Die Cyber-Security von Cloud-Anwendungen ist nur in Kooperation zwischen Anwender und Provider ganzheitlich möglich. Denn die Verantwortung des Anbieters endet spätestens am Arbeitsplatz Ihres Mitarbeiters. Hierbei spricht man vom sogenannten Shared-Responsibility-Prinzip: Der Provider kümmert sich um die physische sowie digitale Sicherheit der bereitgestellten Infrastruktur/Services/Plattform. Der Anwender bzw. Ihr Unternehmen ist für Dinge wie die Passwortsicherheit, Authentifizierung und die Zugriffsrechte der Nutzer verantwortlich.

Kurz gesagt: Der Faktor Mensch liegt in Ihrer Verantwortung!

Gerade der Mensch, der die Anwendungen nutzt, ist die anfälligste Lücke der IT-Sicherheit. Wie Sie dieses Risiko minimieren können und welche technischen Möglichkeiten Ihnen hierfür zur Verfügung stehen, haben wir an dieser Stelle für Sie zusammengetragen. Vorab gehen wir noch kurz auf die Obliegenheiten des Cloud-Providers ein.

Was der Cloud-Provider gewährleistet

Cloud-Provider sind ein beliebtes Ziel von Cyber-Attacken. In Anbetracht der riesigen Datenmengen, die hier gespeichert sind, ist das nicht weiter verwunderlich. Doch gerade deswegen sind die Sicherheitsmaßnahmen, vor allem bei großen Anbietern, auf höchstem Niveau. Das beginnt bereits bei der physischen Absicherung der Rechenzentren. Hierzu lässt sich sinnbildlich das berühmte Fort Knox nennen, denn diese Einrichtungen sind mit modernster Überwachungstechnik, tonnenschweren Schutztüren und teilweise sogar mit Panzersperren (Barrieren, die selbst einem Panzer standhalten) gesichert. Die Wahrscheinlichkeit eines Einbruchs ist damit schwindend gering. Selbstverständlich sorgen Cloud-Anbieter auch für die digitale Sicherheit der bereitgestellten Infrastruktur, sodass Hacker über diesen Weg nur wenig Chancen auf eine erfolgreiche Attacke haben. Achten Sie daher bei der Wahl Ihres Providers auf dessen Sicherheitsstandards sowie eine verschlüsselte Datenübertragung.

Die größte Sicherheitslücke sitzt vor dem Bildschirm

Nachdem die Provider den Hackern das Leben so schwer machen, nutzen diese einfach die größte Schwachstelle des Systems aus: Die Sorglosigkeit der Anwender. Ein Paradebeispiel für einen derartigen Angriff ist der große Celebrity-Leak aus dem Jahre 2014. Dabei wurden die privaten iClouds diverser Promis gehackt und private Fotos öffentlich zugänglich gemacht. Die Sicherheitslücke lag damals jedoch nicht bei Apple, sondern bei den Promis selbst, die ihre Cloud lediglich mit einem sehr naiv gewählten Passwort gesichert haben. Auch wenn dieses Beispiel das Problem gut darstellt, waren die Auswirkungen harmlos. Selbstverständlich unangenehm, jedoch nicht existenzgefährdend.

Der wirtschaftliche Ruin ist nur einen Leak entfernt

Diesen Luxus hat Ihr Unternehmen nicht! Wenn ein Hacker erst einmal im Besitz Ihrer Daten ist, hat das weitreichende Konsequenzen für Ihr Unternehmen. Cyber-Kriminelle können Sie so erpressen, da sie ansonsten die sensiblen Daten veröffentlichen oder löschen, was mit dem wirtschaftlichen Ruin einhergehen kann. Egal, ob es sich dabei um geheime Informationen zu einem Prototyp oder Daten zu Ihren Kunden handelt. Daher sollten Sie unbedingt sicherstellen, dass Ihre Mitarbeiter einerseits auf das Thema sensibilisiert und andererseits bei der Umsetzung unterstützt werden.

Mit diesen Tipps können Sie Ihre Mitarbeiter schützen:

Einhaltung von Passwort-Best-Practices

Führen Sie für Passwörter in Ihrem Unternehmen Richtlinien ein. Darin können Sie die Anzahl der Zeichen (min. 8 Zeichen lang) und deren Art (Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben) festlegen. Damit erhöhen Sie bereits die Einstiegshürde für Hacker, da Passwortklassiker wie „1234“, „Passwort“, der Name/Geburtstag des Ehepartners und ähnliches vermieden werden. Grundsätzlich gilt: Je länger das Passwort, desto sicherer. Als weitere Best-Practices sind noch folgende zu nennen:

• Vermeiden Sie die Mehrfachverwendung eines Passworts
• Wechseln Sie das Passwort regelmäßig
• Passwörter niemals in einem Textdokument auf dem PC speichern
• Verwenden Sie einen Passwort-Manager

Multi-Faktor-Authentifizierung

Bei einer Multi-Faktor-Authentifizierung müssen Anwender neben dem Passwort eine weitere Bestätigung abgeben. Geläufig sind hierbei Codes, die auf das Smartphone Ihres Mitarbeiters, bspw. per SMS, gesendet werden. Dadurch generieren Sie eine weitere Sicherheitsebene, wodurch das reine Passwort knacken nicht mehr für einen Cyber-Angriff ausreicht.

Zugriffsverwaltung nach dem Least-Privilege-Konzept

Das Least-Privilege-Konzept bedeutet, dass Sie Ihre Mitarbeiter nur mit den Zugriffsrechten ausstatten, die sie für ihre tägliche Arbeit benötigen. Falls einer dieser Anwender aufgrund eines speziellen Projekts großzügigere Rechte benötigt, können diese von Ihrer IT-Abteilung temporär erteilt werden. Dadurch stellen Sie sicher, dass wenn ein Account trotz aller Sicherheitsvorkehrungen gehackt wurde, der Schaden auf ein Minimum reduziert wird.

Sensibilisieren Sie Ihre Mitarbeiter auf das Thema!

Kommen wir nun zu Ihren Mitarbeitern selbst. Zwar können Sie ihnen die genannten Tipps und Richtlinien an die Hand geben, doch damit ist das Thema noch nicht abschließend behandelt. Sensibilisieren Sie Ihre Belegschaft auf das Thema und zeigen ihnen die Wichtigkeit ihrer Mitarbeit auf. Denn wie eingangs bereits erwähnt, ist die Cloud-Sicherheit ein Gemeinschaftsprojekt.

On-Premise und Remote

Diese Regeln gelten sowohl für die Arbeit On-Premise als auch remote. Gerade letzteres hat mit dem pandemiebedingten Umzug ins Homeoffice an Wichtigkeit gewonnen. Hierzu haben wir grundlegende Sicherheitsregeln erarbeitet, die Sie in unserem Artikel „Cyber-Security im Homeoffice“ nachlesen können.

Die Sicherheit Ihrer Cloud-Anwendungen ist ein Gemeinschaftsprojekt. Bis zu einem gewissen Zeitpunkt im Prozess gewährleistet der Provider zwar die Sicherheit, danach sind jedoch Sie selbst und Ihre Mitarbeiter gefragt. Unterstützen Sie Ihre Mitarbeiter mit Richtlinien und sensibilisieren Sie auf das Thema. Achten Sie bei der Auswahl des Providers auf dessen Sicherheitsstandards und -zertifikate. Das alles ist mit einem enormen Aufwand verbunden. Holen Sie sich daher die Unterstützung externer Spezialisten. Diese beraten Sie bei der Wahl des Providers, implementieren die Lösung in Ihrem Unternehmen und unterstützen Sie bei der Schulung der Mitarbeiter.