Sicherheit in der Cloud: Herausforderungen und «Dos & Dont’s»

Video zum Security X-Force Threat Intelligence Index 2023, der alljährlichen Bedrohungsanalyse von IBM.


Von Christian Keller

Meldungen über Hackerangriffe und Cyberkriminalität gehören zur Tagesordnung. Mit der fortschreitenden Digitalisierung und der damit ebenfalls stark zunehmenden Nutzung von Clouddienstleistungen gehört Sicherheit zuoberst auf die Prioritätenliste von Geschäftsleitungen. Dabei spielt die Grösse oder Branche der Organisation keine Rolle. Heute ist praktisch niemand vor Cyberangriffen gefeit. Die Frage ist, wie professionell und proaktiv Verantwortliche damit umgehen.

Die jährliche Bedrohungsanalyse der IBM Security X-Force wartete kürzlich mit einer mehr oder weniger erfreulichen, aber auch mit einer positiv stimmenden Nachricht auf. Mehr oder weniger erfreulich ist: Gegenüber dem Vorjahr nahmen die Ransomware-Vorfälle 2022 ab – allerdings nur geringfügig (4 Prozentpunkte). Positiv stimmt dagegen, dass Organisationen im Vergleich zu früher erfolgreicher bei der Erkennung und Verhinderung von digitalen Erpressungsversuchen sind. Wobei dieser «Erfolg» ein relativer ist. Damit man einen Angriff erkennen bzw. vereiteln kann, ist der Angreifer ja bereits durch die Hintertür ins IT-System eingedrungen. Das heisst: Vom «Backdoor-Problem» bis zur «Ransomware-Krise» ist es nur ein kleiner Sprung.

Angreifer immer voraus – Fertigungsbranche am häufigsten attackiert

Angreifer sind den Verteidigern dabei immer ein paar Schritte voraus.  Zudem lernen Angreifer sehr schnell, sich der Erkennung zu entziehen. Darum reicht gute Verteidigung heute allein nicht mehr aus. Um dem endlosen Wettlauf mit Angreifern zu entkommen, brauchen Unternehmen eine proaktive Sicherheitsstrategie. Kaum eine Organisation kann oder will es sich leisten, auf die mit Cloud-Technologien verbundenen Vorteile zu verzichten. Daher lautet das Gebot der Stunde, die Sicherheit in der Cloud sicherzustellen. Unter besonderem Druck stehen dabei Betriebe der Fertigungsindustrie – auch was Ransomware-Angriffe angeht. Entsprechend war das verarbeitende Gewerbe 2022 wie bereits im Vorjahr die am häufigsten angegriffene Branche.

Aus einem einfachen Grund: Die Fertigungsindustrie hat gegenüber Ausfallzeiten eine sehr geringe Toleranz. Das macht sie aus Angreifersicht zu einem lukrativen Ziel. Die Methoden, um Opfer zu erpressen, werden dabei immer vielfältiger. Eine der neusten und beliebtesten Taktiken besteht darin, gestohlene Daten für nachgelagerte Organisationen einer Prozesskette zugänglich zu machen. Indem die Angreifer zunehmend auch Kunden und Geschäftspartner in eine Erpressung einbeziehen, treiben sie den Preis in die Höhe. Gleichzeitig erhöht sich der psychologische Druck, um das Opfer gefügig zu machen. Besonders häufig ereignen sich Erpressungsfälle in unseren Breiten. Europa war letztes Jahr mit 44 Prozent der Fälle die Region der Welt, in der die von der IBM X-Force registrierten Erpressungen am häufigsten vorkam – eine Folge auch der geostrategischen Grosswetterlage.

Die «Zehn Gebote» für eine solide Cloud-Zertifizierung

Will sich eine Organisation optimal schützen, ohne auf hochmoderne Services zu verzichten und ohne rigide Regulierungen zu erlassen, welche die kontinuierliche Innovation und die Verbesserung der Cloud-Technologie behindern, empfiehlt IBM im Interesse einer soliden Zertifizierungspolitik für Cloud-Sicherheit folgende 10 Regeln:

  1. Risikobasierter Ansatz: Fokus auf bewährte Praktiken und Forschungsergebnisse der Branche.
  2. Flexibilität bei der Übernahme neu entwickelter Verfahren: Wichtig ist, dass Sicherheit sich schnell und auf Basis anerkannter Grundsätze und Normen (z.B. NIST) weiterentwickeln kann.
  3. Minimale Abweichungen unter Zertifizierungssystemen, d.h. Anwendung anerkannter Normen und global anerkannter Verfahren, wie z.B. ISO 27001 oder ISO 27017.
  4. Gemeinsame Verantwortung: Cloud-Sicherheit basiert auf der gemeinsamen Verantwortung von Anbietern, Kunden und Dritten mit klar definierten Rollen und Zuständigkeiten.
  5. Datenkotrolle durch die Kunden: Die Daten gehören den Kunden, also haben diese auf Basis von Risikoüberlegungen über deren Verwendung, Speicherung und Übertragung zu entscheiden. Bei Entscheidungen über die Lokalisierung von Daten sollten die Kunden neben Risikoüberlegungen aber auch die Verschiedenheit der Datentypen und die Geschäftsanforderungen berücksichtigen. Sicherheitszertifizierungen sollten nicht auf der Grundlage vorgegebener Standards erfolgen.
  6. Vertrauen durch Technik: «Zero Trust Architektur» statt politische oder andere uneinheitliche Anforderungen, die keinen Einfluss auf die Cloud-Sicherheit haben.
  7. Effiziente Rechenschaftspflicht: Gepoolte Audits und Selbstbescheinigungen anstelle von teuren, langsamen und statischen Audit-Prozessen
  8. Einheitliche Sicherheitsanforderungen über die ganze Lieferkette: Alle Parteien, die in der Cloud arbeiten oder Unterstützungsdienste erbringen, arbeiten nach denselben Mindeststandards und bescheinigen dies untereinander.
  9. Starke Verschlüsselung: Risikobasierter und quantenresistenter Datenschutz, d.h. entlang den NIST-Algorithmen und hardwarebasierten Standards für Confidential Computing («Zero Trust»).
  10. Automatisierte Zertifizierungsprozesse: So schnell und effizient wie möglich bzw. machbar.

Fazit: Man kann es drehen oder wenden, wie man will. Die digitale Transformation von Wirtschaft und Gesellschaft ist unumkehrbar. Darum ist es unumgänglich, die damit verbundenen Herausforderungen anzunehmen und der Sicherheit in der Cloud die nötige Aufmerksamkeit zu schenken, bevor es zu einem Ereignis kommt. Man verhindert damit nicht unbedingt, zum Opfer zu werden. Aber man erspart sich eine Menge Ärger und unnötiges Kopfzerbrechen.

 

Christian Keller

Christian Keller ist Vorsitzender der Geschäftsleitung von IBM Schweiz.