Von Francois Lasnier, Vice President, Identity & Access Management Products bei Thales
Es ist kein Geheimnis, dass Unternehmen zunehmend Cloud- Anwendungen in ihre IT-Umgebungen integrieren. Die International Data Group (IDG) hat in ihrer 2018 Cloud Computing Survey festgestellt, dass 73 Prozent der IT-Entscheider (ITDMs) hier bereits Erfahrung haben. 17 Prozent gaben an, dass sie im nächsten Jahr eine Integration planen. Diese Statistiken sind angesichts der steigenden Anforderungen an die Migration von Firmen in die Cloud sinnvoll. Tatsächlich sehen 38 Prozent der Befragten, dass ihre IT-Abteilung unter zunehmendem Druck der Geschäftsleitung und/oder einzelner Geschäftsfelder steht, alle Apps und Infrastrukturen in die Cloud zu migrieren.
Im Jahr 2018 stellte Symantec fest, dass ein durchschnittliches Unternehmen 1.516 Cloud-Anwendungen einsetzte. Diese Zahl war fast 40-mal höher als erwartet – zumindest laut einer Umfrage unter CIOs in genau diesen Organisationen. Eine solche Diskrepanz deutet darauf hin, dass Mitarbeiter manchmal Cloud-basierte Anwendungen ohne entsprechende Genehmigung ihrer IT-Abteilung herunterladen.
Trend Micro sagt, dass diese mangelnde Zustimmung, gepaart mit der wachsenden Anzahl von Cloud-Apps, die offiziell von der IT über Services wie Office 365 gesteuert werden, ein primärer Wachstumsfaktor für die Angriffsfläche eines Unternehmens ist. Wie die Sicherheitsfirma in einem Blogbeitrag erklärt:
„Das Fazit…. ist ein Mangel an Transparenz für IT-Administratoren über die innerhalb des Unternehmens verwendeten Anwendungen. Selbst mit Best Practices können IT-Mitarbeiter keine Schwachstellen in Anwendungen patchen, von denen sie nicht wissen, dass sie im Netzwerk existieren. Auf diese Weise ist die Angriffsfläche für Risiken im Zusammenhang mit Geschäftsanwendungen beträchtlich groß – die Bedrohung besteht für fast jede Organisation in allen Branchen.“
Eine der größten Schwachstellen ist die Tatsache, dass sich Cloud-Dienste im öffentlichen Netz befinden. (Dies steht im Gegensatz zu Enterprise Apps von gestern, Programmen, die innerhalb des Perimeters durch eine ganze Reihe von Sicherheitslösungen geschützt wurden.) Ihre Login-Seiten sind vollständig freigelegt, so dass jeder Kriminelle auf die Login-Seite des BDE gehen und einen Angriff am Access Point problemlos durchführen kann. Alternativ können sie einen Phishing-Angriff verwenden, um die Zugangsdaten der Mitarbeiter zu stehlen und sie zu missbrauchen, um sensible Unternehmens- und/oder Kundendaten zu stehlen.
Messung des Risikobewusstseins von Unternehmen
Thales befragte 1.050 ITDMs für den Access Management Index (AMI) 2019. Die Ergebnisse zeigen, dass die ITDMs weitgehend über die oben beschriebenen Gefahren Bescheid wissen. 49 Prozent gaben an, dass Cloud-Apps am stärksten von digitalen Angriffen bedroht sind. Das ist das dritthöchste Ziel nach ungeschützter Infrastruktur (54 Prozent) und Webportalen (50 Prozent). Auf die Frage, warum diese Schwachstelle besteht, antworteten 63 Prozent der ITDMs, dass ihr zunehmendes Volumen Cloud-Anwendungen zu einem Hauptziel für digitale Angriffe macht. Etwas weniger führten diesen Schwachpunkt auf das Fehlen starker Sicherheitslösungen (55 Prozent) und uneinheitlichen Schutz in der Cloud (54 Prozent) zurück.
Auffallend ist, wie viele Firmen es dennoch versäumen, ihre Sicherheitsstrategien anzupassen. So sind 62 Prozent der Meinung, dass ihre Arbeitgeber trotz eines gestiegenen Bewusstseins für digitale Sicherheit weiterhin ohne CISO arbeiten. Gleichzeitig sehen weniger als die Hälfte der Umfrageteilnehmer, dass sie biometrische Authentifizierung oder Software-Token verwendet.
Aber das liegt nicht an einem Mangel an Bewusstsein. Tatsächlich glauben 58 Prozent der ITDMs, dass die Zwei-Faktor-Authentifizierung das Zugriffsmanagement-Tool ist, das am ehesten sowohl Cloud- als auch webbasierte Anwendungen schützt. Glücklicherweise finden fast alle Befragten, dass Cloud Access Management für die Cloud-Akzeptanz förderlich ist (97 Prozent), während 96 Prozent angaben, dass ineffektives Cloud Access Management Probleme für ihre Unternehmen verursacht.
In Anbetracht dieser Gesichtspunkte sollte jede Organisation drei spezifische Schritte unternehmen, um die Cloud in der heutigen Welt besser zu schützen:
- Schützen Sie Cloud-Anwendungen und -Dienste am Access Point mit geeigneten Zugriffsverwaltungs- und Authentifizierungsrichtlinien;
- Verschlüsseln Sie alle sensiblen Daten at Rest und während der Übertragung,
- Speichern und verwalten Sie alle Verschlüsselungscodes sicher.