•  

Vier Tipps zur Cloud-Sicherheit für Behörden

Gerald Lung, Country Manager DACH bei Netwrix

In Deutschland findet die Cloud immer stärkeren Einsatz und erreicht der McAfee Cloud Survey zufolge 96 %. Und da es keinen Grund zur Annahme gibt, dass die Regierung nicht zur Cloud-Speicherung übergehen wird, müssen öffentliche Einrichtungen und Behörden ihre Sicherheitsstrategien verbessern. Obwohl Deutschland in puncto Datensicherung in der Cloud international führend ist, hat der jüngste Hacker-Angriff auf das zentrale Datennetzwerk der deutschen Bundesregierung gezeigt, dass es noch eine Menge zu tun gibt. Eine als „Fancy Bear“ bekannte Hacker-Gruppe ist in das System eingedrungen, das für besonders sicher gehalten wurde und vom Kanzlerbüro, Ministerien und dem Parlament genutzt wird.

Der beste Weg, Vorfälle zu vermeiden, ist, globale Trends im Auge zu behalten. Der Netwrix 2018 Cloud Security: In-Depth Report hat die Bedenken von Regierungsbehörden in Nordamerika und Europa im Zusammenhang mit der Cloud-Sicherheit untersucht, um die Risiken vorhersehen und vermeiden zu können, und hat daraus fünf Tipps für mehr Cloudsicherheit abgeleitet.

Tipp 1. Wählen Sie einen Anbieter mit flexiblen und effektiven Sicherheitskontrollen

Aus dem Netwrix 2018 Cloud Security: In-Depth Report geht hervor, dass 94 % der Regierungsbehörden sensible Daten in der Cloud speichern. 32 % der Befragten gab an, dass sich seit der Einführung der Cloud ihre Sicherheitslage nicht verändert hat, bei 27 % der Befragten hat sie sich sogar verschlechtert. Zum eigenen Schutz sind 58 % der Befragten dazu übergegangen, zusätzlich zu den von den Providern angebotenen Maßnahmen ihre eigenen Sicherheitskontrollen einzusetzen.

Achten Sie bei der Auswahl eines Anbieters stärker auf die Sicherheitskontrollen. Es ist immer gut, einem potentiellen Anbieter detaillierte Fragen zur Sicherheit zu stellen und mit demjenigen zusammenzuarbeiten, der effektive Tools zur Reaktion auf Schwachstellen und Vorfälle bietet.

Tipp 2. Bewerten Sie Ihre Risiken und überwachen Sie das Nutzerverhalten

Das wichtigste Sicherheitsproblem für Ministerien (81 %) ist das Risiko des unbefugten Zugriffs. Mit 60 % steht Malware bei den Befragten an zweiter Stelle. Malware ist ein riesiges Problem für die Sicherheitsexperten weltweit, nachdem die Petya- und WannaCry-Angriffe die IT-Teams 2017 wachgerüttelt haben. WannaCry stürzte beispielsweise das Schienennetz der Deutschen Bahn ins Chaos.

Bewerten Sie Risiken, indem Sie sensible Daten mit hoher Priorität ermitteln; ändern Sie die Zugriffsrechte von Nutzern nach dem Prinzip der geringsten Rechte. Überwachen Sie das Nutzerverhalten, um Anomalien zu erkennen, und reagieren Sie schnell.

Tipp 3. Sorgen Sie für Sichtbarkeit Ihrer gesamten IT-Infrastruktur

Unterschätzen Sie die Insider-Bedrohung nicht! Nur 27 % der befragten Ministerien benennen ihre eigenen Mitarbeiter als gefährlichste Bedrohungsvektoren und setzen externe Akteure ganz oben auf die List möglicher Bedrohungen. Insiderbedrohungen sollte jedoch eine höhere Priorität eingeräumt werden.

Unaufmerksame Mitarbeiter klicken schnell einmal auf bösartige Links und installieren Malware, wie Viren, Spyware oder Ransomware.  Der jüngste Verizon Data Breach Investigations Report zeigte, dass der öffentliche Sektor für soziale Angriffe, meist Phishing, am anfälligsten ist. 

Um die Insiderbedrohung zu minimieren, beabsichtigen 55 % der Befragten, die Schulung von Mitarbeitern zu verstärken, um so das Bewusstsein für Cybersicherheit zu steigern. 43 % werden ihre Sicherheitsrichtlinien verschärfen. Angesichts der derzeit fehlenden Sichtbarkeit der Nutzeraktivitäten ist jedoch nicht klar, wie Sicherheitsteams die Ergebnisse messen wollen. Nur 29 % der untersuchten Ministerien haben vollständigen Überblick über die Aktivitäten geschäftlicher Nutzer in der Cloud.

Verschaffen Sie sich den Überblick über Ihre gesamte IT-Infrastruktur und über diejenigen, die auf Ihre sensiblen Daten zugreifen. Nur so können Sie sicherstellen, dass Ihre Mitarbeiter sich zu Herzen nehmen, was sie gelernt haben, und den bewährten Sicherheitsverfahren folgen.

Tipp 4. Schulen Sie Ihre IT-Belegschaft

Unsere Studie zeigt, dass 74 % der Ministerien beabsichtigen, mehr sensible Daten in die Cloud zu verschieben, und 34 % das Cloud-First-Konzept einführen werden.

Wir empfehlen den staatlichen Stellen in Deutschland, zunächst dafür zu sorgen, dass ihre IT-Teams gut geschult sind und sicherheitsorientiert arbeiten, bevor man übereilt zur Nutzung der Cloud übergeht. Denken Sie an die schlechten Erfahrungen, die das Department of Homeland Security (DHS) in den USA gemacht hat. Im Bericht zu diesem Ransomware-Angriff auf die Behörde stellte der Prüfer fest, dass eine schlechte Ausbildung des IT-Personals zu mehreren Fehlern geführt hat, die diesen Vorfall dann ermöglichten. Dieser Datenverstoß ereignete sich in einer On-Premise-Infrastruktur; wir können uns nur ausmalen, was im Falle eines 100 % cloudbasierten DHS geschehen wäre.

Sparen Sie nicht bei der Einstellung von Sicherheitsexperten. Die gute Nachricht ist, dass 73 % der Befragten bestätigen, dass die Geschäftsleitung Sicherheitsinitiativen in der Cloud unterstützt, was künftig zu einem verstärkten Fokus auf Cloud-Sicherheit und zu mehr Geld zu deren Unterstützung führen könnte.

Fazit

Obwohl es auf dem deutschen Markt aufgrund der Anforderung, Daten lokal zu speichern, Einschränkungen für Cloud-Provider gibt, wiegt die potentielle Attraktivität die Hindernisse auf. Auch Microsoft hat unlängst verkündet, neue Datenzentren in Deutschland errichten zu wollen. Gartner prognostiziert ein zweistelliges Wachstum bei der Nutzung öffentlicher Cloud-Dienste durch Regierungen weltweit und sagt bis 2021 wachsende Ausgaben von durchschnittlich 17,1 % pro Jahr voraus. Der deutsche Markt für Cloud-Anwendungen in Regierungsbehörden wird ganz klar aufholen. Es ist jedoch von entscheidender Bedeutung, dass die deutschen Regierungsstellen einen datenzentrischen Ansatz in Erwägung ziehen und gleichzeitig ihre Cloud-Sicherheitsstrategie weiterentwickeln, um die Risiken eines Datenverstoßes effektiv zu mindern.

Autor: Gerald Lung

Diesen Artikel empfehlen