Zero Trust : Wie sich die Cloud-Sicherheit verbessern lässt

Die Unternehmen Illumio und Vanson Bourne haben kürzlich eine globale Studie in Auftrag gegeben, um den aktuellen Stand der Cloud-Sicherheit zu untersuchen. Für den „Illumio Cloud Security Index“ wurden 1.600 Personen aus unterschiedlichen Branchen sowie dem öffentlichen Sektor in insgesamt neun Ländern befragt, darunter auch 200 in Deutschland. Die Befragten sind in ihrem Unternehmen beziehungsweise ihrer Organisation zu 93 % für die IT-Sicherheit verantwortlich, der Rest ist stark in dieses Thema eingebunden.

Der Index zeigt – neben vielen anderen Kernaussagen –, dass Unternehmen aller Branchen und öffentliche Einrichtungen in Deutschland in hohem Maße auf die Cloud setzen, um ihre Geschäftsziele zu erreichen:

• 99 % der Befragten nutzen die Cloud und 98 % speichern dort sensible Daten.

• Bei 83 % der Befragten laufen bereits alle oder zumindest die meisten Dienste in der Cloud.
• Bei 28 % laufen die wichtigsten Applikationen in der Cloud.

• Bei 96 % würde ein Angriff auf die Cloud den Betrieb beeinträchtigen, bei einem Drittel würde ein Angriff sogar die Aufrechterhaltung des normalen Betriebs unmöglich machen.

Die Cloud bietet viele Vorteile wie größere Flexibilität, Skalierbarkeit und Kosteneffizienz, da sie Hardware-Investitionen überflüssig macht und Unternehmen oder Organisationen nur für die von ihnen genutzte Rechenleistung oder die von ihnen gespeicherten Daten zahlen. Dank der Cloud können sie Dienste zu den Bedingungen anbieten, die ihre Kunden und Nutzer wünschen und die das Wettbewerbsumfeld erfordert.

Doch neben ihren zahlreichen Vorteilen birgt die Cloud bekanntlich auch Risiken. Ihre steigende Popularität und die Tatsache, dass die Cloud-Sicherheit oft erst bedacht wird, wenn die Nutzung bereits in vollem Gange ist, hat dazu geführt, dass Cyberangreifer eifrig nach Schwachstellen und Sicherheitslücken in Systemen suchen, die Unternehmen in der Cloud hosten. Neben dem spezifischen Cloud-Risiko steigt auch das generelle Cyberrisiko – unter anderem durch die geopolitische Situation bedingt – kontinuierlich: Es gibt immer mehr Cyberangreifer, von denen immer mehr extrem professionell agieren, indem sie immer fortschrittlichere Tools und Methoden nutzen.

Deutsche Unternehmen haben international die höchsten Schäden

Die Risiken sind allgemein bekannt. Es wäre daher anzunehmen, dass deutsche Unternehmen ihre Cloud entsprechend ihrer Bedeutung und ihres hohen Risikos schützen würden. Doch das ist nicht der Fall: 63 % der für die Studie Befragten geben an, dass die Cloud-Sicherheit in ihrem Unternehmen mangelhaft ist und ein hohes Risiko darstellt. Entsprechend erfolgreich sind Angreifer mit ihren Attacken auf die Cloud: Die Befragten gaben an, dass bei fast der Hälfte (42 %) aller Breaches – also Cyberangriffen, bei denen die Angreifer Schutzmaßnahmen überwinden und in sensible Infrastrukturen und Umgebungen eindringen konnten – die Angreifer über die Cloud eindrangen. Besonders verheerend: Nach Angaben der Befragten erlitten deutsche Unternehmen in den letzten zwölf Monaten durch solche Cloud-Sicherheitsverletzungen einen durchschnittlichen finanziellen Schaden von 6,6 Millionen Euro. Diese Zahl liegt weit über dem internationalen Durchschnitt von 4,1 Millionen und deutlich über dem Durchschnitt von 2,5 Millionen Euro in Frankreich.

Studie liefert Erklärungsansatz

Woher kommt dieser Widerspruch? Warum wird die unverzichtbare Cloud nicht ausreichend geschützt? Der Illumio Cloud Security Index liefert einen Erklärungsansatz.

Bei der heutigen Hyperkonnektivität und Komplexität, insbesondere von hybriden und Multi-Cloud-Umgebungen, tun sich viele Unternehmen und Organisationen schwer, den Überblick über den Datenverkehr und Verbindungen zwischen Anwendungen zu behalten. Das liegt oftmals daran, dass sie nicht die erforderliche Visibilität über das Kommunikationsverhalten der Workloads in ihren Umgebungen haben. Nur 44 % geben an, dass sie Visibilität über die Konnektivität ihrer Cloud-Dienste zwischen Cloud-Anbietern und/oder ihren On-Premise-Umgebungen haben. Die anderen 56 % haben nur teilweise oder gar keine Visibilität, wollen das aber ändern. 81 % zeigen sich darüber besorgt, dass die Konnektivität zwischen ihren Cloud-Diensten und ihren On-Premise-Umgebungen die Wahrscheinlichkeit einer Sicherheitsverletzung erhöht. Darüber hinaus geben gerade einmal 46 % an, das Cloud-Sicherheitsrisiko in ihrem Unternehmen gut zu verstehen.

Das zeigt, dass viele Unternehmen nicht genau genug wissen, was in ihren Cloud-Umgebungen vor sich geht. Das wiederum hat Auswirkungen auf die Reaktionszeit im Falle eines Angriffs. Tatsächlich geben 99 % der Befragten an, dass sie ihre Reaktionszeiten auf Cloud-Angriffe verbessern müssten. 32 % geben sogar an, dass für eine Verbesserung ihrer Reaktionszeiten eine vollständige Überholung ihrer Systeme erforderlich sei, was deutlich über dem internationalen Durchschnitt von 23 % liegt.

Je langsamer eine Reaktion ausfällt, desto größer werden die Möglichkeiten für Cyberangreifer, kritische Daten zu stehlen und dem Unternehmen und seiner Reputation zu schaden. Auf die Frage, wie lange das eigene Unternehmen brauchen würde, einen erfolgreichen Angriff auf die Cloud einzudämmen, sagten mehr als die Hälfte (55 %), dass dies mehrere Stunden in Anspruch nehmen würde. Weitere 25 % gaben an, es könne Tage (22 %) oder sogar Wochen (3 %) dauern. Nur 18 % gaben an, das Problem in wenigen Minuten lösen zu können.

Die größten Bedrohungen für die Cloud-Sicherheit sehen die Befragten in Deutschland im mangelnden Verständnis über die Aufteilung der Verantwortung zwischen Cloud-Anbietern und Vendoren von Software oder Services (41 %), in Arbeitslasten und Daten, die traditionelle Grenzen (zwischen On-Premise, der Cloud, virtuellen Maschinen) überschreiten (40 %) sowie in veralteten IT-Kontrollsystemen oder Prozessen (39 %).

Angesichts dieser Bedrohungen und des existenziellen Risikos, dass jeder Cloud-Workload nur eine Fehlkonfiguration davon entfernt ist, schutzlos dem Internet ausgesetzt zu sein, ist die Einführung einer Sicherheitsstrategie, die die Produktivität und Kontinuität in den hochkomplexen Umgebungen sicherstellt, ein Muss.

Die passende Strategie für diese Herausforderungen ist Zero Trust

Besonders aufhorchen lässt auch: Fast 80 % der Befragten stimmen zu, dass in ihrer Organisation die Annahme herrscht, Sicherheitsverletzungen seien unvermeidlich. Um die Cloud-Sicherheit zu verbessern und den unvermeidlichen Sicherheitsverletzungen von heute zu begegnen, ist Zero Trust eine geeignete Sicherheitsstrategie. Teil des Zero-Trust-Ansatzes ist das „Assume breach“-Prinzip. Es geht immer davon aus, dass ein Cyberangriff die externen Schutzmaßnahmen erfolgreich überwinden wird, und fordert Organisationen dementsprechend auf, die gesamte Sicherheitsarchitektur so zu gestalten, dass die Angriffsfläche schrumpft und das Least Privilege-Prinzip angewendet wird.

Kurz, Zero Trust eliminiert das Vertrauen in digitale Systeme. Anstatt Annahmen über die zugrundeliegende Umgebung zu treffen, in der eine Ressource ausgeführt wird, konzentriert sich Zero Trust auf die Gewährung von Zugriff auf Ressourcen auf der Grundlage dessen, wer ihn benötigt, was die Ressource ist und wo sie sich zu einem bestimmten Zeitpunkt befindet. Dieser restriktive Least-Privilege-Access hilft bei der Verhinderung der Ausbreitung von Angriffen und ermöglicht es Unternehmen, ihre Cloud-Ressourcen besser zu sichern. Allerdings sehen 97 % der Befragten bei der Durchsetzung dieses Prinzips in ihren Unternehmen bzw. Organisationen Verbesserungsbedarf.

Zero-Trust-Segmentierung ist wichtig für Cloud-Sicherheit

Eine wichtige Komponente von Zero Trust ist Zero-Trust-Segmentierung (ZTS), auch bekannt als Mikrosegmentierung. Das bestätigt der Cloud Security Index: 90 % der Befragten sind der Meinung, dass die Segmentierung kritischer Assets ein notwendiger Schritt sei, um Cloud-basierte Projekte zu sichern. Dabei geben drei Viertel an, dass ihre aktuelle Sicherheitslösung die Cloud Adoption eher verlangsame als beschleunige. Außerdem stimmen 99 % der Aussage zu, dass ZTS das Potential hat, die Cloud-Sicherheit in ihren Unternehmen deutlich zu verbessern.

Mit einer modernen ZTS-Lösung können Unternehmen präzise und flexibel Sicherheitszonen für die gesamte hybride Angriffsfläche erstellen, indem sie ihre Umgebung proaktiv in kleinere Segmente aufteilen und jedes Segment nur gewünschte Zugriffe zulässt. Alles andere wird bei diesem Allow-List-Ansatz verboten. So verhindert ZTS, dass sich Angreifer lateral durch das Netzwerk bewegen können.

Derzeit setzen rund 20 % der Befragten eine dedizierte Lösung zur Mikrosegmentierung ein. Dazu passt, dass 15 % sehr zuversichtlich sind, dass sie in die Cloud eingedrungene Angreifer von lateralen Bewegungen abhalten können. Die Differenz könnte dadurch erklären werden, dass nur einige Lösungen zur Mikrosegmentierung komplette Visibilität bieten und die IT-Abteilungen bestmöglich bei der Segmentierung unterstützen.

Mit ZTS würden – wie zur erwarten war – zudem 61 % die kontinuierliche Überwachung der Konnektivität zwischen Cloud-Anwendungen, Daten und Workloads verbessern.  51 % würden mit ZTS den Blast Radius eines Cyberangriffs einschränken, den Angriff zügig eindämmen (Containment) und so den Schaden minimieren. Und 46 % erhoffen sich von einer modernen Segmentierungslösung ein besseres Verständnis über die Konnektivität der eingesetzten Drittanbietersoftware.

Insbesondere die Verbesserung der Visibilität über die Konnektivität von eingesetzter Drittanbietersoftware ist den Befragten wichtig: 97 % der Befragten sehen hier Verbesserungsbedarf. Es wird deutlich: Unternehmen brauchen zwingend einen besseren Überblick darüber, was mit was und wie verbunden ist. Denn sie können nur schützen, was sie sehen und verstehen. Und es wird ebenfalls deutlich: Fast die Hälfte der Befragten erkennt bereits das Potenzial von ZTS, für die erforderliche Visibilität zu sorgen.

Der erste Schritt auf dem Weg zu besserer Cloud-Sicherheit ist also die Fähigkeit, die gesamte Konnektivität in der IT-Landschaft sichtbar zu machen. ZTS-Lösungen visualisieren dazu auf einer umfassenden Karte den Datenverkehr zwischen Workloads, Geräten und dem Internet in Echtzeit. So bieten sie einen detaillierten Einblick und helfen, unnötige Konnektivität, bösartige Aktivitäten oder auch menschliche Fehler wie Fehlkonfigurationen frühzeitig zu erkennen.

Im Anschluss an die Visualisierung schlagen ZTS-Lösungen automatisch granulare Segmentierungs-Policies vor, um den Datenfluss zu kontrollieren sowie hochwertige Assets und gefährdete Systeme zu isolieren. Unternehmen müssen sich also nicht mehr um die Erstellung und Verwaltung von Firewall-Regeln kümmern, die an eine IP-Adresse oder einen Host-Namen gebunden sind. Moderne ZTS-Lösungen bieten stattdessen eine einfache Erstellung von kontextbasierten, modernen Policies, die sich automatisch an das Deployment anpassen und einfach zu verstehen sowie zu verwalten sind.

Unternehmen sollten jetzt handeln, um ihre Cloud zu schützen

Da künftig immer mehr Daten und Anwendungen in die Cloud verlagert werden, wird die Bedeutung der Cloud immer größer – und leider auch das Cloud-Risiko. Dieser Entwicklung muss Rechnung getragen werden, indem die Cloud-Sicherheit gestärkt und in Richtung Cyberresilienz weiterentwickelt wird. Unternehmen müssen verstehen, wie sich ihre einzelnen Anwendungen etc. in der Cloud verhalten und wie sie untereinander und mit der IT außerhalb der Cloud interagieren.

Unternehmen sollten daher in geeignete Cloud-Sicherheitstools investieren, die mit der Geschwindigkeit ihrer Cloud-Adoption skalieren können und ihnen die Möglichkeit geben, schnell zu reagieren, um Sicherheitsverletzungen in der Cloud einzudämmen und zu beheben. Nur so reagieren sie passend auf die gewachsene Angriffsfläche, schützen kritische Ressourcen und Daten und steigern gleichzeitig den Cloud Trust sowie die Cyberresilienz. Andernfalls riskieren sie, in den kommenden Jahren erhebliche Betriebsunterbrechungen zu erleiden, und nicht nur eine Menge Geld, sondern auch das Vertrauen ihrer Kunden zu verlieren.

Alexander Goller ist Cloud Solutions Architect EMEA bei Illumio.