Trotz aller Vorteile, Cloud-Services kann neue Sicherheitsprobleme aufwerfen. Obwohl Sie nicht mehr dazu verpflichtet sind, Server-Racks zu sichern, entbindet Sie die direkte Verarbeitung von Daten über die Cloud nicht von dieser Verantwortung. In diesem Beitrag werden einige entscheidende Hinweise untersucht, um die Cloud-Sicherheit von Unternehmen aufrechtzuerhalten.
Richten Sie eine Richtlinie für sichere wörter ein
Das Wachstum von Cloud-Diensten hat die Bedeutung von wörtern nur noch erhöht. Selbst wenn Sie Ihre Daten in der Cloud speichern, könnte ein Angreifer mit gestohlenen Anmeldeinformationen immer noch auf vertrauliche Informationen und Assets zugreifen. Eine starke wortrichtlinie verlangt mehr, als nur komplizierte wörter von Mitarbeitern zu verlangen. Beispielsweise reicht bei aktivierter Multi-Faktor-Authentifizierung ein gestohlenes wort nicht mehr aus, damit ein Angreifer Zugriff erhält. Single-Sign-On (SSO)-Authentifizierung wird auch für die Verwendung durch Organisationen empfohlen, gemäß Cindi Keller, Kommunikationskoordinatorin bei DIE STRAFVERTEIDIGUNG:
„Die Zuweisung einer Single Sign-On (SSO)-Authentifizierung wäre eine hervorragende Technik, um menschliche Fehler zu verringern. Wir sollten nicht das Risiko eingehen, dass Einzelpersonen ihre wörter häufig aktualisieren müssen. Wir haben fragwürdige Cybersicherheitspraktiken, und ich bin auch nicht immun.“
Beschränken Sie den Zugriff auf sensible Informationen
Sobald ein Benutzer authentifiziert wurde, endet die Cloud-Sicherheit nicht. Die Nutzung von Ressourcen auf einem System sollte daher durch zuverlässige Zugriffskontrollen eingeschränkt werden, wobei besonderes Augenmerk auf die Begrenzung des Zugriffs auf sensible Daten und Assets gelegt werden sollte. Entsprechend Tiffany Hafler, Produktmanager/in: at Fortis Medizinische Abrechnung:
„Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um sensible Unternehmensdaten zu schützen. Die gesamte Belegschaft soll keinen Zugriff auf bestimmte Dateien und Programme haben. Zugriffskontrollen sind erforderlich, um vor Diebstahl und Manipulation wichtiger Unternehmensdaten zu schützen. In Ermangelung klar definierter Zugriffsebenen hat ein Hacker, der erfolgreich Phishing-Angriffe auf untergeordnete Mitarbeiter durchführt, effektiv unbegrenzten Zugriff auf das gesamte Netzwerk.“
Viele Unternehmen entscheiden sich als einen Schritt weiter für eine Zero-Trust-Sicherheitsstrategie. Entsprechend Timothy Allen, Sr. Unternehmensermittler, at Oberheiden PC:
„Zero-Trust bezieht sich darauf, niemandem innerhalb und außerhalb des Unternehmens zu vertrauen, selbst dem Anbieter Ihrer virtuellen Desktops. Der bedingte Zugriff, eine Reihe von Einschränkungen, bei denen ein Benutzer seine Identität authentifizieren muss, bevor er Zugriff auf Unternehmensdaten gewährt, ist eine entscheidende Komponente. Welche Rolle spielt der Nutzer? Was müssen sie leisten? An welchem Ort sind sie? Was für Gadgets haben sie? Welches Netz nutzen sie? Nach Erhalt dieses Kontexts kann die IT Vorschriften für die Aktionen festlegen und durchsetzen, die der Benutzer ausführen darf. Sollen sie beispielsweise drucken oder Screenshots machen dürfen? Sollten sie überhaupt Zugriff haben? Das Risiko einer Verletzung der Insider-Sicherheit, ob absichtlich oder unbeabsichtigt, wird durch diese Leitplanken für bedingten Zugriff verringert.“
Bringen Sie Ihren Mitarbeitern bei, Phishing-Bemühungen und andere Angriffe zu erkennen
Bei vielen der am weitesten verbreiteten Angriffe wie Phishing wird Social Engineering eingesetzt, um menschliches Versagen auszunutzen. Die Implementierung laufender Phishing-Sensibilisierungsschulungen ist eines der besten Dinge, die ein Unternehmen tun kann, um Cyberangriffe in dieser Hinsicht zu verhindern. Entsprechend Inga Broermann, Vizepräsident bei BluLogix:
„Das größte indirekte Risiko für die Sicherheit Ihres Cloud-Speichers kann von Ihren Mitarbeitern ausgehen. Regelmäßige und gründliche Schulungen befähigen Ihr Team jedoch, Phishing-Versuche zu erkennen und ihnen aus dem Weg zu gehen. Es wird empfohlen, das Anti-Phishing-Training fortzusetzen, um die beste Wirksamkeit zu erzielen. Erfolgreiches Training erfordert regelmäßige, beständige Anstrengungen über einen längeren Zeitraum und keine einmalige Anstrengung.“
Sorgen Sie für einen straffen Offboarding-Prozess
Eines der letzten Dinge, die ein Unternehmen braucht, ist ein unzufriedener Ex-Mitarbeiter, der Chaos anrichtet und dennoch volle Zugriffsrechte hat. Aus diesem Grund müssen Sie eine klare Offboarding-Policy aufstellen und diese im Falle einer Kündigung strikt einhalten. Entsprechend Jake Smith, Geschäftsführer bei Absolute Reg.-Nr:
„Es ist notwendig, alle Berechtigungen zur Nutzung von Datensystemen, einschließlich Cloud-Diensten, zu kündigen. Wenn ehemalige Mitarbeiter Ihre privaten Daten an die falschen Parteien verkaufen, nachdem sie Ihr Unternehmen verlassen haben, werden sie nicht zur Rechenschaft gezogen. Sie müssen daher einen robusten Offboarding-Prozess implementieren, der die Nutzung der Cloud durch ehemalige Mitarbeiter einschränkt.“
Achten Sie auf Ihr Netzwerk
Es ist unmöglich, von einem IT-Team zu erwarten, dass es sein Netzwerk angemessen überwacht oder es vor Bedrohungen schützt, wenn dies nicht möglich ist. SIEM-Systeme (Security Information and Event Management) werden in Unternehmen häufig zur Erkennung von Angriffen eingesetzt. Um Cloud-Dienste in diese aktuellen Systeme zu integrieren, Adam Garcia, Eigentümer von Der Stockdork, liefert das folgende Beispiel:
„Wenn ein Unternehmen die Cloud in Betracht zieht, ist es wichtig, die Fähigkeiten zu verstehen, die jeder Anbieter in Bezug auf Desktop-Leistung und -Verfügbarkeit anbieten kann, sowie zusätzliche Daten, die mit SIEM-Systemen synchronisiert werden können, wie z. B. Anmeldeversuche, Benutzerstandorte und andere Sicherheitsereignisse -native SaaS-Anwendungen wie Cloud-Desktops. Stellen Sie sicher, dass Ihr IT-Team in Echtzeit einen vollständigen Einblick in Ihre IT-Landschaft hat.“