[datensicherheit.de, 24.03.2025] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. wurde – nachdem der Europäische Datenschutzausschuss (EDSA) und die Datenschutz-Aufsichtsbehörde LDI NRW bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt haben – jetzt der letzte Schritt zum Einsatz am Markt vollzogen: Die Deutsche Akkreditierungsstelle (DAkkS) hat demnach die datenschutz cert GmbH als erste Zertifizierungsstelle akkreditiert. Diese Akkreditierung soll bestätigen, dass die datenschutz cert GmbH die Anforderungen für die Konformitätsbewertung von „Cloud“-Diensten erfüllt und somit berechtigt ist, die Datenschutz-Zertifizierung „AUDITOR“ zu vergeben.

Andreas Weiss, eco, Foto: eco – Verband der Internetwirtschaft e.V.

Andreas Weiss sieht in „AUDITOR“ Stärkung der europäischen Datenhoheit und mehr Rechtssicherheit

„AUDITOR“-Zertifizierung im Rahmen eines BMWK-Projektes gefördert

Diese „AUDITOR“-Zertifizierung wurde laut eco im Rahmen eines vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes von einem Expertenkonsortium unter der Führung des Karlsruher Instituts für Technologie (KIT) und der Universität Kassel entwickelt und stellt die erste speziell auf „Cloud“-Dienste zugeschnittene Zertifizierung gemäß Art. 42 der Datenschutzgrundverordnung (DSGVO) dar.

Das Verfahren sei bereits in der Praxis anhand mehrerer „Use-Cases“ erprobt und validiert und von der DAkkS, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und dem Europäischen Datenschutzausschuss (EDSA) geprüft worden. „Cloud“-Dienst-Anbieter können jetzt das „AUDITOR“-Zertifikat nutzen, um die Einhaltung der Vorgaben der DSGVO am Markt nachzuweisen.

Zertifizierung „AUDITOR“ nach DSGVO-Maßgabe im Interesse aller Beteiligten

• „Cloud“-Anbieter können mit einer Zertifizierung Sicherheit und Transparenz bieten.
• „Cloud“-Kunden dürfen nur mit solchen „Cloud“-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können.
• Der Schutz personenbezogener Daten von Endverbrauchern steht im Mittelpunkt der „AUDITOR“-Zertifizierung von „Cloud“-Diensten.

Unabhängige Prüfungen und Zertifizierungen lassen „Cloud“-Kunden gezielt mit Anbietern nachweislich hoher Datenschutzstandards zusammenarbeiten

Unabhängige Prüfungen und Zertifizierungen hätten sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, „dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind“. Andreas Weiss, Geschäftsführer des eco – Verband der Internetwirtschaft e.V. kommentiert abschließend:

„Mit ,AUDITOR’ haben wir endlich eine speziell für ,Cloud’-Dienste entwickelte Zertifizierung nach DSGVO-Standards. Das stärkt die europäische Datenhoheit und bietet Anwendern, Unternehmen und öffentlichen Institutionen mehr Rechtssicherheit. ,Cloud’-Kunden können so gezielt mit Anbietern zusammenarbeiten, die nachweislich hohe Datenschutzstandards erfüllen.“

Weitere Informationen zum Thema:

Trusted Cloud
Die Datenschutzzertifizierung des Kompetenznetzwerks Trusted Cloud e.V.

DAkkS, 25.02.2025
datenschutz cert GmbH

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

Von unserem Gastautor Henrik Hasenkamp, CEO von gridscale

[datensicherheit.de, 21.03.2025] Ständig zunehmende Angriffsrisiken und deutlich effektivere Monitoring- und Traffic-Analyse-Tools führen dazu, dass ein bekanntes und bewährtes Sicherheitskonzept wieder mehr Aufmerksamkeit erfährt: Zero Trust. Wenn dann der Cloud-Service zusätzlich Datensouveränität garantieren kann, entsteht ein umfassendes Sicherheitskonzept.

Grundprinzip einer Zero-Trust-Strategie

Grundsätzlich niemandem zu vertrauen und jede Zugriffsanfrage unabhängig von ihrer Herkunft zu prüfen – so lässt sich in wenigen Worten das Grundprinzip einer Zero-Trust-Strategie beschreiben. Obwohl das Konzept nicht neu ist und überzeugende Argumente mitbringt, eilt ihm der Ruf voraus, schwierig umsetzbar zu sein. Insbesondere mittelständische Unternehmen mit hybriden IT-Infrastrukturen scheuen den Implementierungsaufwand und den kontinuierlichen Betrieb.

Vorteile rechtfertigen den Aufwand

Dass eine gute Sicherheitsstrategie essenziell ist, ist unbestritten. Die Folgen von Sicherheitsvorfällen sind allgemein bekannt: von Produktionsausfällen und Imageschäden über Datenverluste bis hin zu Kosten für die Wiederherstellung und Strafen für Verstöße gegen Datenschutzvorgaben. IT-Sicherheit gehört demnach zu jeder IT-Infrastruktur-Überlegung dazu. Der ganzheitliche Ansatz von Zero Trust kann u.a. durch folgende Maßnahmen umgesetzt werden:

• Jede – wirklich jede – Anfrage wird geprüft: Multi-Faktor-Authentifizierung (MFA) für alle Nutzer:innen und ein rollenbasiertes Zugriffskonzept, bei dem jeweils nur ein Minimum an Rechten vergeben wird, sind die Basis eine Zero-Trust-Sicherheitsstrategie. Dabei ist es wichtig, dass das IAM (Identity and Access Management) sowohl lokale Netzwerk- als auch Cloud-basierte Identitäten verwalten kann. Jede Zugriffsanfrage, egal ob sie von außerhalb oder innerhalb des Netzwerkes kommt, wird durch ein Security Information and Event Management-System (SIEM) geprüft. So können nicht nur Angriffe von außen besser verhindert werden, sondern auch solche, bei denen sich die Angreifer:innen zum Beispiel über Phishing oder Social Engineering bereits Zugang zum Netzwerk verschafft haben.
• Monitoring, Traffic-Analysis und Anomalieerkennung: SIEM-Systeme prüfen nicht nur, sie analysieren auch: Durch die kontinuierliche Überwachung und Auswertung aller sicherheitsrelevanten Events können Bedrohungen frühzeitig erkannt werden. Heute arbeiten die Systeme mit Machine-Learning- und KI-Algorithmen, sodass sie intelligent und schnell Anomalien im Datenverkehr erkennen und potenzielle Risiken einschätzen können.
• Datenverschlüsselung und Endpoint-Security: Die Verschlüsselung aller Daten in jedem Zustand – also auch solcher, die sich zumeist im Ruhestand, sprich in Archiven oder an IoT-Geräten, befinden – zählt zu den grundsätzlichen Maßnahmen innerhalb einer IT-Security-Strategie. So lässt sich auch im Falle eines Datendiebstahls der Schaden zumindest begrenzen. Schlüsselmanagement-Systeme helfen bei der Verwaltung der Chiffrierschlüssel. Ebenso grundsätzlich wie wichtig ist es, dass stets alle Endgeräte, die auf das Netzwerk zugreifen, über aktuelle Sicherheitssoftware und Patches verfügen.
• Micro-Segmentierung und API-Management: Wenn ein Netzwerk in kleinere, weitgehend isolierte Segmente aufgeteilt wird, können die einzelnen Bestandteile besser kontrolliert werden. Sicherheitsrichtlinien etwa können dann pro Segment definiert werden, was den Schutz sensibler Daten vereinfacht. Um APIs besser zu managen, ist es sinnvoll, API-Gateways als Sicherheitsinstanz zwischen Front- und Backend zu setzen. Diese stellen sicher, dass nur autorisierte Nutzer:innen und Anwendungen auf die jeweiligen Schnittstellen zugreifen.

Von der Theorie zur Praxis: Zero Trust im Unternehmen

Bisweilen mag es einem Kulturwandel gleichkommen, wenn eine Zero-Trust-Strategie künftig alle vorhandenen Sicherheitsmaßnahmen ersetzen soll. Zwei Dinge sind zu Beginn besonders wichtig: die Mitarbeiter miteinzubeziehen und eine umfassende Bestandsaufnahme zu machen.

Eine Bestandsaufnahme der IT-Infrastruktur gibt nicht nur einen guten Überblick, sondern offenbart u.a. besonders schützenswerte, geschäftskritische Bereiche, Schwachstellen, veraltete und vernachlässigte Assets, genutzte und nicht-genutzte Anwendungen. Oft lassen sich daraus direkt erste Maßnahmen ableiten, die sich unkompliziert umsetzen lassen. Auf dieser Basis kann nun ein Sicherheitskonzept erarbeitet werden, das alle Bereiche – On-Premise, Cloud, Edge, etc. – abdeckt. Notwendige Integrationen können nun besser abgeschätzt und geplant werden.

Datensouveränität als Sicherheitsmaßnahme

Wer Zero Trust ernst nimmt, muss auch seinen Cloud-Provider hinterfragen. Denn zu Datenschutz und Compliance zählt auch das Thema Datensouveränität – ein herausforderndes Thema, gerade wenn die Infrastruktur hybrid ist, es also Übergänge zwischen verschiedenen Sourcing-Modellen zu schaffen gilt. gridscale (ein OVHcloud Unternehmen) adressiert als europäischer Cloud-Provider genau diese Herausforderung mit einer souveränen Cloud-Lösung.

Die Souveränität über die eigenen Daten zu haben, bedeutet, von der Erhebung und Speicherung über die Nutzung und Verarbeitung bis hin zur Vernichtung die volle Kontrolle auszuüben. Am einfachsten ist das natürlich im eigenen, abgeschotteten Rechenzentrum, welches an keine externen Ressourcen angebunden ist – ein Modell, das heute aus Kostengründen und dank mangelnder Flexibilität kaum noch anzutreffen ist. Doch auch manche Cloud-Dienstleister haben eine Lösung anzubieten: die souveräne Cloud.

Um eine Orientierung zu bieten, entwickelte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) einen umfassenden Kriterienkatalog, den Cloud Computing Criteria Catalogue (C5). Insgesamt listet der Katalog 121 Sicherheitsmaßnahmen, z.B. aus den Bereichen Datenschutz, physische Sicherheit, Anwendungsmanagement und Interoperabilität, auf, an denen sich Cloud-Anbieter messen lassen. Provider, die ein C5-Zertifikat haben, erfüllen alle Kriterien und wurden durch eine unabhängige Instanz geprüft. Das BSI-C5-Zertifikat gilt als anerkannter Standard und gibt den Unternehmen rechtliche Sicherheit: Die Einhaltung der offiziellen europäischen und deutschen Datenschutz-Regelungen (z. B. DSGVO) ist damit seitens des Cloud-Dienstleisters garantiert.

Souveräne Clouds und Zero Trust

Cloud-Services sind für die meisten Unternehmen ein wichtiger oder sogar unersetzbarer Teil der IT-Infrastruktur. Ein wichtiges Argument für die Cloud war schon immer das hohe Sicherheitslevel, das Cloud-Provider bieten: neueste Technologien, stets aktueller Stand aller Software-Versionen und Patches, geografisch verteilte Redundanz, Management-Tools inklusive. Gute Voraussetzungen, um die Cloud nahtlos in die eigene Zero-Trust-Strategie zu integrieren.

Bei Providern aus dem nicht-europäischen Ausland bleibt jedoch stets ein Stück rechtliche Unsicherheit. Nach wie vor können etwa US-Behörden unter bestimmten, nicht immer ganz klar definierten Umständen die Herausgabe von Daten von den Providern verlangen. Die europäischen und deutsche Datenschutz-Vorgaben sind streng, insbesondere auch im Hinblick auf die Transparenz, die die Provider gegenüber ihren Kunden wahren müssen – hier können insbesondere amerikanische Anbieter nicht mithalten. Das C5-Zertifikat des BSI gibt zusätzliche Orientierung für mehr Sicherheit und Datensouveränität.

Über den Autor

Henrik Hasenkamp, CEO von gridscale, © gridscale

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem Kölner Technologieanbieter, der Unternehmen eine schlüsselfertige Plug-and-Play Plattform für den schnellen und unkomplizierten Aufbau von Cloud- und Edge Computing-Services zur Verfügung stellt. Als einer der Pioniere und Vorreiter hat Henrik mit der Gründung von gridscale im Jahr 2014 das große Potenzial von Edge und Cloud Computing für die Digitalisierung in Deutschland früh erkannt und gridscale bis heute zu einem innovativen Softwareanbieter und Plattformbetreiber für mittlerweile tausende Mittelstandsunternehmen, IT-Dienstleister und Systemhäuser fortentwickelt. Seit August 2023 gehört das Unternehmen zur OVHcloud, dem europäischen Marktführer im Bereich Cloud. Gemeinsam und auf Basis der gridscale-Technologie entstehen derzeit weltweit 150 neue Standorte für OVHcloud, die unter dem Produktnamen Local Zone bereits erfolgreich vermarktet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa

[datensicherheit.de, 21.03.2025] Laut einer aktuellen Stellungnahme der Eperi GmbH warnen Norwegen und Dänemark bereits vor „Cloud“-Service-Anbietern aus den USA. Dies werfe nun die Frage auf, ob auch Deutschland und weitere europäische Länder diesem Beispiel folgen werden, wann Regeln zum Datenschutz verschärft werden und wie Unternehmen diese Hürde meistern können.

Verarbeitung und Speicherung sensibler Daten in US-Clouds könnte gemäß europäischer Gesetzgebung unzulässig werden

Dass zunehmend mehr Unternehmen und Organisationen viele ihrer sensiblen Daten bei US-basierten „Cloud“-Anbietern speichern und verarbeiten, sei mangels europäischer Alternativen Fakt. Aktuelle politische Trends in den USA veranlassten jedoch europäische Sicherheitsbehörden zu deutlichen Warnungen, da die Daten auch dort nicht mehr sicher sein könnten.

„Im schlimmsten Fall könnte die Verarbeitung und Speicherung sensibler Daten in den US-Clouds sogar gemäß der europäischen Sicherheitsgesetzgebung unzulässig werden!“ Die proaktive Lösung des Problems könne eine funktionserhaltende Verschlüsselung sensibler Daten sein – egal für welche „Cloud“ und egal wo auf der Welt.

Strategie vorbereiten, falls Datentransfer in US-„Clouds“ plötzlich nicht mehr zulässig ist

Europäische Datenschutzexperten seien besorgt – und mit Norwegen und Dänemark schlagen demnach die ersten beiden Länder offiziell Alarm: Die norwegische Datenschutzbehörde habe die klare Empfehlung ausgesprochen, dass Unternehmen eine Strategie vorbereiten sollten, wie sie mit US-amerikanischen „Cloud“-Diensten umgehen, falls der Datentransfer in die USA plötzlich nicht mehr zulässig werde.

Eine ähnliche offizielle Empfehlung der dänischen Datenschutzbehörde nur einige Tage zuvor betone, dass sich Unternehmen nicht auf den aktuellen Angemessenheitsbeschluss verlassen dürften, da die rechtliche Lage viel zu unsicher sei.

Unternehmen sollten sich nicht auf anhaltende Rechtssicherheit für Nutzung von US-„Cloud“-Diensten verlassen

Dass deutsche Datenschutzbehörden mit einer vergleichbaren Warnung nachziehen, sei wahrscheinlich: „Die deutschen Aufsichtsbehörden standen in der Vergangenheit bei vielen Risikoeinschätzungen und Datenschutzinitiativen Seite an Seite mit den europäischen Partnerstaaten.“

Bereits jetzt ließen Aufsichtsbehörden keinen Zweifel daran, dass deutsche Unternehmen sich nicht auf langfristige Rechtssicherheit beim Einsatz von US-„Cloud“-Diensten verlassen sollten. Sie hätten in der Vergangenheit immer wieder betont, dass der Schutz personenbezogener Daten oberste Priorität habe – auch wenn dies für Unternehmen unbequem in der Umsetzung sei.

Gesamteuropäische „Cloud“-Problematik

Die jüngsten Warnungen der beiden nordeuropäischen Länder begründeten sich auf einem zentralen und für gesamt Europa existenten Risiko: „Sollten sich europäische Unternehmen zu stark an US-,Cloud’-Dienste binden, stehen diese bei einem plötzlichen Wegfall der Rechtsgrundlage vor einer Herausforderung, die sowohl die Sicherheit der Unternehmen, aber auch deren Handlungsfähigkeit elementar stören kann!“

Das Problem liege darin, dass für viele US-„Cloud“-Dienste keine europäischen Alternativen existierten. Beschlüsse oder regulatorische Entscheidungen, welche den Transfer sensibler Daten in die USA untersagten, würden die Nutzung vieler „Cloud“-Dienste, auf die Unternehmen im Tagesgeschäft angewiesen seien, abrupt unterbrechen. Mit einem Verbot der Datenflüsse würden Kritische Arbeitsprozesse unterbrochen, was in den meisten Fällen zu Betriebsunterbrechungen und in Folge zu Reputationsschäden führen könne.

Kurzfristige Konsequenzen von „Cloud“-Neuregulierungen wären gravierend

„Sollten offizielle Regelungen und Handlungsanweisungen in den europäischen Staaten oder aus Brüssel heraus konkretisiert und in einem neuen Regelwerk manifestiert werden, müssen viele Unternehmen sehr kurzfristig handeln – insbesondere dann, wenn geschäftskritische Prozesse ausschließlich mit ,Cloud’-Diensten von US-Unternehmen durchgeführt werden.“ Die kurzfristigen Konsequenzen derartiger Neuregulierungen seien gravierend. Dazu gehörten

• die sofortige Neubewertung bestehender Verträge mit US-„Cloud“-Anbietern
• die Risikobewertungen für alle Datenflüsse in die USA
• das Erstellen und Umsetzen von Plänen für die Gewährleistung der Datensicherheit
• ein enorm hoher Zeitdruck, da Datenschutzbehörden in solchen Fällen kurze Fristen setzten
• und die wesentlich strengere Prüfung bei künftigen „Cloud“-Projekten, ob diese den Datenschutzanforderungen entsprechen.

Vertrauen in „Cloud“- und IT-Partner in den USA steht auf der Kippe

Warten sei in der aktuellen Abhängigkeitssituation keine gute Option. Das weitreichende und zu einem Teil berechtigte Vertrauen in die „Cloud“- und IT-Partner in den USA stehe im Moment jedoch zunehmend auf der Kippe und die Wahrscheinlichkeit, dass sich die europäischen Datenschutzorgane zugunsten der Sicherheit der europäischen Wirtschaft aussprechen, sei groß.

Noch hätten die Unternehmen gute Chancen, die Weichen zu ihren Gunsten zu stellen. „In einem ersten Schritt sorgt eine Dateninventur für das valide Wissen darüber, welche Daten mit welchen Grad an Sensibilität wo verarbeitet und gespeichert werden.“ Darüber hinaus gelte es zu prüfen, welche Prozesse unausweichlich mit Anbietern aus den USA durchgeführt werden müssten und welche vielleicht anders organisiert oder mit europäischen Anbietern umgesetzt werden könnten.

Danach folgten möglichst rasch die Strategie und konkrete Pläne, wie sich Kritische Daten kurzfristig schützen ließen. Dabei stehe immer die maximale Datensouveränität im Vordergrund, bei der mit geeigneten Technologien und Diensten sichergestellt sei, dass der Schutz und der Zugriff auf Unternehmensdaten stets unter eigener Kontrolle blieben.

Verschlüsselung bei „Cloud“-Nutzung erfüllt Regulatorik und Compliance auch unter besonderen Umständen

„Da es in einigen Fällen an Alternativen und Optionen zu den US-basierten ,Cloud’-Anwendungen und -Diensten mangelt und keine kurzfristigen Ausweichmöglichkeiten bestehen, ist die gezielte Verschlüsselung ein probates und vor allem sicheres Mittel, um die Regulatorik und Compliance einzuhalten.“ Bei einer geeigneten Datenverschlüsselung werde sichergestellt, dass der Klartext ausschließlich im Unternehmen verbleibe – auch wenn die Speicherung und Datenverarbeitung weiterhin bei nicht europäischen Anbietern liege. „Wichtig dabei ist, dass die Unternehmensdaten bereits vor dem Upload in die ,Cloud’ verschlüsselt werden. Erst damit ist der Zugriff auf die Daten durch Dritte ausgeschlossen.“

Eine die Kriterien einer Regulatorik und der Compliance erfüllende Datenverschlüsselung sei allerdings nur dann hilfreich, wenn mit den Daten in der „Cloud“ und in den Applikationen trotz Verschlüsselung uneingeschränkt gearbeitet werden kann. Daher sorge ausschließlich eine funktionserhaltende Verschlüsselung für Abhilfe und Sicherheit zugleich.

Unternehmen sollten bei Auswahl einer „Cloud“-Verschlüsselungslösung auf besondere Merkmale achten

Verschlüsselung vor der „Cloud“
Daten verlassen das Unternehmen nur in verschlüsselter Form!

Schlüsselkontrolle
Nur das Unternehmen besitzt die Schlüssel – kein „Cloud“-Anbieter, keine Behörde, kein Partner!

Volle Funktionalität
Trotz Verschlüsselung bleiben Funktionen wie Suche, Sortierung und Kollaboration erhalten!

Flexible Anwendbarkeit
Kompatibel mit „Microsoft 365“, „Salesforce“ und fast jeder weiteren (auch hybriden) „Cloud“-Umgebung!

Die erfolgten Warnungen aus Norwegen und Dänemark seien ein deutliches Signal: „Es ist davon auszugehen, dass weitere europäische Länder dem Beispiel folgen oder auch konkrete Verbote und Regeln für das ungeschützte Übertragen sensibler Daten in die USA oder andere Regionen der Welt in Kraft treten werden.“ Die abschließenden Empfehlung: „Unternehmen, die sich jetzt unabhängig machen und eine echte Datensouveränität etablieren, brauchen keine Unterbrechung der Betriebsabläufe und Prozesse aufgrund strengeren Regeln zu fürchten.“

Weitere Informationen zum Thema:

EPERI, 12.03.2025
Norwegen und Dänemark warnen vor US-Clouds: Wann folgt Deutschland? / Europäische Datenschutzbehörden schlagen Alarm: Erfahren Sie, warum US-Clouds ein Risiko sind und wie Unternehmen ihre Daten schützen können

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

datensicherheit.de, 10.06.2024
Cloud-Sicherheit unter sich verändernden Rahmenbedingungen / Wie man einen „Vergnügungspark“ sichert

datensicherheit.de, 13.09.2023
Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu / Massives Datenwachstum, steigende Kosten für Cloud-Dienste und der Wunsch nach mehr Flexibilität geben dem Hosting von Daten und Workloads vor Ort neuen Auftrieb

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

Ein Beitrag von unserem Gastautor Mohamed Ibbich, Director Solutions Engineering, BeyondTrust

[datensicherheit.de, 13.02.2025] Mit Cloud-First-Initiativen beschleunigen Organisationen aktuell die Bereitstellung neuer Anwendungen. Für die Administration und Automatisierung von IT-Systemen werden dafür immer mehr menschliche und maschinelle Konten bereitgestellt. Das hat zu einem sprunghaften Anstieg digitaler Identitäten im gesamten Unternehmen geführt. In hybriden Unternehmensumgebungen gibt es deshalb Nachholbedarf bei deren Identifizierung, Integration, Absicherung und IT-Verwaltung.

Klassische Perimeter lösen sich auf

Der rasante Anstieg an Identitäten (Konten), die ein einzelner Benutzer in einem Unternehmen hat, steht in einem direkten Zusammenhang zur Anzahl der Technologien, die für den Betrieb von Organisationen erforderlich sind. Mitarbeiter benötigen Zugriff auf mehrere Konten, Geräte oder digitale Dienste — und mit jedem neuen Zugriffspunkt entsteht auch ein neuer Angriffsvektor. Der klassische Perimeter mit eng abgesteckten Netzwerkgrenzen löst sich dadurch auf und resultiert in mangelnder Transparenz über Umfang und Zugehörigkeit einmal zugewiesener Berechtigungen.

Mohamed Ibbich, Director Solutions Engineering, BeyondTrust, Bild: BeyondTrust

Es liegt auf der Hand, dass die Nachverfolgung von Cloud-Zugriffsberechtigungen schwierig ist. Viele Tools der Cloud-Anbieter sind undurchsichtig und bieten keine plattformübergreifende Transparenz, was die tatsächlichen Auswirkungen durch Kombination verschiedener Berechtigungen verschleiert. Angesichts dieser Komplexität hoffen viele Unternehmen auf korrekt konfigurierte Abläufe, viele Vorgänge lassen sich einfach nicht einsehen oder werden übersehen.

Unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen

Diese weitgehend unerkannte, aber wirkungsmächtige Bedrohungslage haben Sicherheitsanalysten mittlerweile deutlich erkannt. Gartner zufolge sind drei Viertel der Cloud-Sicherheitsausfälle auf eine unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen zurückzuführen. Maßnahmen zur Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogenen Bedrohungen fasst das Analystenhaus unter dem Begriff „Identity Threat Detection and Response (ITDR)“ zusammen.

Fünf Best-Practice-Empfehlungen für eine sicherheitskonforme Verwaltung digitaler Identitäten:

1. Transparente Sicht identitätsbezogener Daten
   Es ist wichtig, einen umfassenden Überblick über alle identitätsbasierten Informationen der IT-Umgebung zu haben, um Risiken im Rahmen einer Least-Privilege-Strategie proaktiv reduzieren zu können. So lassen sich benutzerspezifische Rollen, Richtlinien und Berechtigungen konfigurieren, um Risiken bewerten und minimieren zu können. Höhere Berechtigungen sollten sich auf diejenigen Anwender und Kontenbeschränken, die sie zur Erledigung ihrer Aufgaben und Funktionen auch tatsächlich benötigen.
2. Absicherung von privilegierten Anmeldedaten
   Nicht verwaltete Konten verursachen potenzielle Sicherheitslücken und fehlerhafte Konfigurationen in geschäftlichen IT-Umgebungen. Die Erkennung von Anomalien beim Einsatz von Benutzer- und Adminkonten zählt dabei zu den zentralen Abwehrmaßnahmen. Sicherheitsverantwortliche müssen privilegierte Konten überwachen und unbefugte Zugriffe durch Bedrohungsakteure rechtzeitig erkennen können, um Seitwärtsbewegungen im Netzwerk zu unterbinden.
3. IAM- und PAM-Analyse
   Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. ITDR-Lösungen konzentrieren sich also auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen, Berechtigungskonten und anderen identitätsbezogener Bedrohungen. Allein die hohe Anzahl an Nutzerkonten stellt im stressigen Arbeitsalltag eine hohe Bedrohung dar. Wird der Lebenszyklusprozess von Service-Konten, lokalen Admin-Accounts oder privilegierte Konten zu wenig beachtet, fehlen fest definierte und praxiserprobte Abläufe, die eine kontinuierliche Sicherheit gewährleisten.
   Eine besonders große Gefahr geht von verwaisten Konten aus. Verlassen Mitarbeiter ein Unternehmen, bleiben ihre Konten trotzdem häufig weiter aktiv. Bei maschinellen Konten mangelt es oft an klaren Zuordnungen oder entsprechenden Passwortrichtlinien. Verwaiste Maschinenkonten, die für bestimmte Funktionen, Prozesse und Abläufe erstellt wurden, bleiben mit missbrauchsanfälligen Zugriffsberechtigungen auf IT-Ressourcen aktiv, obwohl sie nicht mehr benötigt werden.
   Hinzu kommt, dass digitale Identitäten ohnehin häufig mit übermäßigen Berechtigungen ausgestattet werden. Falsche Konfigurationen und mangelnde Transparenz bei Schatten-Benutzerkonten resultieren in weitreichenden Sicherheitsproblemen, wenn Bedrohungsakteure sich Zugang auf unbeaufsichtigte Accounts verschaffen können. Dieser Gefahrenlage lässt sich mit Least-Privilege-Strategien begegnen, die Anwendern ausschließlich Nutzerrechte zur Erledigung arbeitsrelevanter Aufgaben zuordnen.
4. Schwachstellenerkennung bei der Nutzerauthentifizierung
   Eine der wirksamsten Sicherheitsmaßnahmen zum Schutz von digitalen Identitäten ist Multi-Faktor-Authentifikation (MFA) — wenn Mitarbeiter die Vorgaben einhalten und schwache MFA-Verfahren gar nicht erst eingesetzt werden. Für IT-Sicherheitsabteilungen ist dabei wichtig, dass sie schnell über gescheiterte Anmeldeversuche informiert werden und darauf reagieren können. Automatische Warnhinweise, die auf Fehlkonfigurationen oder deaktivierte Multi-Faktor-Authentifizierung aufmerksam machen, leisten hier wertvolle Dienste.
5. Identifizierung von identitätsbezogenen Diskrepanzen
   Schatten-IT stellt eine weitere Herausforderung dar. Darunter fallen IT-Systeme, auf die Benutzer zugreifen und nicht unter der Kontrolle der Unternehmens-IT stehen. So erstellen manche Benutzer beispielsweise eigene SaaS-Konten und umgehen den Genehmigungsprozess der IT-Abteilung. Solche Benutzerkonten verfügen häufig über zu hohe Berechtigungen, die versehentlich oder gezielt zugewiesen wurden.
   Unerkannte Systeme, Prozesse und Organisationseinheiten,  nicht in das IT-Service-Management einer Organisation eingebunden sind, stellen eine permanente Gefahr für eine IT-Umgebung dar. Solche Diskrepanzen müssen identifiziert und untersucht werden, damit Sicherheitsteams schnell erkennen können, wenn ein Angreifer sich unbefugten Zugang zu einem Netzwerk verschaffen will.

Kombination von IAM, PAM und ITDR

Organisationen sind auf eine hohe „Cyber-Resilienz“ angewiesen. Bei der Abwehr von Risiken und Angriffen kommt es auf die richtlinienkonforme Zuweisung und Konfiguration von digitalen Identitäten an. Dafür ist ein zentraler Überblick über alle Konten, Berechtigungen und privilegierten Zugriffe einer IT-Umgebung erforderlich. Proaktive Risikominderung und frühzeitige Erkennung von Bedrohungen verhindern kompromittierte Identitäten und die Fehlnutzung von Zugangsprivilegien.

Die kontinuierlich wachsenden Herausforderungen für die Identitätssicherheit lassen sich nur mit Tools entschärfen, die für eine höhere Transparenz und Kontrolle von Identitäten und Berechtigungen sorgen, Risiken reduzieren und Bedrohungen frühzeitig erkennen. Neben der Überwachung spezifischer Identitätsangriffsvektoren generiert die BeyondTrust-Lösung Identity Security Insights beispielsweise Empfehlungen und gibt Einblick in die Techniken und Verfahren aktueller Hackerangriffe. ITDR-Systeme ermöglichen einen organisatorischen Wandel, der veränderte Sicherheitsanforderungen für digitale Identitäten und Zugriffe in den Blick nimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 20.06.2024
CyberArk-Studie dokumentiert hohe Zahl identitätsbezogener Angriffe

[datensicherheit.de, 24.01.2025] Sysdig, Anbieter von Echtzeit-Sicherheitslösungen für die Cloud, gab kürzlich die Veröffentlichung von Stratoshark bekannt, einem Open-Source-Tool, das die granulare Netzwerktransparenz von Wireshark auf die Cloud ausweitet und Anwendern einen standardisierten Ansatz für die Analyse von Cloud-Systemen bietet. Seit 27 Jahren hilft Wireshark Anwendern bei der Analyse des Netzwerkverkehrs und der Fehlerbehebung – mit mehr als 5 Millionen täglichen Nutzern und über 160 Millionen Downloads allein in den letzten zehn Jahren. Mit der Umstellung der Unternehmen auf die Cloud fehlte Ingenieuren und Analysten jedoch ein vergleichbares Open-Source-Tool. Stratoshark biete tiefe Einblicke in die Cloud und helfe bei der Analyse und Fehlerbehebung von Cloud-Systemaufrufen und -Protokollen mit einer Granularität und einem Workflow, der langjährigen Wireshark-Anwendern vertraut ist, so Sysdig.

Qualifizierte Cybersicherheitsexperten gesucht

Mit der zunehmenden Umstellung ist die Cloud-Sicherheit mit einer großen Qualifikationslücke konfrontiert. Als einer der am schnellsten wachsenden Bereiche der digitalen Transformation fehlen fast 5 Millionen qualifizierte Cybersicherheitsexperten [1], und fast 40 Prozent der Befragten des O’Reilly-Berichts „State of Security“ 2024 stellten fest, dass Cloud Computing ein Bereich ist, in dem mehr Fähigkeiten benötigt werden, die aber immer schwerer zu finden sind [2]. Durch die Kombination der Funktionalität von Wireshark mit dem tiefen Einblick in den Betrieb von Open Source Falco – dem Standard für Cloud-native Bedrohungserkennung mit über 130 Millionen Downloads – erschließt Stratoshark einen umfassenden Cloud-Kontext und hilft Netzwerkanalysten und -administratoren, ihre Erfahrungen direkt in die Cloud zu übertragen.

„Wireshark hat die Netzwerkanalyse revolutioniert, indem es die Paketerfassung demokratisiert hat. Dieses Konzept wurde von Sysdig auf Cloud-native Workloads übertragen und von Falco auf Cloud Runtime Security ausgeweitet“, erklärt Gerald Combs, Miterfinder von Stratoshark und Wireshark und Leiter der Open-Source-Projekte von Sysdig. „Wireshark-Benutzer leben nach dem Motto ‚pcap oder nichts passiert‘, aber bis jetzt war es nicht einfach oder sogar unmöglich, Cloud-Pakete zu erfassen. Stratoshark hilft dabei, dieses Niveau an Transparenz zu erreichen, indem es Netzwerkexperten ein vertrautes Tool an die Hand gibt, das Systemaufrufe und Log-Analysen für die Cloud so zugänglich und transformativ macht, wie es Wireshark für die Analyse von Netzwerkpaketen war.“

Das Erbe der Innovation weiterführen

Mit der Verlagerung von Unternehmen in die Cloud, wo Arbeitslasten verteilter, dynamischer und kurzlebiger sind als in traditionellen Umgebungen, ist die Sichtbarkeit von Aktivitäten auf Systemebene zunehmend fragmentiert. Stratoshark überbrückt nahtlos die Lücke zwischen der Analyse von Netzwerkpaketen und moderner Cloud-nativer Sicherheit und bietet eine Open-Source-Lösung mit umfassenden Beobachtungsmöglichkeiten, verbesserter Erweiterbarkeit und erhöhter Zugänglichkeit für Entwickler.

Wireshark wurde im Wesentlichen entwickelt, um die Überwachung und Sicherheit traditioneller lokaler Netzwerke zu unterstützen, und viele erfahrene Netzwerkexperten haben lange nach einer modernen Anwendung für ihr Fachwissen gesucht. Stratoshark nutzt die Falco-Bibliotheken, -Repositories und -Plugins und kombiniert tiefe Cloud-Transparenz mit der vertrauten Wireshark-Funktionalität. Stratoshark ist die nächste Generation in einer Reihe von Open-Source-Tools, die den Sicherheitsstandard gesetzt haben, indem sie komplexe Untersuchungen vereinfachen, die Reaktion auf Vorfälle beschleunigen und Netzwerkexperten in die Lage versetzen, ihre Fähigkeiten in die Cloud zu verlagern.

„Mit Stratoshark bringen wir die bewährten Prinzipien von Wireshark in die Komplexität moderner Umgebungen“, so Loris Degioanni, Gründer von Sysdig, CTO, Mitentwickler von Stratoshark und Wireshark sowie Entwickler von Falco. „Durch die Kombination der umfassenden Netzwerktransparenz von Wireshark mit der Cloud-nativen Echtzeitsicherheit von Falco können Stratoshark-Teams Cloud-Ereignisse, Protokolle und Systemaufrufe mit Open-Source-Zugriff besser verstehen“.

Weitere Informationen zum Thema:

[1] ISC2, „2024 ISC2 Cybersecurity Workforce Study„, September 2024.

[2] O’Reilly, „The State of Security in 2024”, Oktober 2024.

[datensicherheit.de, 07.01.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness-Webinar“ mit dem thematischen Schwerpunkt „IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“ ein:

Abbildung: it’s.BB e.V.

Einladung des it’s.BB e.V. zum 15. Januar 2025

Wichtigste Aspekte der IT-Sicherheit bei Implementierung „cloud“-basierter und hybrider Geschäftsprozesse

In diesem Web-Seminar sollen die wichtigsten Aspekte der IT-Sicherheit bei der Implementierung von „cloud“-basierten und hybriden Geschäftsprozessen beleuchtet werden.

Erörtert werden demnach bewährte Methoden zur Risikominderung, Datenschutzmaßnahmen und Strategien zur Gewährleistung der „Compliance“ unter Berücksichtigung von Regularien wie ISO 27001 und BSI C5.

Zudem sollen praktische Tipps zur erfolgreichen Integration und Verwaltung von „Cloud“- und Hybridlösungen vorgestellt werden.

„IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“

Web-Seminar am Mittwoch, dem 15. Januar 2025 von 16.00 bis 17.00 Uhr
in Kooperation mit der IHK Berlin
Teilnahme kostenlos – Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

• Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG
• Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Einführung
• „Grundlagen der IT-Sicherheit in Cloud- und hybriden Umgebungen“
• „Risikobewertung und Bedrohungsanalyse“
• „IT-Sicherheitskonzept: Verantwortlichkeiten, Sicherheitsstrategien und Maßnahmen“
• „Compliance und Regularien“
• „Datenschutz und Datensicherheit“
• „Praktische Tipps zur Integration und Verwaltung“
  Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen

[datensicherheit.de, 20.12.2024] Das „Unit 42“-Team von Palo Alto Networks hat nach eigenen Angaben eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt: „Die Kampagne zielte darauf ab, ,Microsoft Azure Cloud’-Zugangsdaten zu stehlen und die ,Cloud’-Infrastruktur der Opfer zu übernehmen.“ Sie habe der Untersuchung nach im Juni 2024 begonnen und betreffe mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.

Die wichtigsten Erkenntnisse der „UNIT 42“ zur HubPhish-Kampagne:

• Diese Phishing-Kampagne habe im Juni 2024 begonnen und sei im September 2024 noch aktiv gewesen.
• Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung stehen demnach im Fokus der Angriffe.
• „Die Phishing E-Mails enthielten entweder eine angehängte ,Docusign’-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten ,HubSpot Free Form Builder’-Links führte.“
• Die Angreifer hätten Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur eingesetzt, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden.
• „HubSpot“ sei bei dieser Phishing-Kampagne nicht angegriffen worden und die „Free Form Builder“-Links seien nicht über die „HubSpot“-Infrastruktur an die Betroffenen übermittelt worden.

Weitere Informationen zum Thema:

UNIT 42
Business Email Compromise / Effective Phishing Campaign Targeting European Companies and Institutions

[datensicherheit.de, 05.12.2024] Zwischen 2023 und 2024 sollen laut einer aktuellen Studie 79 Prozent der Finanzeinrichtungen weltweit mindestens einen Cyber-Angriff identifiziert haben (2023: 68%). Hierzulande berichtete die BaFin über 235 Meldungen schwerwiegender IT-Probleme im Jahr 2023 – fünf Prozent davon gingen auf die Kappe von Cyber-Angreifern. Tiho Saric, „Senior Sales Director“ von Gigamon, erörtert in seiner aktuellen Stellungnahme, „welchen Risiken sich der Finanzsektor im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die ,Cloud’ stellen muss“.

Foto: Gigamon

Tiho Saric warnt: Vor allem der laterale „Ost-West-Traffic“ ist ein beliebter Angriffsvektor für Cyber-Kriminelle!

Finanzsektor beliebtes Ziel für einzelne Cyber-Akteure, Gruppierungen sowie „Nation State“-Angreifer

Der Finanzsektor sei ein beliebtes Ziel für einzelne Cyber-Akteure, Gruppierungen sowie sogenannte Nation-State-Angreifer. Saric erläutert: „Grund dafür sind nicht nur all die sensiblen Informationen, mit denen Banken und Fintechs tagtäglich arbeiten, sondern auch die zunehmende Vernetzung der Branche.“

So habe die Mehrheit deutscher Verbraucher im letzten Jahr – 2023 – zwar noch immer die Barzahlung (51%) bevorzugt, kontakt- und bargeldlose Transaktionen hätten allerdings zugenommen. „In 27 Prozent der Bezahlvorgänge nutzen sie Debit; mobiles Bezahlen verdreifacht sich auf sechs Prozent.“

Obwohl unter anderem das BSI und die BaFin neue Standards und Richtlinien zum Schutz der Informationssysteme herausgäben, bleibe die systemische Vernetzung des Finanzsektors eine Herausforderung. Dies zeigten die jüngsten Angriffe auf Branchenvertreter wie die Postbank und Deutsche Bank oder DG Immobilien Management (Immobilientochter der DZ-Bank).

Über den „Seiteneingang“: Cyber-Kriminelle schleichen sich ein

Saric berichtet: „Diese Entwicklung wurde in den vergangenen Jahren vor allem durch den Erfolg von Fintechs befeuert, die von Grund auf digitaler denken und vornehmlich auf ,Cloud’-Infrastrukturen sowie SaaS-Banking-Lösungen setzen.“ Dies zwinge traditionelle Finanzeinrichtungen dazu, mitzuhalten und stärker in ihre Digitalisierung – einschließlich moderner Public-, Private-, Hybrid- und Multi-„Cloud“-Umgebungen – zu investieren. „Zwar bietet ihnen das unter anderem mehr Flexibilität und eine schnellere ,Time-to-Market’, gleichzeitig wächst dadurch aber auch das Sicherheitsrisiko.“

Vor allem der sogenannte laterale Ost-West-Traffic sei ein beliebter Angriffsvektor für Cyber-Kriminelle. „Dabei machen sie Schwachstellen in der Verteidigung ausfindig, verschaffen sich Zugang zu anfälligen ,Cloud’-Hosts und bewegen sich dann seitlich durch das Netzwerk von Host zu Host, um den besten Ort zu finden, wo sie sich unentdeckt einnisten können. Solche Orte werden auch als ,Blind Spots’ bezeichnet.“ Dort verharrten sie nicht selten monatelang, machten sich mit ihrer Umgebung vertraut und planten die beste Strategie für den eigentlichen Angriff.

Viele Unternehmen gingen davon aus, dass „Cloud“-Anbieter auf ihren Plattformen „bereits ausgiebig für Sicherheit vor solch ausgeklügelten Angriffstaktikten sorgen und implementieren die für ihren Schutz notwendigen Kontrollen und Tools nicht oder selten“. Aufgrund dessen hätten viele von ihnen „auf die harte Tour lernen“ müssen, dass ihnen ein beträchtlicher Teil der Verantwortung selbst obliege.

Klassische Cyber-Sicherheitslösungen des Finanzsektors reichen schon lange nicht mehr aus

Wie die meisten Unternehmen sähen sich auch die IT-Abteilungen von Finanzeinrichtungen einer IT-Landschaft gegenüber, welche immer weiterwachse und sich zunehmend verteile. „Folglich steigen die Komplexität sowie das Risiko der ,Blind Spots’, je mehr Daten und Anwendungen sich an verschiedenen Orten befinden.“

Die klassischen Sicherheitslösungen des Finanzsektors reichten für eine solche Umgebung schon lange nicht mehr aus. In den meisten Fällen seien sie veraltet – „und wurden ursprünglich für eine lokale Netzwerkumgebung entwickelt“. Außerdem führten sie oftmals nur MELT-Monitoring (metrik-, event-, log- und tracebasiert) durch. „Doch MELT sind manipulierbar, weshalb eine zweite ,Source of Truth’ unerlässlich ist. Hier kommt ,Deep Observabiltiy’, die bis zur Netzwerkebene reicht, ins Spiel und gemeinsam mit MELT ein sicheres Netzwerkpaket bildet.“ Denn Finanzeinrichtungen müssten insbesondere einen Weg finden, ihren „Ost-West-Traffic“ genauso wie den in „Nord-Süd-Richtung“ zu beobachten, zu analysieren und zu schützen.

Saric betont abschließend: „Nur wer seinen Netzwerkverkehr– sowohl innerhalb der lokalen als auch in der ,Cloud’-Umgebung – vollständig einsehen kann und dieses Wissen mit MELT-basierten Informationen anreichert, kann ,Blind Spots’ beseitigen. Ausgestattet mit fortschrittlichen Monitoring-Lösungen, die diese Sichtbarkeit bis hinunter auf Netzwerkebene gewährleisten, erreichen Finanzeinrichtungen ein hohes Sicherheitsniveau, das es ihnen erlaubt, auf eine digitale Zukunft mit der ,Cloud’ zuzusteuern.“

Weitere Informationen zum Thema:

FONDS professionell ONLINE, 11.07.2024
Bafin: Risiko für Cyberangriffe bei Banken ist hoch

RHEINISCHE POST, Martin Kessler, 23.06.2024
Cyberattacke Volksbanken-Kunden wurden Opfer von Hackern

netwrix, 01.05.2024
Netwrix Annual Security Survey: 79% of Organizations Spotted a Cyberattack within the Last 12 months, up from 68% in 2023

tagesschau, 11.07.2023
Hacker-Angriff / Daten von Tausenden Bankkunden abgegriffen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

[datensicherheit.de, 14.09.2024] „Das eBook behandelt die wichtigsten ,Cloud’-Sicherheitsprinzipien, einschließlich Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse zur Verbesserung ihrer Sicherheit“, erläutert Frank Kim, „SANS Fellow“ und „Cloud Curriculum Lead“, in seiner aktuellen Stellungnahme.

Foto: SANS Institute

Frank Kim: Sicherheitsteams müssen sich auf die Feinheiten konzentrieren, wie diese Konzepte auf ihre spezifischen ,Cloud’-Anbieter anzuwenden sind!

„Cloud“-Sicherheit gewinnt weiter an Bedeutung

„Cloud“-Sicherheit gewinne weiter an Bedeutung – und die Nachfrage nach fachkundiger Beratung sowie umsetzbaren Erkenntnissen sei noch nie so groß gewesen. Um dieser Nachfrage gerecht zu werden, freut sich das SANS Institute nach eigenen Angaben, sein neuestes eBook „Cloud Security: First Principles and Future Opportunities“ zu veröffentlichen. Dieses wurde demnach zusammen mit Experten von „Amazon Web Services“ (AWS), „Google Cloud“ sowie „Microsoft Azure“ verfasst und steht ab sofort zum Download zur Verfügung.

Das eBook soll laut Kim Sicherheitsexperten, „Cloud“-Architekten und Führungskräften wichtige Einblicke in Schlüsselthemen wie Identitätsmodernisierung, Secure-by-Design-Prinzipien und die Auswirkungen von generativer KI auf die „Cloud“-Sicherheit bieten.

Fachwissen führender „Cloud“-Anbieter mit jenem unabhängiger SANS-Experten kombiniert

Das Besondere an dieser Ressource sei das „einzigartige Autorenteam“, welches das Fachwissen führender „Cloud“-Anbieter mit dem unabhängiger Experten von SANS kombiniere, um einen ausgewogenen, praktischen Ansatz zu bieten – „der den Lesern hilft, ihre ,Cloud’-Sicherheitsstrategien zu stärken und den sich entwickelnden Bedrohungen über verschiedene Plattformen hinweg einen Schritt voraus zu sein“.

Kim kommentiert: „Wir befinden uns noch in der Anfangsphase der Einführung von ,Cloud Computing’ in Unternehmen. Während sich die Technologie weiterentwickelt und neue Dienste eingeführt werden, müssen die Sicherheitsteams wachsam bleiben!“ Er betont: „Dies ist der Tag 1 der ,Cloud’-Sicherheit, und dieses eBook wird Unternehmen dabei helfen, die vor ihnen liegende Komplexität zu bewältigen, indem es praktische Anleitungen für die Navigation durch die neuen Technologien bietet.“

Die wichtigsten Erkennnisse des eBooks laut KIM:

Trends in der „Cloud“-Nutzung:
Das eBook stelle fest, dass mehr als die Hälfte der Workloads in Unternehmen derzeit in öffentlichen „Clouds“ gehostet würden und dass diese Zahl in den nächsten drei Jahren voraussichtlich um 45 Prozent steigen werde. Mit der zunehmenden Verbreitung der „Cloud“ werde die Bedeutung der „Cloud“-Sicherheit immer wichtiger, insbesondere in Bereichen wie Identitätsmanagement und Datensicherheit.

Identitätsmodernisierung:
Ein wichtiges Thema dieses eBooks sei die Bedeutung von „Zero Trust“ und „Conditional Access Controls“ für den Schutz von „Cloud“-Umgebungen. Die Autoren betonen, „dass Identitätsmissbrauch nach wie vor eine der größten Schwachstellen darstellt und Unternehmen moderne Identitätslösungen einsetzen müssen, um den unbefugten Zugriff auf sensible Daten zu verhindern“.

„Generative AI Security“:
Das eBook befasse sich auch mit der zunehmenden Integration von sogenannter Generativer AI (GenAI) in „Cloud“-Plattformen und den damit verbundenen Sicherheitsrisiken. Es biete Strategien zur Entschärfung von Bedrohungen wie Datenvergiftung und unbefugtem Zugriff auf KI-Systeme. Diese Inhalte seien unverzichtbar für Unternehmen, welche „eine sichere Integration von KI in ihren Betrieb planen“.

Prinzipien der „Cloud“-Sicherheit universell wichtig – Details der Umsetzung variieren indes

Mit Blick auf die rasanten Veränderungen im Bereich der „Cloud“-Sicherheit ergänzt Kim: „Die Erkenntnisse führender ,Cloud’-Sicherheitsexperten zeigen, dass die Prinzipien der ,Cloud’-Sicherheit – wie ,Secure by Design’ und Identitätsmodernisierung – zwar universell wichtig sind, die Details der Umsetzung jedoch variieren. Sicherheitsteams müssen sich auf die Feinheiten konzentrieren, wie diese Konzepte auf ihre spezifischen ,Cloud’-Anbieter anzuwenden sind.“

Diejenigen, die ihre „Cloud“-Sicherheitsstrategien stärken und einen Schritt voraus sein wollen, könnten das eBook herunterladen (s.u.). Wer tiefer in das Thema „Cloud“-Sicherheit eintauchen und zusätzliche Einblicke gewinnen möchte, könne sich auch die Aufzeichnung der Veranstaltung „Cloud Security Exchange 2024“ ansehen (s.u.), „auf der führende Experten von ,AWS’, ,Microsoft Azure’, ,Google Cloud’ und ,SANS’ wichtige Trends und Strategien diskutierten“.

Weitere Informationen zum Thema:

SANS, SANS Whitepaper
SANS Cloud Security Exchange 2024 eBook – Cloud Security: First Principles and Future Opportunities

SANS, Webcasts
SANS Cloud Security Exchange 2024 / Tuesday, 27 Aug 2024 15:00 UTC) / Speaker: Frank Kim

[datensicherheit.de, 06.09.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu seinem nächsten „Awareness“-Web-Seminar am 18. September 2024 ein – der Schwerpunkt liegt IT-Sicherheitsstrategien bei „cloud“-basierten und hybriden Geschäftsprozessen:

Abbildung: it’s.BB e.V.

Das IT-Sicherheitsnetzwerk Berlin-Brandenburg in Kooperation mit der IHK Berlin laden zum Web-Seminar am 18. September 2024 ein

IT-Sicherheit bei Geschäftsprozessen – Risikominderung, Datenschutz und Compliance

In diesem Online-Vortrag sollen demnach die wichtigsten Aspekte der IT-Sicherheit bei der Implementierung von „cloud“-basierten und hybriden Geschäftsprozessen beleuchtet werden:

„Wir erörtern bewährte Methoden zur Risikominderung, Datenschutzmaßnahmen und Strategien zur Gewährleistung der Compliance unter Berücksichtigung von Regularien wie ISO 27001 und BSI C5.“ Zudem sollen praktische Tipps zur erfolgreichen Integration und Verwaltung von „Cloud“- und Hybridlösungen vorgestellt werden.

IT-Sicherheit: Grundlagen und Konzepte

Dieses Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

„IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“
Mittwoch, 18. September 2024, 16.00 bis 17.00 Uhr
Teilnahme kostenlos – Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Einführung
• Grundlagen der IT-Sicherheit in Cloud- und hybriden Umgebungen
• Risikobewertung und Bedrohungsanalyse
• IT-Sicherheitskonzept: Verantwortlichkeiten, Sicherheitsstrategien und Maßnahmen
• Compliance und Regularien
• Datenschutz und Datensicherheit
• Praktische Tipps zur Integration und Verwaltung

– Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG

16.45-17.00 Uhr Fragen / Diskussion / Abschlus

Online-Anmeldung:

eventbrite, it’s.BB
Mittwoch, 18. September / IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen