Die Cloud verändert die IT-Strategie in den meisten Unternehmen grundlegend. Jetzt muss auch die Security folgen. Doch die Anforderungen sind hoch: Zunehmend komplexe Infrastrukturen und die starke Dynamik von Cloud-Umgebungen erfordern einen neuen Ansatz.
95 Prozent der deutschen Unternehmen setzen bereits eine Cloud-Strategie um, so eine aktuelle IDC-Studie. 80 Prozent der Befragten nutzen verschiedene Cloud-Modelle. Der Trend geht dabei klar zur Hybrid Cloud mit einer Mischung aus On-Premises-Systemen und den Services eines ausgewählten Hyperscalers. Nur wenige große Unternehmen setzen bisher auf eine Multi-Cloud-Strategie. Während Cloud Computing sich immer mehr zum zentralen Gestaltungsmodell der IT-Landschaft entwickelt, verlagern sich auch Risiken dorthin. So zählen zum Beispiel Cloud-Speicher mittlerweile zu den beliebtesten Angriffszielen von Cyberkriminellen. Umso wichtiger wird es, auch die Security-Strategie an die veränderte IT-Umgebung anzupassen. Bisher gelingt dies jedoch erst mit mäßigem Erfolg. Eine Studie des Sicherheitsanbieters Trend Micro zeigt, dass viele Unternehmen noch unzufrieden mit ihren Cloud Security-Lösungen sind. Wo liegen aktuell die größten Herausforderungen?
Zu hohe Komplexität – zu viel Aufwand
Durch die hybriden Infrastrukturen wächst die Komplexität im IT- und IT-Security-Management. Das führt zu mangelnder Transparenz. Mehr als 80 Prozent der IT-Führungskräfte in Deutschland sehen ihre Betriebe daher nicht optimal gegen Cyberangriffe geschützt, so eine Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Viele Unternehmen setzen On-Premises und in der Cloud noch separate Security-Lösungen ein. Dadurch entstehen Silos, die einen zentralen Blick auf sicherheitsrelevante Ereignisse behindern und die Administration erschweren. Vor allem an den Schnittstellen zwischen lokalen Systemen und Cloud Services kommt es häufig zu Sicherheitslücken, so die Studie von Trend Micro. Eine weitere Herausforderung liegt in der Vielzahl der isolierten Einzellösungen, die für verschiedene Anwendungsgebiete zum Einsatz kommen. Sie bergen Gefahren für Fehlkonfigurationen und bremsen die Anpassungsgeschwindigkeit aus. 37 Prozent der Befragten klagen über zu hohen Aufwand für die Security-Abteilung, und mehr als ein Drittel der Befragten sagen, dass sie zu lange brauchen, um neue Dienste und Applikationen in die bestehende Cloud-Sicherheitsumgebung einzubinden. Das ist umso gefährlicher, als sich die Cloud-Umgebung hochdynamisch verändert.
DevOps und Individualanwendungen besser schützen
Mangelnde Geschwindigkeit spielt auch bei der Absicherung von Entwicklungsumgebungen in der Cloud eine große Rolle. Denn DevOps-Projekte setzen auf Automatisierung und eine hohe Agilität. Die Security darf die gewonnene Geschwindigkeit weder ausbremsen noch hinterherhinken, sonst kommt es zu Schwachstellen. Gerade bei DevOps-Projekten und überall dort, wo es schnell gehen muss, ist das Risiko für Fehlkonfigurationen besonders hoch. Sichere Cloud-Entwicklungsumgebungen für DevOps-Teams zu gewährleisten, zählt daher für 46 Prozent der Unternehmen zu den Top-drei-Anforderungen an eine Cloud-Security-Lösung.
Fehlkonfigurationen und Compliance-Risiken
Fehlkonfigurationen sind die Hauptursache für Sicherheitsvorfälle in der Cloud. Mangelnde Zugriffsbeschränkungen, fehlende Passwörter oder falsch gesetzte Freigaben können dazu führen, dass sensible Daten exponiert sind. 39 Prozent der Unternehmen sind unzufrieden mit ihrer Security-Lösung, weil sie Fehlkonfigurationen nicht gut genug erkennt und vermeidet. Ganz ähnlich verhält es sich mit dem Thema Cloud-Compliance. Jeder Dritte verzeichnet in diesem Bereich nach eigenen Angaben zu viele Verstöße. Unternehmen müssen dafür sorgen, dass ihre Cloud-Umgebungen mit Regularien wie der DSGVO, ISO-Normen und ihren Security-Policies konform sind. 49 Prozent sind sich jedoch unsicher, inwiefern die Cloud-Security-Lösung ihre Compliance-Anforderungen abdeckt und zur Einhaltung beiträgt.
Cloud Security erfordert einen ganzheitlichen Ansatz
Um die genannten Herausforderungen zu lösen, dürfen Unternehmen Cloud Security nicht länger als Randerscheinung betrachten, sondern müssen sie als essenziellen Bestandteil in einen ganzheitlichen Ansatz integrieren. Am besten gelingt dies mit einer Plattform-Lösung, die die wichtigen Security-Funktionen sowohl On-Premises als auch in der Cloud bereitstellt und sich zentral managen lässt. Dazu zählen Network und Endpoint Security ebenso wie Storage, Application, Workload und Container Security. Eine wichtige Rolle spielt zudem ein Cloud Security Posture Management, das die gesamte Cloud-Umgebung automatisiert auf Fehlkonfigurationen und Compliance-Verstöße scannt und mit Schritt-für-Schritt-Anleitungen hilft, sie zu beheben. Cloud Security erfordert Automatisierung. Nur dann gelingt es, Sicherheitsrichtlinien auch in einem hochdynamischen Umfeld umzusetzen und mit DevOps-Anforderungen Schritt zu halten. So, wie die Cloud die gesamte IT-Strategie verändert, bietet auch Cloud Security die große Chance, die Sicherheitsaufstellung neu zu überdenken und zu modernisieren.
Besuchen Sie das Webinar „Ausblick auf die Cloud Security 2022“ vom Anbieter Trend Micro, um mehr über die Trends und Entwicklungen in der Cloud Security zu erfahren. Zur Anmeldung geht es hier.
Quelle Titelbild: Adobe Stock / estherpoon