Nach leichten Anlaufschwierigkeiten hat sich die Cloud in vielen Bereichen durchgesetzt. Man denke an einfach zu implementierende Cloud-Speicher oder an eine Cloud-Office-Suite wie Microsoft 365, die inzwischen von vielen Firmen genutzt wird. Hinzu kommen komplexere Business-Apps wie Microsoft Dynamics sowie eine Vielzahl von teilweise sehr speziellen Anwendungen, die bei einem der großen Hyperscaler ebenfalls direkt in der Cloud laufen.
Von nur einer Cloud zu sprechen ist daher falsch - die meisten Firmen nutzen Cloud-Anwendungen mehrerer Anbieter, teilweise im Zusammenspiel mit klassischen On-premise-Lösungen. Das macht die Absicherung der IT-Landschaft komplex und aufwändig, müssen doch parallel zur On-premise-Infrastruktur mehrere Cloud-Anwendungen gesichert und überwacht werden.
Besonders kleinere und mittelständische Unternehmen haben dafür weder die Ressourcen noch die Expertise. Trotzdem ist der Schritt in die Cloud richtig, denn zusätzlich zu den Vorteilen fürs Business entfällt dadurch ein guter Teil des Aufwands, der mit dem Betrieb einer eigenen IT-Infrastruktur verbunden ist. Zugleich entfällt damit auch ein Großteil der Angriffsfläche für Hacker.
Jede Cloud-Aktivität hinterlässt ihre Spuren
Dennoch müssen auch Cloud-Anwendungen überwacht werden. Das Problem dabei ist die Datenmenge, die analysiert werden muss. Jede Anwendung protokolliert prinzipiell jede Aktion, die ein Anwender ausführt. Ob ein Nutzer sich einloggt, ob er eine Datei speichert oder eine Buchung ausführt - alles wird in den Logfiles festgehalten. Diese Daten müssen kontinuierlich auf Unregelmäßigkeiten überprüft werden.
Meldet sich ein Nutzer am System an und nur wenige Minuten später an einem weiteren Rechner noch einmal - aber hunderte Kilometer vom ersten Rechner entfernt, sollte eine Sicherheitslösung sofort Alarm schlagen und die Log-Daten an einen Sicherheitsanalysten weiterleiten. Offensichtlich erfolgt dabei einer der beiden Zugriffe durch jemanden, der nicht der legitime Nutzer ist.
Abhilfe schafft eine Cloud-übergreifende Erfassung und ganzheitliche Analyse aller Protokolldateien. Die ist sogar zwingend notwendig: Ein versierter Hacker wird schließlich darauf achten, erstens möglichst wenig Spuren zu hinterlassen und zweitens die entstehenden Spuren auf verschiedene Systeme aufzuteilen. Lösungen, die Log-Daten im Auge behalten und analysieren, werden als "Security Information and Event Management", kurz SIEM bezeichnet.
Cloud-optimierte Security Operations
Wie lassen sich die SIEM-Leistung und -Stabilität erhöhen und gleichzeitig Security-Operations-Kosten senken? Erfahren Sie es in diesem eBook.
Wenn Multi-Cloud zu Multi-Cloud-Security führt
Die Fähigkeit, aus den Unmengen an Daten einen potentiellen Angriff herauszulesen, kann auch aus Compliance-Sicht notwendig sein. Man denke dabei an die DSGVO. Sie schreibt beispielsweise vor, dass Datenschutzverletzungen, die sich im Zusammenhang mit Sicherheitsvorfällen ergeben können, innerhalb von 72 Stunden gemeldet werden müssen. Wer das verpasst, dem droht ein Bußgeld. Ohne ein SIEM-System können Angreifer teilweise monatelang unbemerkt im System herumschnüffeln und beträchtlichen Schaden anrichten.
Ein weiterer Vorteil einer Cloud-basierten Sicherheitsanalyse sind die Kosten. Zwar kann man sich durchaus für eine SIEM-Lösung im Eigenbetrieb entscheiden. Doch erstens sind solche Systeme kostspielig, zweitens braucht ihre Betreuung Fachpersonal mit der entsprechenden Expertise.
Mit einem SIEM-System allein ist es allerdings nicht getan, gerade wenn man die angesprochene Vielzahl von eingesetzten Cloud-Anwendungen betrachtet. Denn die Analyse der Bedrohungslage ist eine Sache, die Abwehr von Angriffen eine andere. Die meisten Cloud-Anbieter setzen für diesen Zweck eigene Sicherheitslösungen ein. Dieser Vielzahl an Tools Herr zu werden, zumal die meisten Unternehmen unter einem eklatanten Mangel an Ressourcen und Expertise leiden, ist fast unmöglich.
Wünschenswert wäre vielmehr ein Dashboard, das über alle Cloud-Anwendungen hinweg, im Idealfall noch unter Einbeziehung etwaiger On-Premise-Applikationen, auf einen Blick eine Übersicht über den Sicherheitsstatus aller Systeme zeigt. Bei Feststellung einer Bedrohung können dann die entsprechenden Maßnahmen eingeleitet werden.
Umfassende Übersicht bei geringen Kosten
Mit Azure Sentinel und Microsoft Defender for Cloud bietet Microsoft genau diese Möglichkeit an. Dabei werden nicht nur alle vorhandenen Cloud- und On-Premise-Anwendungen in die Analyse eingebunden, selbst Endgeräte und die Aktivitäten der Nutzer werden analysiert, um ein ganzheitliches Bild der aktuellen Sicherheitslage zu bekommen. Darüber hinaus lässt sich eine Ende-zu-Ende Sicherheitsstrategie mit Microsoft Purview und Microsoft Priva um die geschäftskritischen Komponenten Compliance und Datenschutz erweitern.
Für die Kunden bedeutet dies zunächst eine enorme Reduzierung der Komplexität sowie eine verbesserte Übersicht. In Kombination mit einem Managed Security Operations Center (SOC) benötigen Kunden nicht mal mehr die Expertise, um Sicherheitslücken und Angriffe identifizieren zu können. Weil die angesprochenen Lösungen in der Cloud direkt einsatzbereit sind, kann die technische Umsetzung und Integration in wenigen Tagen erfolgen.
Eine größere Herausforderung ist es dagegen oft, die entsprechenden Prozesse beim Kunden zu definieren oder überhaupt erst eine eigene Sicherheitsstrategie aufzubauen. Zumal diese Prozesse ebenfalls kontinuierlich angepasst werden sollten, um auf neue Bedrohungen, aber auch auf neue regulatorische Vorgaben reagieren zu können.
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.