LinkedIn Logo YouTube Logo
ANZEIGE
Der Einsatz neuer Technologien gehört auf den Prüfstand

Die Cloud richtig absichern

Während der Pandemie wurde in vielen Unternehmen der Betrieb kurzfristig auf Cloud-Anwendungen umgestellt und Störungsbehebung oder Installationen per Fernwartung durchgeführt. Aufgrund des unerwarteten Zeitdrucks wurden die hierfür notwendigen Entscheidungen vielfach überstürzt getroffen und Risiko-Bewertung vernachlässigt. Nun sollten die neu eingeführten Konzepte hinsichtlich der IT-Sicherheit genauer analysiert werden.
Businessman searching virus in a internet cable
Bild: ©alphaspirit/stock.adobe.com

Fernwartung macht insbesondere aus Sicht der Kunden von Maschinen- und Anlagenbauern Sinn, denn für diese ist es essenziell, jederzeit den Betrieb aufrechtzuerhalten und Störungen konstant beheben zu können. So lässt es sich einerseits sicherstellen, dass es jederzeit möglich ist, auf die Steuerung der Maschine zuzugreifen als auch andererseits aktiv die Fehlersuche nach realen Defekten durchführen zu können. Um einen reibungslosen Ablauf zu garantieren, bieten Hersteller hierfür zunehmend eigene Cloud-Lösungen – denn diese sind schnell sowie einheitlich einzurichten und ein Großteil der Betriebsaufwände liegt beim Anbieter – an, teilweise erweitert mit Funktionalitäten für eine vorausschauende Wartung. Folglich hatte Cloud Computing in den letzten beiden Jahren einen enormen Zulauf – mittlerweile nutzen, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research, acht von zehn Unternehmen Rechenleistungen aus der Cloud.

Vorteile liegen (theoretisch) auf der Hand

Im Rahmen von Cloud Computing stehen unterschiedliche Service-Modelle gegen Bezahlung zur Verfügung, die im Kern in drei Kategorien subsummiert werden können: Je nach Bedarf kann ein Unternehmen eine gesamte Infrastruktur (IaaS) oder Plattform (PaaS), aber auch einzelne Anwendungen oder dedizierte Software (SaaS) von einem Cloud Service Provider (CSP) in Anspruch nehmen. Dadurch lässt sich ein hochgestuftes Qualitätslevel der Dienste erreichen und kontinuierlich gewährleisten sowie die Höhe der Ausgaben verringern, da fixe Investitionskosten entfallen und die variablen Kosten an der tatsächlichen Inanspruchnahme der Dienste ausgerichtet sind. Hinzu könnte es als Vorteil angesehen werden, dass die Dienste kurzfristig skalierbar sind – sowohl nach oben als auch nach unten. Auch versprechen die Anbieter der verschiedenen Dienste mehr Sicherheit und Verfügbarkeit.

Die Kehrseite der Medaille

Mittlerweile wird offensichtlich, dass Vertrauenswürdigkeit ein zunehmend wichtiger Aspekt ist, der Entscheidungen von Unternehmen bezüglich des Einsatzes moderner IT-Technologien und der Digitalisierung insgesamt beeinflusst. Entgegengesetzt zum Trend der steigenden Nutzung ist das Vertrauen von Unternehmen in Cloud-Anwendungen jedoch heute nicht vollumfänglich gegeben. Es besteht oftmals noch die Befürchtung dahingehend, dass Unbefugte in der Cloud Zugriff auf vertrauliche Daten oder auch den Code – also das Softwareprogramm, mit dem die Daten in der Anwendung verarbeitet werden – erlangen könnten. Insbesondere unter dem Aspekt, dass immer mehr geschäftskritische Daten in die Cloud ausgelagert und diese zumeist an nur einer zentralen Stelle gespeichert werden, lässt die Cloud-Infrastruktur als ein attraktives Ziel für Cyber-Kriminelle erscheinen.

Vor allem Unternehmen im Kontext der kritischen Infrastruktur sollten sich des Themas annehmen, da es durchaus sein kann, dass angloamerikanische Cloudanbieter auf Grund der besonderen Rechtslage in den USA ohne Zusatzmaßnahmen nicht eingesetzt werden dürfen. Risiken sind definitiv nicht nur theoretisch gegeben und Bedenken keinesfalls unbegründet. Denn eine genauere Analyse moderner Software-Architekturen zeigt deutlich, dass vermehrt abstrakte Orchestrierungslösungen verwendet werden, die die technischen Implementierungsdetails von Sicherheitsmaßnahmen intransparent verstecken. Paradigmen aus der klassischen IT sind dabei in vielen Fällen auf den Kopf gestellt, z.B. durch Einschränkung des Zugangs zum Netzwerk, um das Ausnutzen von Schwachstellen durch Angreifer zu verhindern. Ein Vorteil und gleichzeitig das große Risiko der Cloud besteht darin, dass es möglich ist, auf diese in der Regel jederzeit – von jedem – von überall zuzugreifen. Infolgedessen wird für viele Anwendungen eine Reihe neuer Risikovektoren geschaffen, beispielsweise durch überlagernde Netzwerke auf Service-Ebene ohne klassischen Firewall-Schutz.

Wichtiges Wissen für mehr IT-Sicherheit

Die Aufgaben in Bezug auf die IT-Sicherheitsanforderungen in der Cloud sollten in einem geteilten Verantwortungsmodell zugeordnet sein. Wobei es keine Diskussion über die Verantwortlichkeit gibt: Diese liegt stets beim Kunden selber. Denn Verantwortung kann man nicht outsourcen, deshalb ist es immer geboten, die Sicherheitsarchitekturen der Cloudanbieter zu inspizieren und sich nicht von Namen oder leeren Phrasen davon abhalten zu lassen. Die Erfahrung zeigt, dass viele Schutzmaßnahmen, die in der klassischen IT-Welt selbstverständlich sind, oft nicht oder nur eingeschränkt vom Betreiber der Cloud angeboten werden. Zudem sind für viele zugesagte Sicherheitsmaßnahmen Wirksamkeit sowie Verlässlichkeit im besten Falle intransparent und in der Praxis häufig nicht gegeben. Von daher müssen die Verantwortlichen der Unternehmen Fragen stellen. Zum Beispiel: Ist die genutzte Umgebung zertifiziert, etwa nach ISO27001 und werden regelmäßige Sicherheitsüberprüfungen, unter anderem mittels Pentesting durchgeführt. Wie sehen Patchmanagement und Berechtigungen oder weiteres in der geteilten Umgebung aus. Gibt es eine ‚gegen böswilliges Löschen‘ geschützte Datensicherung. Aber Risiken und Einschränkungen können sich auch aus gemeinsam genutzten Ressourcen ergeben – etwa fehlender Zugriff auf Sicherheitsprotokolle oder einer Sperrung, wenn eigene Dienste zusammen mit illegalen Dienstleistungen auf einem System betrieben werden.

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: Hermann Zander GmbH & Co. KG
Bild: Hermann Zander GmbH & Co. KG
IP65 Sicherheitsrelais und sicheres Koppelrelais

IP65 Sicherheitsrelais und sicheres Koppelrelais

Jüngst hat die Firma Zander Aachen mit dem Sicherheitsrelais Tethys IP65 SR und dem sichere Koppelrelais Tethys IP65 KR zwei neue Geräte auf den Markt gebracht, die aufgrund ihrer Wasser- und Staubdichtheit für raue Umgebungen geeignet sind. Sie sind daher prädestiniert für schaltschranklose Anwendungen direkt an der Maschine. Im Interview erläutern Dr. Marco Zander, Geschäftsführer und Inhaber des Familienunternehmens, sowie Hardwareentwickler Lucas Krönert, was hinter den neuen Lösungen steckt.

mehr lesen
Bild: ADS-Tec Industrial IT GmbH
Bild: ADS-Tec Industrial IT GmbH
Docker im Maschinenraum: Retrofit sicher gemacht

Docker im Maschinenraum: Retrofit sicher gemacht

Maschinen und Anlagen müssen heute nicht nur leistungsfähig und zuverlässig sein – sie sollen auch smart, vernetzt und sicher betrieben werden können. ADS-Tec Industrial IT liefert mit seinen Web Panels, integrierter Docker-Technologie und leistungsstarken Firewalls ein Plattformkonzept, das Maschinenbauer bei der Digitalisierung unterstützt – von der Visualisierung bis zur Cybersicherheit.

mehr lesen
Bild: © Frank H./stock.adobe.com
Bild: © Frank H./stock.adobe.com
Cyber-Check für die Industrie: Zwingt der CRA zum Umdenken?

Cyber-Check für die Industrie: Zwingt der CRA zum Umdenken?

Der Cyber Resilience Act (CRA) markiert einen bedeutenden Schritt hin zu einer robusteren Cybersicherheitslandschaft für Produkte mit digitalen Elementen. Für die Automatisierungs- und Fertigungsindustrie bedeutet das: Auch viele etablierte Komponenten und Systeme fallen künftig unter die neuen Vorgaben. Hersteller, Integratoren und Betreiber stehen damit vor der Herausforderung, ihre Produkte und Prozesse umfassend auf den Prüfstand zu stellen – technisch, organisatorisch und rechtlich. Wie groß der Aufwand dafür ist, welche Folgen das für die Wettbewerbsfähigkeit haben kann und welche ersten Schritte jetzt entscheidend sind, beantworten Security-Spezialisten einiger Unternehmen im zweiten Teil der Umfrage.

mehr lesen

Sicheres I/O-Modul

Die zentralen Sicherheits-I/O-Module der Serie Melsec iQ-R von Mitsubishi Electric bieten überall Vorteile, wo es auf Präzision und Sicherheit ankommt.

mehr lesen