Sicherheitsregeln für verarbeitete Daten in der Cloud
Die häufigste Ursache für Datenlecks sind nicht Softwarefehler oder Hacker, sondern der Fehler liegt bei Administratoren, die entweder vergessen, die Sicherheit zu konfigurieren, oder es falsch machen (was die Aufgabe für Einbrecher erleichtert).
Um das Risiko zu minimieren, lohnt es sich, die folgenden Regeln zu befolgen, unabhängig davon, ob Sie Amazon Web Services, Microsoft Azure oder Google Cloud Platform verwenden.
Denken Sie daran, dass die meisten Kriminellen anfällige Systeme finden, die falsch konfiguriert sind, und dann angreifen.
Viele Unternehmer sind bestrebt, Multi-Cloud-Lösungen, also Cloud-Dienste verschiedener Anbieter, zu implementieren, was ihre Systeme weniger transparent und schwieriger zu verwalten macht. Dies wiederum schafft mehr Möglichkeiten, einen schwerwiegenden Konfigurationsfehler zu begehen, dessen sie sich selbst nicht vollständig bewusst sind.
Um die Datenverarbeitung in der Cloud abzusichern, lohnt es sich, einige Grundregeln zu beachten:
- 1. Wissen und Verantwortung
Unabhängig von der verwendeten Lösung ist allein der Unternehmer für deren Sicherung verantwortlich. Er hat die volle Kontrolle über die Infrastruktur – Software, Daten- und Anwendungskonfiguration, Zugangskontrolle und Authentifizierung. Der Unternehmer hat die Umsetzung und Anwendung eines ausreichend hohen Datenschutzniveaus sicherzustellen.
- 2. Zugangskontrolle
Eines der größten Probleme bei der Nutzung von Cloud-Diensten ist die versehentliche Freigabe von Unternehmensressourcen für die Öffentlichkeit. Es lohnt sich, über die Möglichkeit nachzudenken, Tools zu verwenden, mit denen Sie ein schnelles Audit durchführen und überprüfen können, was genau (und wem) zur Verfügung gestellt wurde. Ein weiterer Fehler besteht darin, zuzulassen, dass SSH-Verbindungen direkt aus dem Internet hergestellt werden – was es unbefugten Benutzern ermöglicht, Lücken und Fehler in der Konfiguration von Cloud-Diensten zu finden und auszunutzen.
- 3. Datenverschlüsselung
Es ist eine grobe Fahrlässigkeit von Administratoren, unverschlüsselte Daten in der Cloud zu speichern. Die Verwendung von Verschlüsselung verhindert, dass Daten gelesen werden – selbst wenn sie durchsickern oder gestohlen werden. Eine bewährte Vorgehensweise besteht darin, zu versuchen, die vollständige Kontrolle über die Verschlüsselungsschlüssel zu behalten, obwohl es nicht immer möglich ist, manchmal ist es notwendig, sie beispielsweise Geschäftspartnern zur Verfügung zu stellen.
- 4. Schutz der Zugangsdaten
Der Unternehmer ist für die Gewährleistung einer ausreichend hohen Sicherheit der Zugangsdaten verantwortlich. Für jede Anwendung, Ressource oder jeden Dienst sollten Sie separate, eindeutige und ausreichend starke Passwörter erstellen und daran denken, diese regelmäßig zu ändern. Dank dessen besteht selbst bei einem Datenleck oder Datendiebstahl eine gute Chance, dass Einbrecher Ihr veraltetes Passwort übernehmen. Es ist auch wichtig, Berechtigungen genau zuzuweisen und Benutzern nur Zugriff auf Ressourcen zu gewähren, auf die sie Zugriff haben sollten. Außerdem sollten Sie das System regelmäßig auf inaktive Benutzerkonten prüfen – und diese gegebenenfalls löschen.
- 5. Multi-Faktor-Authentifizierung
Es lohnt sich, eine Multi-Faktor-Authentifizierung zu verwenden, die die Standardsicherheit durch die Verwendung von Login und Passwort erheblich stärkt. Eine beliebte Art der Multi-Faktor-Authentifizierung ist die zweistufige Verifizierung, die aus zwei Schritten besteht: Eingabe der richtigen Benutzer-ID und des richtigen Authentifizierungspassworts und dann Eingabe eines Codes, auf den nur der entsprechende Kontoinhaber auf einer bestimmten Website zugreifen kann.
- 6. Transparenz
Es empfiehlt sich, Tools zu verwenden, um potenzielle Angriffsversuche, verdächtiges Verhalten, Fehler und andere Anomalien zu identifizieren. Anbieter der gängigsten Cloud-Plattformen bieten Tools an, mit denen Sie die sichere Anmeldung aktivieren sowie fehlgeschlagene / verdächtige Anmeldeversuche überwachen können.
- 7. „Shift-links“ in Sicherheit
Es lohnt sich, die Implementierung von Sicherheitsfunktionen bereits in einem sehr frühen Stadium der Erstellung oder Implementierung einer innovativen Lösung im Unternehmen zu planen – also den „Shift-Left“-Ansatz zu nutzen. Meistens implementiert der Unternehmer jedoch zunächst eine Lösung und fügt ihr erst dann Funktionen und Sicherheitstools hinzu – was für mich aus wirtschaftlicher Sicht rentabel ist.
Previous