Daten und Geschäftsprozesse schützen

Die Sicherheit der Cloud ist ein strategisches Thema

Die Angst vor Cyber-Attacken ist weit verbreitet. Dabei sind nicht nur Konzerne und kritische Infrastrukturen bedroht. Jedes Unternehmen, das cloudbasierte Dienste in Anspruch nimmt, hat ein erhöhtes Risiko. Dazu gehören auch Wohnungsunternehmen und Hausverwaltungen.

1105
Die Auslagerung von Unternehmensdaten in externe Rechenzentren (Cloud-Lösungen) erfordert eine besondere Sicherheitsphilosophie im Hause des Kunden. Bild: peopleimages.com / stock.adobe.com
Die Auslagerung von Unternehmensdaten in externe Rechenzentren (Cloud-Lösungen) erfordert eine besondere Sicherheitsphilosophie im Hause des Kunden. Bild: peopleimages.com / stock.adobe.com

Dabei haben solche Attacken unterschiedliche Folgen – von Imageschäden über Umsatzeinbußen und den Verlust geschäftskritischer Daten bis hin zu Beeinträchtigungen der Arbeitsprozesse oder gar dem kompletten Stillstand des Unternehmens. Darum gilt es, sich mit Cloud Security zu beschäftigen und ein Verständnis der Thematik zu erwerben.

Daten bleiben ungeschützt

Sind Hacker erst einmal in die IT-Infrastruktur eingedrungen, dauert es rund 100 Tage, bis dies auffällt. Drei Monate, in denen Cyber-Kriminelle großen Schaden anrichten können. Dabei geht mancher Hacker sehr subtil vor, etwa indem er Bilder ein klein wenig manipuliert oder vermeintlich unbedeutende Informationen abgreift. Unabhängig von den Folgen eines solchen Angriffs ist es Fakt: Viele Hausverwaltungen und Wohnungsunternehmen schützen ihre Systeme, Daten und Geräte in der Cloud nicht, weil sie sich der Problematik nicht bewusst sind. Was also ist zu tun, damit die Cloud-Migration nicht zum Sicherheitsrisiko wird?

Individuell anpassbare Standard-Lösungen nutzen

Wer die Lösungen der etablierten Cloud-Anbieter nutzt, ist auf dem richtigen Weg. Sie bieten bereits im Standard viele Tools und Konfigurationsmöglichkeiten, mit denen sich ein gutes Maß an Cloud Security sicherstellen lässt. Wer sie darüber hinaus individuell anpassen oder generell Cloud-Lösungen entwickeln lässt, sollte einen spezialisierten Dienstleister beauftragen, der den Infrastructure-as-Code-Ansatz (IaC) verwendet. Dies erlaubt, sicherheitsrelevante Features direkt im Quellcode zu hinterlegen und abgesicherte Infrastruktur-Templates für weitere Zwecke zu duplizieren.

Daneben müssen Wohnungsunternehmen und Hausverwaltungen jegliche Daten und Systeme in der Cloud lückenlos inventarisieren: Welche Plattformen gibt es? Wer ist verantwortlich? Wer administriert welche Plattform? Welche Daten gelangen auf welche Plattform? Woher kommen sie? Wohin fließen sie? Wie? Und warum?

Cloud Security als Geschäftsprozess begreifen

Den aktuellen Status aller Cloud-Anwendung zu kennen, ist eine grundlegende Voraussetzung, um Cloud-Sicherheit als Business-Prozess verstehen zu können. Als Prozess, der mit Bedacht modelliert, mit Metriken gesteuert, mit Tools überwacht und kontinuierlich optimiert sein will. Zum Prozessmanagement gehören auch regelmäßige Audits. Während dies bei internen Firmen-Netzwerken üblicherweise im Jahresrhythmus geschieht, lassen sich externe cloudbasierte Anwendungen täglich oder gar stündlich im Hinblick auf etwaige Sicherheitslücken scannen. So sind Schwachstellen kurzfristig identifizier- und effektiv schließbar.

Alles und jeden verifizieren

Im Cloud-Umfeld wirken ältere Schutzmechanismen nicht mehr. So ist etwa eine Firewall völlig ungeeignet, wenn Daten in der Cloud liegen. Stattdessen sind alle Systeme und sämtliche Endgeräte gegen unerlaubte Zugriffe abzusichern (Zero Trust) – insbesondere, wenn Teammitglieder außerhalb des Firmen-Netzwerks im Homeoffice arbeiten. Zero Trust bedeutet: „Vertraue niemandem außerhalb und innerhalb deiner Organisation. Und verifiziere jeden.“

Doch Zero Trust ist keine Lösung, die sich per Knopfdruck freischalten lässt, sondern ein Designprinzip, das individuell umzusetzen ist. Greifen zum Beispiel Mitarbeiter über Firmen-Smartphones auf ihre E-Mail-Postfächer zu, ist das unbedenklich, weil Nutzer und Geräte bekannt sind. Benutzen sie jedoch private Mobilgeräte, ist Vorsicht geboten. Idealerweise gibt es für solche Fälle einen zweiten Faktor, über den sich Mitarbeiter authentifizieren.

Schutzziele definieren

Diese Multi-Faktor-Authentifizierung ist eines von vielen Schutzzielen, die Hausverwaltungen und Wohnungsunternehmen definieren sollten: Damit Mitarbeiter cloudbasierte Lösungen benutzen dürfen, ist ein zweites Authentifizierungsmerkmal an allen Geräten und Endpunkten zu installieren. Denn die Frage ist nicht, ob Unternehmen gehackt werden, sondern wann. Mit einer zweiten Identifizierungsstufe, wie etwa einer SMS, einer App, einem Anruf oder einem weiteren Gerät, lässt sich das Risiko deutlich verringern. Zudem empfiehlt sich bei BYOD-Szenarien (Bring Your Own Device) eine Null-Toleranz-Politik: Erfüllen private Endgeräte die Sicherheitsanforderungen nicht, dürfen sie nicht mit dem Netzwerk verbunden sein. Ebenso ist zu prüfen, ob das Patch-Management (Durchführung von Software-Updates) im Homeoffice wirkungsvoll ist.

Daten und Dateien zentral schützen

All diese Einzelmaßnahmen basieren auf zwei zentralen Frage: Was darf Daten, Dateien, Geräten, Datenbanken und Services passieren? Und wer ist berechtigt, das zu tun? Idealerweise sind diese Informationen personenbezogen und zentral hinterlegt: Wer ist eine Person? Welche authentifizierten Geräte nutzt sie? In welchem Zustand befindet sich ein Gerät (beruflich, privat, gepatcht etc.)? An welchen Orten (Zentrale, Niederlassung, Kunden etc.) hält sich die Person üblicherweise auf? In welchem Status befinden sich die Konten und Profile der Person (gerade gehackt oder sicher)? Anhand dieser und weiterer Informationen lassen sich erlaubte von unautorisierten Zugriffen recht zuverlässig unterscheiden.

Warum es mehr Verständnis für das Thema braucht

In Sachen Cloud Security ist also viel zu tun. Doch weil dies wenig mit dem Alltag von Hausverwaltungen und Wohnungsunternehmen zu tun hat, fehlt vielerorts das Verständnis dafür, wie wichtig Cloud Security für einen reibungslosen Geschäftsbetrieb ist. Dringen Cyber-Kriminelle zum Beispiel in die IT-Infrastruktur einer großen Hausverwaltung ein, kann sie womöglich keine Nebenkosten abrechnen. Eine Cyber-Attacke trifft sie also dort, wo sie am verwundbarsten ist: bei ihren Kernprozessen. Darum sollten sich Verantwortliche damit beschäftigen, welche Möglichkeiten die Cloud eröffnet – und welche Security-Maßnahmen sinnvoll sind. Cloud-Sicherheit ist komplex – keine Frage. Umso wichtiger ist es, dass der Praxisbezug im Vordergrund steht. So hängt der wirtschaftliche Erfolg eines Wohnungsunternehmens auch daran, dass es Mietverträge schließen kann. In Sachen Cloud Security muss es also unter anderem darum gehen, dass in der Cloud gespeicherte Vertragsunterlagen jederzeit zugänglich sind. Ein Verständnis für diese Thematik unter allen Beteiligten zu schaffen, ist jedoch nur der erste Schritt. Perspektivisch ist Cloud Security in der Unternehmensstrategie dauerhaft zu verankern – und natürlich praktisch umzusetzen. Dies sind Herausforderungen, die weit über die IT hinausgehen. Darum müssen für eine wirkungsvolle Cloud Security alle an einem Strang ziehen.

Andreas Nolte

Andreas Nolte
Head of, Cyber Security Arvato Systems
AnhangGröße
Beitrag als PDF herunterladen302.32 KB

◂ Heft-Navigation ▸

Artikel Die Sicherheit der Cloud ist ein strategisches Thema
Seite 32 bis 33
23.2.2023
Ressourcen- und Energieverbrauch durch Steuerungstechnik
Smarte Häuser versprechen neben mehr Komfort und Sicherheit auch weniger Energieverbrauch. Bei der Planung und Systemauswahl sollte man allerdings auch auf die Energieeffizienz und den Standby...
30.8.2021
Cybersicherheit in vernetzten Wohngebäuden
Je weiter die Digitalisierung in Wohngebäuden fortschreitet, umso wichtiger wird die Cybersicherheit der darin verbauten Smart Home-Produkte und vernetzten Prozesse. Noch gibt es für...
30.5.2022
AAL im Wohnungsbau:
Soll das Wohnen in den eigenen vier Wänden so lange wie möglich selbstbestimmt sein, helfen Komponenten des Ambient Assisted Living. In Neubauten und bei umfassenden Sanierungen von Wohngebäuden...
2.2.2024
Smart Building-Technik
Die Immobilienwirtschaft wird digitaler. Damit wächst aber auch die Gefahr von Hacker-Angriffen. Der ZIA weist darauf hin, dass das Smart Building Cyberkriminellen praktisch noch ungeschützt...
28.1.2022
Fristen und Pflichten der neuen Heizkostenverordnung
Fernauslesbare Zähler, monatliche Verbrauchsinformationen und eine erweiterte Abrechnung – das sind die Kernelemente der novellierten Heizkostenverordnung.
22.6.2023
Von Energieeinsparung durch zusätzliche Beschattung und Kühlung hin zu ästhetischer Aufwertung der Gebäude und nicht zuletzt Förderung biodiverser Lebensräume – die Vorteile von Grünfassaden sind...