Viele Cloud-Nutzer glauben, dass sich der Provider um sämtliche Aspekte der Cybersicherheit in der Cloud kümmert – ein gefährlicher Irrtum, der schwerwiegende Folgen haben kann. Dieses Whitepaper zeigt Ihnen, welche Cloud-Security-Kompetenzen Sie selbst aufbauen müssen und wie Ihnen Cloud-Security-Tools helfen, Ihre Cloud-Ressourcen zu schützen.
Inhalt:
Nach Jahren der Zurückhaltung ist die Cloud auch in deutschen Unternehmen angekommen. Dem aktuellen Cloud Monitor von Bitkom Research und KPMG zufolge lehnen nur noch drei Prozent der deutschen Unternehmen das Bereitstellungsmodell Cloud ab. Fast 50 Prozent verfolgen eine Cloud-First- oder Cloud-Only-Strategie. Bei der Entscheidung für die Cloud stehen meist Kostenaspekte, Flexibilitätsgewinne und Innovationsvorteile im Vordergrund.
Viele Unternehmen konzentrieren sich in ihrer Migrationsstrategie allerdings zu sehr auf Prozess- und Kostenfragen, vernachlässigen aber Aspekte der Sicherheit. Sie gehen fälschlicherweise davon aus, dass sich der Provider um die Cloud-Security kümmern wird. Das ist ein gefährlicher Irrtum, denn die meisten Sicherheitsvorfälle in der Cloud werden durch Anwender- oder Konfigurationsfehler verursacht. Das Analystenhaus Gartner geht davon aus, dass bis 2025 99 Prozent aller Cloud-Security-Fehler auf das Konto der Kunden gehen.
In diesem Whitepaper zeigen Ihnen die Autoren, welche Cloud-Sicherheitskompetenzen Sie selbst aufbauen müssen und welche Sicherheitslösungen Ihnen helfen, Ihre Cloud-Ressourcen zu schützen.
Lesen Sie außerdem:
- Wie das Cloud-Sicherheitsmodell der geteilten Verantwortung aufgebaut ist.
- Welche Rollen und Zuständigkeiten beim Kunden liegen und wie diese vom jeweiligen Bereitstellungsmodell abhängen.
- Wie Sie die richtigen Cloud-Security-Tools für Ihren Anwendungsfall finden.
Originalauszug aus dem Dokument:
Laut jüngster Medienberichte erlitt z.B. die Cyber-Analytics-Firma Cognyte im Jahr 2021 einen Cloud- basierten Cybervorfall, von der mehr als 5 Mio. Kundenakten betroffen waren. Grund war eine ungesicherte Cloud-Datenbank ohne Authentifizierungsprotokolle. Ein weiteres Beispiel: Bei einer gemeldeten Cyberattacke auf die Choice Hotel Group wurde Zugang zu 700.000 Akten mit Reservierungsinformationen erlangt (unter anderem hochsensible personenbezogene Informationen sowie Kreditkarteninformationen). In diesem Fall war die Ursache eine mangelhafte Konfiguration, die den öffentlichen Zugang zur Cloud-Datenbank zuließ.
Es bedarf eines neuen Sicherheitsansatzes. Aber wie sollte dieser aussehen? Zunächst einmal sollte geklärt werden, bei wem welche Verantwortung liegt. Organisationen müssen ihre Zuständigkeiten für Sicherheit, ihre Rolle bei der Konfiguration und auch die Zuständigkeiten ihrer Cloud-Anbieter kennen. Wichtig dabei: Die Sicherheit lässt sich nicht vollständig an externe Anbieter outsourcen – ganz gleich, wie das Servicemodell aussieht.
Cloud-Anbieter entwerfen in der Regel ein Modell, bei dem die Zuständigkeiten gemeinsam beim Anbieter und bei der Organisation liegen. Die Steuerung der beim Anbieter gekauften Computing- Ressourcen ist alleiniger Zuständigkeitsbereich der beauftragenden Organisation. Führende Cloud- Anbieter wie AWS skizzieren die Zuständigkeitsprinzipien in Schichten und unterscheiden dabei zwischen der Sicherheit in der Cloud und der Sicherheit der Cloud: