewährleistung der Datenverfügbarkeit bleibt weiterhin in der Verantwortung des Kunden.
Digitale Souveränität umfasst auch rechtliche und regulatorische Aspekte. Daten können außerhalb Ihrer Gerichtsbarkeit gespeichert werden, was Compliance-Verpflichtungen nach sich zieht. Um dem zu begegnen, sollten Unternehmen sensible Daten verschlüsseln und Bring-Your-Own-Key-Modelle (BYOK) verwenden, damit sie – und nicht der Cloud-Anbieter – die Kontrolle über den Zugriff behalten. Zusammen sorgen Backups und BYOK-Verschlüsselung dafür, dass Sie der eigentliche Eigentümer Ihrer Daten bleiben.
- LESEN SIE AUCH → Zukunftsorientierte Planung: Warum Private und Sovereign Cloud im Zeitalter der KI den Ton angeben
Wie können Teams auf Portabilität und Flexibilität hinarbeiten?
Einer der größten Vorteile der Cloud ist deren Flexibilität, allerdings nur, wenn Sie auf Portabilität achten. Wenn Workloads so konzipiert sind, dass sie nur auf den Diensten eines einzigen Anbieters laufen, verlieren Sie die Möglichkeit zur Veränderung.
Entwickeln Sie Anwendungen so, dass sie ohne umfassende Neugestaltung an anderer Stelle wieder eingesetzt werden können – sei es bei einem anderen Cloud-Anbieter oder wieder vor Ort. Offene Standards, Containerisierung und modulare Architekturen unterstützen dieses Ziel. Portabilität hält Ihnen angesichts sich ändernder Kosten, Risiken oder Compliance-Anforderungen alle Optionen offen.
Wie können wir die Cloud-Sicherheitsarchitektur optimieren und vereinfachen?
Cloud-Sicherheitstools haben sich stark verbreitet. Viele Unternehmen betreiben mittlerweile mehrere sich überschneidende Plattformen: CSPM für Transparenz, Cloud-native Anwendungsschutzplattformen (CNAPP) für integrierte Abwehrmaßnahmen und Cloud Infrastructure Entitlement Management (CIEM) für die Durchsetzung von Identitäten und geringsten Privilegien. Die Vielzahl an Tools führt zu Komplexität und Lücken.
Einige Anbieter bieten integrierte Suiten an, während andere in einem Bereich die besten ihrer Art sind. Die beste Strategie besteht darin, wo immer möglich zu konsolidieren, Tools an den tatsächlichen Risiken auszurichten und Managed Partner einzusetzen, um Lücken zu schließen. Die Vereinfachung reduziert sowohl Kosten als auch operative Reibungsverluste und erleichtert es den Sicherheitsteams, entschlossen zu handeln.
Was sind die größten Mythen oder Fehler, die man im Bereich Cloud-Sicherheit beobachtet?
Zwei Mythen tauchen immer wieder auf: Erstens, dass die Cloud standardmäßig sicher ist, und zweitens, dass lokale Umgebungen von Natur aus sicherer sind. Beide sind irreführend. Sicherheit ist keine Eigenschaft des Standorts – sie hängt davon ab, wie Systeme konfiguriert und betrieben werden.
Fehlkonfigurationen sind nach wie vor der häufigste Fehler. Sie sind auch am leichtesten zu übersehen, gerade weil es sich um einfache menschliche Fehler handelt. Ihre Auswirkungen können jedoch katastrophal sein, da sie sensible Daten offenlegen oder Angreifern Tür und Tor öffnen. Die Korrektur dieses Mythos ist eine der wichtigsten Aufgaben für Sicherheitsverantwortliche, um das Bewusstsein für dieses Thema zu schärfen.
Warum ist Cloud-Sicherheit für Unternehmen – und für Innovationen – so wichtig?
Bei der Cloud-Sicherheit geht es nicht mehr nur darum, Compliance-Anforderungen zu erfüllen. Heute läuft alles in der Cloud: Systeme, Daten, sogar KI-Workloads. Eine schwerwiegende Sicherheitsverletzung kann ein Unternehmen offline nehmen oder das Vertrauen der Kunden irreparabel beschädigen. In diesem Sinne ist Sicherheit gleichbedeutend mit Überleben.
Sicherheit ist aber auch ein Wegbereiter. Dank strenger Kontrollen können Unternehmen neue Anwendungen schneller auf den Markt bringen, neue Technologien ohne Bedenken einführen und Märkte sicher erschließen. Sicherheit schützt den Umsatz und den Ruf und ermöglicht gleichzeitig die Flexibilität, die die Cloud bieten soll. Sie ist kein Hemmnis für den Fortschritt, sondern vielmehr der Sicherheitsgurt, der den Fortschritt sicher macht.
Schaffen Sie eine sichere Grundlage für Ihre Organisation
Cloud-Sicherheit ist keine Option – sie bildet die Grundlage für Resilienz und Wachstum. Sie benötigen Transparenz, Automatisierung und eine Zero-Trust-Mentalität, um Angreifern einen Schritt voraus zu sein und sich gleichzeitig auf Risiken vorzubereiten, die von Fehlkonfigurationen bis hin zu geopolitischen Entwicklungen reichen, und um digitale Souveränität zu nutzen, um die Kontrolle über Ihre Daten zu behalten.
Vor allem müssen Sie Sicherheit sowohl als Überlebensnotwendigkeit als auch als Geschäftsfaktor erkennen. Das bedeutet sichere Geschäftsabläufe in der Praxis: Ihr Unternehmen schützen und gleichzeitig seine Innovationskraft stärken