it&t business - Public-Cloud-Security heißt geteilte Verantwortung

Thomas Kicker kehrt als CEO zu Magenta Telekom zurück 15. 05. 2025

Thomas Kicker übernimmt ab August die Geschäftsführung von Magenta Telekom. Der erfahrene Telekom-Manager kehrt damit nach rund zehn Jahren in neuer Rolle zu seinem früheren Arbeitgeber zurück.

Western Digital bringt 26-TB-Speicherlösungen für professionelle Workflows 15. 05. 2025

Western Digital erweitert seine Professional-Produktserien um neue Speicherlösungen mit bis zu 26 TB Kapazität. Content Creator und Unternehmen im Medien- und Entertainmentbereich profitieren von höherer Leistung, Flexibilität und effizientem Datenmanagement.

Jiří Dvorjančanský wird neuer CEO von A1 Österreich 14. 05. 2025

Mit 1. September 2025 übernimmt Jiří Dvorjančanský die Funktion des CEO und Vorstandsvorsitzenden von A1 Österreich. Gleichzeitig wird das Vorstandsteam neu aufgestellt: Martin Resel wird Deputy CEO, Natascha Kantauer-Gansch steigt als CCO Consumer in den Vorstand auf und Sonja Wallner bleibt CFO.

Snowflake startet spezialisierte AI Data Cloud für Automotive 14. 05. 2025

Mit der neuen AI Data Cloud for Automotive adressiert Snowflake gezielt die Anforderungen von Fahrzeugherstellern, Zulieferern und Mobilitätsanbietern. Die Plattform soll datenbasierte Innovationen entlang der gesamten automobilen Wertschöpfungskette unterstützen und fördert die Nutzung von KI- und Data-Science-Anwendungen unter höchsten Datenschutz- und Compliance-Standards.

Veeam und CrowdStrike integrieren Datensicherung und Bedrohungserkennung 13. 05. 2025

Veeam und CrowdStrike haben eine strategische Partnerschaft angekündigt. Die Integration ihrer Technologien soll eine zentrale Übersicht über kritische Daten schaffen, Bedrohungserkennung verbessern und die Cyberresilienz von Unternehmen nachhaltig stärken.

Österreich im Fadenkreuz geopolitischer Angriffe 13. 05. 2025

Cyberattacken in Österreich nehmen dramatisch zu. Staatlich unterstützte Angriffe haben sich verdoppelt, Lieferketten sind ein beliebtes Angriffsziel und KI-Technologien bringen noch nicht die erhoffte Entlastung. Die Jubiläumsausgabe der KPMG-Studie „Cybersecurity in Österreich“ beleuchtet Entwicklungen und formuliert dringende Handlungsaufrufe.

First-Party-Fraud dominiert erstmals das globale Betrugsgeschehen 13. 05. 2025

Laut dem aktuellen Cybercrime Report von LexisNexis Risk Solutions ist First-Party-Fraud im Jahr 2024 zur weltweit häufigsten Betrugsform geworden. Inflation, steigende Lebenshaltungskosten und neue Bedrohungen durch KI-gestützte Angriffe stellen Unternehmen in den kommenden Monaten vor wachsende Herausforderungen.

Warum die Cloud für den Erfolg von generativer KI unverzichtbar ist 12. 05. 2025

Generative Künstliche Intelligenz (GenAI) verändert zahlreiche Branchen – doch ohne Cloud-Services stoßen Unternehmen schnell an ihre Grenzen. NTT DATA erklärt, welche fünf Gründe für den Einsatz der Cloud sprechen und welche Herausforderungen es dabei zu beachten gilt.

Unternehmen sehen Vorteile bei e-Invoicing trotz Integrationshürden 12. 05. 2025

Laut einer internationalen Befragung durch Vertex überwiegen für Unternehmen die positiven Effekte von e-Invoicing. Besonders bei der Integration bestehender Systeme und beim Einsatz neuer Technologien wie KI zeigen sich regionale Unterschiede.

Varonis und Pure Storage kooperieren für mehr Datensicherheit und Resilienz 12. 05. 2025

Varonis Systems und Pure Storage haben eine Partnerschaft geschlossen, um den Schutz sensibler Daten und die Cyber-Resilienz von Unternehmen zu verbessern. Erstmals wird Varonis nativ in die Speicherplattformen von Pure Storage integriert.

EPS errichtet hochmodernes Rechenzentrum für voestalpine Tubulars 11. 05. 2025

Die voestalpine Tubulars setzt mit einem neuen Rechenzentrum in Kindberg auf maximale Ausfallsicherheit und Energieeffizienz. Planung und Umsetzung erfolgten durch EPS Electric Power Systems, einem erfahrenen Spezialisten für Rechenzentrums- und Sicherheitsstromversorgungs-Lösungen.

Digitale Arbeitskräfte auf dem Vormarsch – HR erwartet umfassenden Wandel 08. 05. 2025

Laut einer internationalen Salesforce-Studie rechnen Personalverantwortliche mit einem starken Anstieg digitaler Arbeitskräfte in Unternehmen. Bis 2027 könnten KI-Agenten die Produktivität um 30 Prozent steigern und Arbeitskosten deutlich senken. Für Mitarbeitende bedeutet das: neue Rollen, neue Anforderungen – vor allem im Bereich Soft Skills.

Die neue Ära der öffentlichen Beschaffung bei der BBG 08. 05. 2025

Mit einer umfassend modernisierten Plattform auf Basis von Microsoft Dynamics 365 setzt die Bundesbeschaffung GmbH neue Maßstäbe für digitale, effiziente und rechtssichere Beschaffungsprozesse im öffentlichen Sektor.

Commvault und CrowdStrike bündeln Kräfte für erweitertes Cyber-Recovery-Angebot 08. 05. 2025

Commvault integriert die Incident-Response-Services von CrowdStrike in sein Angebot und stärkt damit seine Plattform für Cyberresilienz. Die kombinierte Lösung verspricht schnellere Reaktion auf Angriffe und verbesserte Wiederherstellung.

REWE Group verlagert 73 SAP-Systeme in die Cloud 06. 05. 2025

Die REWE Group plant, ihre technische Infrastruktur umfassend zu modernisieren und verlagert dafür schrittweise ihre SAP-Landschaft in die Cloud. Dabei setzt das Unternehmen auf „RISE with SAP“ und eine enge Partnerschaft mit SAP.

Warum Vertrauen in die IT nicht mit Cybersicherheit verwechselt werden sollte 02. 05. 2025

Viele Unternehmen verlassen sich bei der IT-Sicherheit auf ihre IT-Abteilungen – und übersehen dabei, dass IT und IT-Security zwei unterschiedliche Disziplinen sind. Eine neue Studie zeigt, wie gefährlich diese Fehleinschätzung werden kann.

Ältere verstärkt im Visier von Cyberkriminellen 30. 04. 2025

Laut aktuellem CRIF Cyber Report 2024 nehmen Cyberangriffe weltweit zu – mit wachsender Raffinesse und besonderem Fokus auf Menschen über 50, warnt Anca Eisner-Schwarz, Geschäftsführerin von CRIF Österreich (Bild).

Unternehmen wiegen sich in falscher Cybersicherheits-Gewissheit 30. 04. 2025

Eine gemeinsame Studie von Kyndryl und Amazon Web Services (AWS) zeigt eklatante Lücken zwischen dem subjektiven Sicherheitsgefühl und der tatsächlichen Gefährdungslage von Unternehmen – mit direkten Folgen für ihre wirtschaftliche Stabilität.

ENTERPRISE #CLOUD COMPUTING #SECURITY

Consol

Public-Cloud-Security heißt geteilte Verantwortung 22.03.2021

Große Unternehmen haben den Weg längst eingeschlagen, aber auch immer mehr kleine und mittelständische Firmen nutzen Cloud-Angebote. Vorbehalte bestehen nach wie vor in puncto Sicherheit. Dabei wird oft ein wesentlicher Punkt vergessen: Sicherheit ist nicht nur eine Sache des Providers, es gilt vielmehr das Prinzip der Shared Responsibility, erklärt Lukas Höfer.

Foto: Consol Der Autor Lukas Höfer ist Cloud Solutions Architect bei Consol Software in München Das Thema Sicherheit ist weiterhin auf Platz eins, wenn es um Kritikpunkte an der Nutzung von Public-Cloud-Angeboten geht. Dabei werden gerne Beispiele angeführt, bei denen Fotos von Prominenten, Passwörter oder sogar Kontodaten gestohlen wurden. Von einem technischen Standpunkt aus scheint es bei der Cloud-Nutzung prinzipiell riskant zu sein, mehrere virtuelle Server auf einem realen physischen Server zu betreiben. Schließlich teilt ein Unternehmen dann Ressourcen mit anderen Unternehmen, die theoretisch aus ihrer „virtualisierten Isolation“ ausbrechen und so Services unterbrechen oder Daten stehlen könnten. Und schließlich stellt sich die Frage, was mit den Daten überhaupt passiert, wenn etwa eine ausländische Regierungsbehörde diese vom Cloud-Provider einfordert.

Bei der Beantwortung dieser Fragen muss zwischen der Sicherheit der bereitgestellten Cloud-Infrastruktur selbst und der Sicherheit bei der Cloud-Nutzung unterschieden werden. Letztere bezieht sich auf diejenigen Teile, die der Nutzer selbst konfigurieren kann und auch muss. Im Cloud-Bereich spricht man von einem Shared-Responsibility-Modell, also einem Prinzip der gemeinsamen Verantwortung von Cloud-Provider und Cloud-Anwender.

Foto: Consol Je nach gewähltem Cloud-Modell tragen auch die Unternehmen selbst die Verantwortung für die Sicherheit ihrer Applikationen und Daten Sicherheit der Cloud

Public-Cloud-Provider sind die wohl am häufigsten von Cyber-Attacken betroffenen Unternehmen. Allein durch ihre Größe stellen sie für Angreifer ein lukratives Ziel dar. Infolgedessen sind aber gerade die Sicherheitsmaßnahmen der großen Cloud-Provider besonders stringent. Zudem werden sie durch eine Vielzahl global agierender Unternehmen gewissermaßen zu höchsten Standards gezwungen. Diese beginnen bereits bei der physischen Sicherheit der Rechenzentren, die mit modernsten Verfahren und oft sogar mit Panzersperren ausgestattet sind. Die Möglichkeit, dass ein Einbrecher hier das Backup der Daten stiehlt, ist nahezu ausgeschlossen. Auch hinsichtlich Brandabschnitten und redundanter Infrastruktur kann eine Private kaum mit einer Public-Cloud konkurrieren. Es ist also nicht verwunderlich, dass die führenden Public-Cloud-Anbieter wesentlich mehr Sicherheitszertifizierungen besitzen als viele regionale Dienstleister.

Hinsichtlich der Frage nach potenziell möglichen Angriffen auf die Virtualisierungsschicht ist aus heutiger Sicht festzuhalten: 2018 wurden zwei Methoden bekannt, wie aus geteilten Prozessoren fremde Daten abgegriffen werden können. Hierbei können komplexe Algorithmen im Prozessor ausgenutzt werden, um theoretisch auf fremde virtuelle Server auf dem gleichen physischen Server zuzugreifen. Auf diese enorme potenzielle Bedrohung wurde relativ schnell reagiert und die Sicherheitslücken wurden bestmöglich geschlossen. Inzwischen sind weitere sehr ähnliche Methoden bekannt. Obwohl ein derartiger Angriff nicht nur in der Public-Cloud, sondern in jeder virtualisierten Umgebung auftreten kann, sind keine Fälle bekannt geworden, in denen diese Lücke tatsächlich ausgenutzt werden konnte. Wer trotzdem eine zusätzliche Absicherung anstrebt, kann auch in der Public-Cloud dedizierte Hosts anmieten. Hierbei ist vom Cloud-Provider garantiert, dass nur Server eines einzigen Anwenders auf den physischen Servern laufen. Angriffe über eine Virtualisierungsschicht sind damit ausgeschlossen.

Wichtig ist auch, dass Regierungsbehörden nicht problemlos auf die Daten von Nutzern und Unternehmen aus der Public-Cloud zugreifen können und dürfen. Für amerikanische Unternehmen gilt hier der sogenannte Cloud Act. In ihm ist klar festgelegt, dass nur im Rahmen der Strafverfolgung und auch nur gerichtlich abgesicherte Daten von Cloud-Providern an die Regierung übergeben werden müssen und das auch nur dann, wenn es nicht den regional gültigen Gesetzen widerspricht, also zum Beispiel den deutschen. Wer seine Daten trotzdem zusätzlich schützen möchte, kann Verschlüsselungsmaßnahmen ergreifen und die Daten damit selbst nach einer Herausgabe oder einem Diebstahl für Dritte unbrauchbar machen. An dieser Stelle kommt dann der Punkt Sicherheit bei der Cloud-Nutzung ins Spiel.

Sicherheit bei der Cloud-Nutzung

Bei den bekannten Sicherheitsvorfällen, bei denen Fotos, Passwörter oder Kontodaten gestohlen wurden, handelt es sich um leicht durchzuführende Hacking-Angriffe. Leicht deshalb, weil die einfachste Schwachstelle im System genutzt wurde, die Sorglosigkeit des Nutzers. In allen bisher aufgetretenen Fällen konnten relativ einfach Passwörter erraten oder anderweitig entwendet werden. Der Fehler liegt hier ganz klar bei den Nutzern selbst und nicht beim Cloud-Provider. Die Gefahrenabwehr ist hier also Aufgabe der Cloud-Anwender.

Ihr Verantwortungsbereich umfasst unter anderem folgendes: die Einhaltung von Passwort-Best-Practices, die Identitäts- und Zugriffsverwaltung, die korrekte Verwaltung der Plattform und selbstverständlich die Sicherheit der selbst entwickelten Applikationen. Auch die Verschlüsselung der Daten in Bewegung (Data in Motion) oder am Speicherort (Data at Rest) muss vom Anwender durchgeführt werden.

Zu beachten ist auch, dass die Zertifizierungen der Cloud-Provider nur bis an die Grenze ihrer eigenen Verantwortung reichen. Will ein Unternehmen beispielsweise Platform-as-a-Service nutzen und DSGVO-konform sein, muss es sich selbstständig um die Speicherorte und die Speicherdauer der Daten kümmern. Allerdings bieten die führenden Provider Consulting, exzellente Tools und Informationsmaterialien an, um dem Nutzer die Konfiguration und kontinuierliche Gewährleistung der Sicherheit und Compliance deutlich zu erleichtern.

Exemplarisch zeigt sich die Aufgabenteilung zwischen Cloud-Anbieter und -Nutzer beim Anwendungsfall Infrastructure-as-a-Service (IaaS). Dem Provider obliegt die Sicherung von Server, Storage, Netzwerk und Virtualisierung. Und in den Verantwortungsbereich des Anwenders fallen die restlichen IaaS-Schichten wie Betriebssystem, Middleware, Runtime, Applikationen und Daten.

Cloud-Security-Tipps

Um die Sicherheit in der Cloud zu gewährleisten, benötigt gerade ein kleines oder mittleres Unternehmen in komplexen Projekten in der Regel eine Unterstützung durch Experten. Doch wer klein anfängt und iterativ vorgeht, kann die wichtigsten Kniffe auch schnell selbst lernen, vor allem, weil in der Cloud viele Komponenten aus dem klassischen IT-Betrieb anzutreffen sind, etwa Netzwerke, Firewalls oder Speicher. Allerdings muss ein Unternehmen berücksichtigen, dass eine Public-Cloud global verfügbar ist, also auch die potenzielle Angriffsfläche größer ist. Es ist also nicht mehr damit getan, wie früher ein Netzwerk nach außen abzuschotten, vielmehr muss der Sicherheitsfokus nun auf die Nutzer und deren Berechtigungen gelegt werden.

Unternehmen sollten als Basis-Schutzmaßnahme für alle Cloud-Modelle eine Mehr-Faktor-Authentifizierung verwenden, die zum Beispiel aus einem starken Passwort und zum Beispiel einem mobilen Gerät besteht, über das eine zweite Identifikation erfolgt. Eine Mehr-Faktor-Authentifizierung erhöht die Sicherheit beträchtlich.

Darüber hinaus sollte ein Unternehmen ein Least-Privilege-Konzept umsetzen, das heißt, es sollte Mitarbeitern nur Zugriffsrechte erteilen, die sie für ihre Tätigkeit auch tatsächlich benötigen. Wird ein Account trotz aller Vorsichtsmaßnahmen kompromittiert, erhält ein Cyber-Krimineller dadurch nur Zugriff auf einen kleinen, klar umgrenzten Bereich der Unternehmens-IT.

Insgesamt gibt es zwischen Cloud-Security und „normaler“ IT-Security keine grundlegenden Unterschiede, mit einer Ausnahme: es gilt das Shared-Responsibility-Prinzip. Der Cloud-Provider ist zwar für die Sicherheit verantwortlich, aber nur für die Serviceschichten, die er seinen Kunden anbietet. Für die restlichen Schichten trägt der Kunde die Verantwortung. Erkennen Unternehmen die Notwendigkeiten, die aus dem Prinzip der Shared Responsibility resultieren, ist ein entscheidender Schritt zu einer hohen Public-Cloud-Security getan.