[En]Spannende Geschichte: Alles drängt ja (zumindest gefühlt) hinein in die Cloud. Aber die deutschen Unternehmen, die bereits in der Cloud sind, sehen sich gravierenden Sicherheitsproblemen gegenüber. Sicherheitsanbieter Tenable hat genauer hingeschaut und seinen 2024 Cloud Security-Ausblick veröffentlich. Kurzfazit: Die meisten IT-Manager planen zwar, die Cloud-Umgebungen des Unternehmens im nächsten Jahr zu erweitern. Es knirscht aber an der Umsetzbarkeit, da die Verantwortlichen mangelndes Know-How als Hindernis für den Cloud-Umstieg identifiziert haben. Brisante Aussage: Beinahe jedes dritte der befragten deutschen Unternehmen war im vergangenen Jahr von drei bis vier Cloud-Breaches betroffen.
Anzeige
Tenable 2024 Cloud Security Outlook
Sicherheitsanbieter Tenable hat bereits im Juni 2024 seinen Cloud Security Report mit dem Titel 2024 Cloud Security Outlook: Navigating Barriers and Setting Priorities vorgestellt.
- Die meisten IT-Manager (97 Prozent) planen, ihre Cloud-Umgebungen im nächsten Jahr zu erweitern. Aber es gibt für dieses Vorhaben Hindernissen, denn
- 39 Prozent der befragten Cloud-Security-Verantwortlichen nennen mangelndes Know-how als Hindernis bei der Implementierung neuer Cloud-Security-Lösungen.
- Darüber hinaus sind 28 Prozent der Befragten der Meinung, dass eines der größten Risiken für ihre Cloud-Infrastruktur inzwischen von außerhalb des Unternehmens ausgeht – und zwar von Drittanbietern.
Tenable sieht zwar eine zunehmende Akzeptanz für den Gang in die Cloud. Aber die obigen Zahlen machen deutlich, dass die Unternehmen sowohl intern als auch extern vor ernsthaften Sicherheitsherausforderungen stehen.
"In der heutigen digitalen Landschaft stürzen sich Unternehmen geradezu auf Cloud-Technologien – bei der Fülle an Vorteilen kein Wunder. Unsere jüngsten Ergebnisse zeigen jedoch, dass sage und schreibe 99 Prozent der Unternehmen derzeit mit mangelndem Know-how im Bereich Cloud Infrastructure Security zu kämpfen haben", so Bernard Montel, EMEA Technical Director und Security Strategist bei Tenable. "Unter IT-Verantwortlichen geht der Trend ganz klar in Richtung Cloud-Expansion. Dabei sind Unternehmen angesichts der alarmierenden Häufigkeit von Breaches und der identifizierten Risiken – etwa durch Drittanbieter in der Lieferkette – gut beraten, verstärkt in Schulungen und Ressourcen zu investieren. Qualifikationslücken zu schließen, ist entscheidend, wenn es darum geht, die Cloud-Sicherheit zu verbessern und mit der dynamischen Bedrohungslandschaft Schritt zu halten."
Im Hinblick auf die Häufigkeit von Cloud-Breaches kommt der neue Tenable-Report zu dem Ergebnis, dass beinahe jedes dritte deutsche Unternehmen (32 Prozent) allein im letzten Jahr von drei bis vier Cloud-Breaches betroffen war. Dies unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cloud-Security auf ein robustes Fundament zu stellen und in das notwendige Know-how zu investieren, um ihre digitalen Assets effektiv zu schützen – zumal IT-Manager ihre Infrastruktur erweitern und mehr Assets in die Cloud verlagern.
Anzeige
Der vollständige Tenable Cloud Security Outlook Report 2024 kann hier heruntergeladen werden.
Anzeige
Da nutzt auch kein Know How, da Cloud schon konzeptmässig ein SuperGAU ist!
Nichts absolut nichts was unter fremder Kontrolle ist, ist für mich als Firma sicher!
Cloud; nicht meine Hardware, nicht unter meiner Kontrolle, nicht sicher. real simple!
Deswegen gilt: lasst sie bluten!
Stimmt, wenn eine 8 Mann/Frau Kleinstbetrieb sich einen Mailserver hinstellt, damit sie die volle Kontrolle haben ist das natürlich besser und sicherer. Dass der Mailserver als Spamschleuder missbraucht wird und in diversen Botnetzen mitwirkt interessiert nicht.
ach ne immer diese Unterstellungen, nur weil ein Betrieb klein ist müsen die Leute also unfähig sein?
nen Webserver für nen 8 Mann Betrieb ist definitv einfacher zu warten, da weniger komplex!
Das wird nicht mehr besser werden.
Wo soll denn heute ein Auszubildender Know-How herbekommen, wenn er selbst nie etwas gemacht hat und der Betrieb das meiste in der Cloud hat? Rumklicken in irgendwelchen Weboberflächen ohne zu erkennen was da im Hintergrund passiert.
D.h. die Menge der Leute, die irgendetwas beurteilen können, wird immer weniger werden. Und beim Cloud-Anbieter selbst kennen die Leute natuerlich auch nur das eigene System und durch die zunehmende Komplexität werden sich hier auch die Fehler häufen, da die Neuen die Zusammenhänge nicht mehr verstehen.
Ich beobachte seit vielen Jahren mit Sorge, wie das Bildungssystem in diesem Land immer weiter degeneriert.
Man kann viel über die DDR sagen (etliche Kritik ist berechtigt) aber das Bildungssytem – abseits der politischen Indoktrination – war top.
Das Schüler einfach nicht hingehen weil sie keine Lust auf Schule haben gab es nicht (da setzte es staatliche Repressionen) und schwachen Schülern wurde automatisch ein starker Schüler zur Nachhilfe zur Seite gestellt.
Auch bei den chinesischen Kollegen, mit denen ich zu tun habe (Techniker, das mag jetzt keine repräsentative Auswahl sein) haben durchweg eine hohe Allgemeinbildung, wissen wer Mozart ist und wovon Goethes Faust handelt, spielen Schach und mindestens ein Instrument und kennen sich natürlich in ihrem Fachgebiet nebst Grundlagen wie Mathematik und Elektrotechnik aus.
Ähnliches übrigens bei den Kollegen aus Osteuropa wie etwa unserer ungarischen Niederlassung.
In Deutschland dagegen sind etliche von den Jüngeren schon mit simplen Grundrechenarten (geht nun Punkt- vor Strichrechnung?) überfordert, auch wenn Sie geschickt werden um Dir was zu verkaufen oder wenigstens zu präsentieren.
Es hat schon seinen Grund, warum inzwischen etliche Innovation (aktuell zum Beispiel im Bereich künstlicher Intelligenz und Large Language Models) in China inzwischen Lichtjahre enteilt und uneinholbar sind.
Europas Antwort darauf (Protektionismus) führt (wie man aktuell am Beispiel Huawei sehen kann) nicht nur zu deutlich höheren Kosten für die Entwicklung "westlicher" Lösungen, sondern z.t auch zu jahrelangem Verzug.
Ich denke Europa wird sich immer mehr in die Konsumentenrolle begeben und Technologien anderer Nationen nutzen ohne selbst die Kompetenz zu haben, diese auch nur "unter der Haube" zu verstehen geschweige denn etwas vergleichbares auf die Beine stellen zu können.
Von Oben wird eine Cloud Umsetzung zwangsbefohlen, der Admin kämpft dagegen an, verliert diesen Kampf aber langfristig.
Irgendein Dienstleister, der schon die ganze Zeit das blaue vom Himmel verspricht und die obere Etage in ihrer Richtung bestärkt, wird dem Admin zur Seite gestellt damit das Projekt umgesetzt werden kann.
Der Dienstleister prügelt die Umsetzung durch und hinterher steht der Admin alleine da, mit 1000 Einstellmöglichkeiten und keinem Plan wie zum Teufel man das hier jetzt absichern soll.
Beispiel M365:
Irgendwann findet man mal die Login Protokolle und stellt fest das tausende von Fehlanmeldungen aus dem Ausland protokolliert sind. Der Dienstleister macht es sich einfach -> Grundsätzlich 2FA aktivieren. (ist ja auch richtig, wurde bei er Ersteinrichtung aber erstmal ausgeklammert, ein Schelm wer sich böses dabei denkt)
Die Mitarbeiter sagen (zurecht), warum soll ich eine 2FA App auf dem Privathandy installieren um auf meine Firmenmails zuzugreifen?
Von Oben heisst es, wir können jetzt doch nicht jedem Mitarbeiter eine Diensthandy zur Verfügung stellen! (aber eigentlich war die Nutzung des Privathandys bis dahin eh während der Arbeitszeit verboten)
Der Dienstleister hält sich raus und der Admin bekommt Schweissausbrüche angesichts der Anzahl der Loginversuche pro Tag. Daher schränkt man schon mal den Login per Whitelist auf relevante Ländern ein. Dann heisst es aber plötzlich, Mitarbeiter XY ist im Urlaub und er braucht Zugriff auf seine Mails, leider steht sein Urlaubsland nicht auf der Whitelist…
Es ist ganz klar das der Verwaltungsaufwand in der Cloud steigt und damit auch die Verantwortung. Cloud first und Sicherheit passen einfach nicht zusammen.
+1
Ein Spiegel unserer Gesellschaft.
Auch Behörden haben in den letzten Jahren viel an ihrer Leistungsfähigkeit durch immer komplexer werdende, verkopfte und sich gegenseitig behindernde Prozesse eingebüßt, wodurch z.B. größere Infrastruktur-Bauprojekte (Bahn) quasi zu Generationenaufgaben werden, bis man sie umsetzen kann.
Ein Teil wird durch die Leute selbst hereingetragen (Managementprozesse, der Drang sich abzusichern statt eine Entscheidung zu treffen), aber auch von außen (ich habe z.B. regelmäßig Fragebögen zur IT-Sicherheit auf dem Tisch, bei denen ich die Hälfte der Punkte am liebsten mit "Kein Angabe, da Geschäftsgeheimnis" beantworten würde). Im allgemeinen Einkauf ist es noch viel schlimmer, man muß jeder Schraube inzwischen nach Konfliktmineralien, Klimaneutralität oder fairen Arbeitsbedingungen hinterher recherchieren.
Ja, auch die Bereitstellung eines Diensthandys ist inzwischen (steuerlich, datenschutztechnisch, arbeitsrechtlich) sehr komplex.