[English]Es ist eine spannende Erkenntnis, die aus einer Studie von Illumio (Anbieter von Lösungen für Zero-Trust-Segmentierung) hervorgeht. Die Hälfte aller Cyberangriffe auf Unternehmen haben ihren Ursprung in der Cloud. Die Leute sind der Komplexität dieser Lösungen sicherheitstechnisch häufig nicht gewachsen. Und es gibt noch ein Ergebnis dieser Studie: Cyberangriffe und kosten Unternehmen im Schnitt 4,1 Millionen US-Dollar (3,81 Mio. Euro).
Die weltweit durchgeführte Studie informiert über den aktuellen Stand der Cloud-Sicherheit sowie die Auswirkungen von Angriffen auf die Cloud. Die Untersuchung benennt auch die Gründe für das Versagen herkömmlicher Cloud-Sicherheitstechnologien beim Schutz von Unternehmen in der Cloud. Interessant sind auch einige auf Deutschland bezogene Aussagen, die mir vorliegen.
Dazu hatte die Illumio Inc. im September 2023 Vanson Bourne, ein unabhängiges Forschungsunternehmen, beauftragt, weltweit zu recherchieren. Das Forschungsunternehmen befragte im Rahmen der Studie 1.600 IT- und Sicherheitsentscheider in neun Ländern (200 in Deutschland) zum Thema Cybersicherheit. Die befragten Unternehmen in Deutschland haben im Schnitt einen Umsatz von 1.519.348.366 Euro und zwischen 500 und 2.500 Mitarbeiter – also nicht Unternehmen im Mittelstand.
Ergebnisse der Studie
Generelles Ergebnis der Studie ist die (nicht neue) Erkenntnis, dass die Cloud-Risiken immer größer werden, herkömmliche Cloud-Sicherheitstools nicht mehr ausreichen und dass Zero-Trust-Segmentierung (ZTS) für die moderne IT-Infrastruktur unerlässlich sei (gut, letzteres musste auftauchen, da die Illumio Inc. genau in diesem Bereich Leistungen anbietet). Aber die wichtigsten Erkenntnisse der Studie sind eigentlich allgemein gültig:
- Die traditionelle Cloud-Sicherheit versagt häufig in Unternehmen: Im Jahr 2022 hatte fast die Hälfte aller Datenschutzverletzungen (47 Prozent) ihren Ursprung in der Cloud. Mehr als sechs von zehn Befragten glauben, dass die Cloud-Sicherheit unzureichend sei und ein ernsthaftes Risiko für ihre Geschäftsabläufe darstellt.
- Datenschutzverletzungen in der Cloud kosten Unternehmen jedes Jahr Millionen: Im Durchschnitt hat ein Unternehmen, das im letzten Jahr von einem Angriff auf die Cloud betroffen war, fast 4,1 Millionen Dollar Schaden erlitten. 26 Prozent der Befragten gehen davon aus, dass Sicherheitsverletzungen nicht unvermeidlich sind, was ein ernstes Risiko für Unternehmen und deren Kunden darstellt.
- 93 Prozent der Befragten stimmen der Aussage zu, dass Zero-Trust-Segmentierung (ZTS) ein wesentlicher Bestandteil jeder Cloud-Sicherheitsstrategie sei, da es das digitale Vertrauen erhöht (61 Prozent), die Geschäftskontinuität gewährleistet (59 Prozent) und die Cyberresilienz stärkt (61 Prozent).
Cloud-Probleme sind in der komplexen, hybriden Welt von heute allgegenwärtig
In dem Moment, in dem Unternehmen ihre sensibelsten Daten in die Cloud verlagern, steigt die Komplexität und das Risiko für sie. 98 Prozent der Unternehmen speichern ihre sensibelsten Daten in der Cloud, darunter Finanzdaten, Business Intelligence und personenbezogene Daten von Kunden oder Mitarbeitern. Dennoch sind mehr als 9 von 10 Unternehmen besorgt, dass unnötige oder unautorisierte Verbindungen zwischen Cloud-Diensten die Wahrscheinlichkeit einer Kompromittierung erhöhen. Laut der Studie sind die Hauptbedrohungen für die Cloud-Sicherheit von Unternehmen folgende:
- Arbeitslasten und Daten, die klassische Systemgrenzen überschreiten (43 Prozent);
- mangelndes Verständnis für die Aufteilung der Verantwortung zwischen Cloud-Anbietern und -Händlern (41 Prozent);
- Social-Engineering-Angriffe (36 Prozent);
- mangelnde Transparenz bei Multi-Cloud-Implementierungen (32 Prozent) und zunehmende Malware- und Ransomware-Angriffe (32 Prozent).
In einem auf Deutschland heruntergebrochenen Dokument heißt es, dass Deutschland in Sachen Cloud-Sicherheit nicht gut da stehe. Erschreckend finde ich, dass laut Aussage von Illumio 98% der deutschen Unternehmen sensible Daten in der Cloud speichern, aber 6 von 10 Befragten glauben, dass die Cloud-Sicherheit unzureichend ist und ein ernsthaftes Risiko für ihre Geschäftsabläufe darstelle.
Schlechte Situation in deutschen Unternehmen
Laut der Illumio haben 42 Prozent der Angriffe in Deutschland mittlerweile ihren Ursprung in der Cloud. Dies ist besonders besorgniserregend, wenn man bestimmte Aussagen, die mir der Anbieter bereitgestellt hat, dagegen setzt:
- Mehr als die Hälfte (52 %) der deutschen Befragten gibt an, dass die meisten ihrer Dienste bereits in der Cloud laufen.
- 98 % der Befragten geben zu, dass sie sensible Daten in der Cloud speichern.
- 96 % geben an, dass ein Angriff auf die Cloud ihren Betrieb beeinträchtigen würde, wobei ein Drittel zugibt, dass ein Angriff auf die Cloud die Aufrechterhaltung des normalen Betriebsunmöglich machen würde.
- 63 % der Befragten in Deutschland glauben, dass die Cloud-Sicherheit in ihrem eigenen Unternehmen unzureichend ist und ein großes Risiko darstellt
Hier scheint mir ein „Augen zu und durch“ als Mentalität zu herrschen. Da ist es ein Witz, dass die deutschen Befragten besorgt über die Folgen von Angriffen auf die Cloud sind. Als größte Sorgen werden der Verlust von Reputation und öffentlichem Vertrauen (36 %), Produktivitätsverluste (35 %) und Kundenabwanderung (35 %) genannt.
Als Realsatire erachte ich aber die Aussage der Studie, dass „die Verbesserung der Cloud-Sicherheit für 93 % der deutschen Befragten im kommenden Jahr eine hohe Priorität darstellt“. Die sind blauäugig und ohne Plan in die Cloud gehüpft. Daher wird auch 2024 nichts signifikantes in Sachen Cloud-Sicherheit passieren, so meine Einschätzung. Und bei Datenschutzvorfällen brauchen Unternehmen – außer der öffentlichen Aufmerksamkeit – nicht wirklich was von den Aufsichtsbehörden zu befürchten – Behörden als Betroffene sind bei DSGVO-Verstößen eh nicht zu belangen.
Fast doppelt so hohe Schadenssumme in deutschen Unternehmen
Deutschen Unternehmen entstehen aufgrund unzureichender Cloud-Sicherheitspraktiken ein fast doppelt so hoher Schaden wie im weltweiten Durchschnitt heißt es in einem Dokument, welches mir zur Verfügung gestellt wurde. Während der durchschnittliche jährliche Schaden weltweit bei 3,8 Millionen Euro liegt, betragen die durchschnittlichen Kosten von Cloud-Angriffen in Deutschland 6,6 Millionen Euro. Noch deutlicher fällt der Vergleich mit dem Nachbarland Frankreich aus, wo sich die durchschnittlichen Kosten auf rund 2,47 Millionen Euro belaufen.
Die höheren Kosten von Angriffen auf die Cloud könnten laut Illumio darauf zurückzuführen sein, dass nicht schnell genug auf Angriffe auf die Cloud reagiert wird, wobei Deutschland hinter dem weltweiten Durchschnitt zurückbleibt.
Wo herkömmliche Cloud-Sicherheitstools versagen
Die überwältigende Mehrheit der (weltweit) Befragten ist der Meinung, dass der derzeitige Ansatz ihres Unternehmens in Bezug auf die Cloud-Sicherheit erhebliche Risiken birgt:
- 95 Prozent geben an, dass sie eine bessere Übersicht über die Konnektivität mit Software von Drittanbietern benötigen.
- Dieser Mangel an Transparenz wirkt sich auf die Fähigkeit der Unternehmen aus, auf Angriffe zu reagieren. 95 Prozent der Befragten gaben an, dass sie ihre Reaktionszeit auf Cloud-Angriffe verbessern müssen.
Die Befragten machen sich Gedanken über die geschäftlichen Auswirkungen eines Cloud-Angriffs – die drei größten Sorgen sind:
- Rufschädigung und Vertrauensverlust in der Öffentlichkeit (39 Prozent),
- Verlust sensibler Daten (36 Prozent)
- und Verlust von umsatzbringenden Diensten (35 Prozent).
Zero-Trust-Segmentierung ist ein unverzichtbares Element für Cloud-Sicherheit
93 Prozent der IT- und Sicherheitsentscheider sind der Meinung, dass die Segmentierung kritischer Assets ein notwendiger Schritt ist, um Cloud-basierte Projekte zu sichern. Darüber hinaus haben Unternehmen mit spezieller Mikrosegmentierungstechnologie im letzten Jahr mit geringerer Wahrscheinlichkeit einen Cloud-Angriff erlebt (35 Prozent) als Unternehmen ohne diese Technologie (43 Prozent).
Zero-Trust-Segmentierung (ZTS) geht auf die Sichtbarkeit und Sicherheitsbedenken von Unternehmen durch:
- Kontinuierliche Überwachung der Konnektivität zwischen Cloud-Anwendungen, Daten und Arbeitslasten (55 Prozent);
- Minimierung der Reichweite und der Auswirkungen eines Angriffs durch Eindämmung seiner Ausbreitung (51 Prozent);
- und Einblicke in unnötige Konnektivität, die zu einer erhöhten Anfälligkeit führen könnte (45 Prozent).
ein. „Da Cloud-Umgebungen dynamisch und vernetzt sind, wird es für Sicherheitsteams immer schwieriger, mit herkömmlichen Lösungen zurechtzukommen“, sagt John Kindervag, Chief Evangelist bei Illumio. Er meint: „Unternehmen brauchen moderne Sicherheitsansätze, die ihnen standardmäßig Echtzeittransparenz und -eindämmung bieten, um Risiken zu minimieren und die Möglichkeiten der Cloud zu optimieren. Ich bin optimistisch, dass nahezu jedes Sicherheitsteam der Verbesserung der Cloud-Sicherheit in den kommenden Monaten Priorität einräumt, und dass sie Lösungen wie ZTS als einen wesentlichen Bestandteil ihrer Zero-Trust-Journey betrachten.“ Zufällig stellt Illumio mit CloudSecure eine entsprechende ZTS-Plattform bereit.
Der vollständige Cloud Security Index „Redefine Cloud Security with Zero Trust Segmentation“ lässt sich auf der Webseite des Unternehmens (nach Angabe diverser Daten) herunterladen.
Ich finde die Überschrift des Artikels ein wenig irreführend. Im Artikel steht „Im Jahr 2022 hatte fast die Hälfte aller Datenschutzverletzungen (47 Prozent) ihren Ursprung in der Cloud“ … sprich die Cloud ist das Ziel von Cyberangriffen, nicht der Ursprung.
Nein – der Ursprung der Datenschutzverletzung ist bedingt durch oder mit der Cloud, ergo in der Cloud. Bedeutet, die Cloud ist Ursprung… 🤷♂️
„Augen zu und durch“ so lange, bis die Versicherungen ihre Beiträge passend erhöhen. Dann dürften einige Verträge sich zeitnah auflösen.
Genial (oder eher erschreckend) finde ich auch die Reihenfolge der“ größten Sorgen“:
Rufschädigung und Vertrauensverlust VOR dem Daten- und Umsatzverlust.
Was stimmt bei diesen Leuten nicht?
Passt zu den aktuellen Trends, alles nur noch auf Aussenwirkung, Fassade, irgendwelche Quartalsstatistiken hinzutrimmen, wie es hinter den Kulissen aussieht, ist egal geworden.
Korrekt. Begleitet von den Begriffen:
– Haltung zeigen
– Zeichen setzen
– Moralisch überlegen
– Nachhaltigkeit, ESG
Wo das hinführt, sieht man nicht nur an den Prioritäten der Unternehmen/Politik sondern ganz real in der Wirtschaft. Jetzt wo die ganzen Förderprogramme (Zeichen setzen) am Ende sind, mucken die Konzernchefs gegen die Regierung (moralisch überlegen) auf.
Einfach weiter „Haltung zeigen“. Lug und Betrug überall (nachhaltig).
Tja, es hat schon seinen Grund, warum man die Cloud meiden sollte.
Es ist schon erschreckend, wie blauäugig die meisten Unternehmen in die Cloud gewechselt sind.
Die wurden sicher von irgendwelchen Unternehmensberatern o.Ä. dusselig gequatscht und haben deren Aussagen blind vertraut.
Und die sog. „künstliche Intelligenz“ wird denen sicher auf die gleiche Art und Weise an die Backe gequatscht.
Und irgendwann kommt dann das böse Erwachen und man stellt fest, das man von dem Zeugs nur noch schwer wieder weg kommt.
Ein paar Nachteile der Cloud:
1. Cloudanbieter sind viel häufiger Angriffen ausgesetzt als die IT von Einzelunternehmen
2. Man muß schon sehr viel Vertrauen in die Cloudanbieter haben, wenn man dort Daten hostet. (z.B., wer beim Cloudanbieter und welche externen Stellen (Stichwort Cloud Act) hat Zugriff auf die Daten?)
3. Man hat zusätzliche Abhängigkeiten bzgl. der Verfügbarkeit der Dienste (z.B. des Funktionieres der Infrastruktur (Zugangsprovider, Cloudanbieter, allgemeine Störungen im Internet)).
4. Die eigene IT muß nicht nur die lokalen Systeme beherrschen, sondern zusätzlich die Cloudsysteme und die Interaktion mit den eigenen lokalen Systemen, sowohl funktional als auch bzgl. Sicherheit.
5. Abhängigkeiten zu den Cloudanbietern z.B. bzgl. Preisgestaltung und bzgl. angeboteter Features (beispielsweise Tiefe und Dauer des Loggings, Streichung von Features) etc.
etc. etc.
Wirkliche Vorteile sehe ich durch die Cloud kaum und gar keine, die irgendeinen Effekt auf z.B. Kosten oder den Aufwand den die IT zu bewältigen hat, haben.
Alleine Punkt 2 wirft erhebliche Probleme bzgl. DSGVO auf.
Die Cloud ist sehr oft nicht die Lösung von Problemen, sondern deren Ursache.
Zum Glück lehnt in meiner Firma die GL alles, was mit Cloud zu tun hat, vehement ab.
Die „Cloud“ (anderes Wort für das Rechenzentrum eines Dritten) kann in gewissen Szenarien ihren Vorteil haben. Ich denke da beispielsweise an Tests, bevor ich einen Rollout durchführe. So müsste ich nicht selbst IT-Ressourcen blockieren oder ggf. einkaufen, wenn ich meine Lösung oder die eines Dritten zuvor in einem Rechenzentrum eines Dritten testen kann.
Denkbar wären auch (Teil-)Prozesse, die ich nicht regelmäßig durchführe, wofür ich dennoch IT-Ressourcen benötige. Klar ist aber, dass eine hybride Infrastruktur sehr komplex sein kann und das IT-Sicherheitsrisiko nicht mindert.
Na dann schaffen wir die „Cloud“ eben ab. Das würde aber alle online Dienste treffen. Z.B. Kein GMX, kein Web.de, kein Magenta TV, keine Webdienste und Shopping-Sites, kein Amazon und keine Google-Lösungen etc. Wollen wir das?
lässt sich alles auch ohne Cloud lösen… hat Jahrzehnte lang funktioniert.
„Na dann schaffen wir die „Cloud“ eben ab.
Wollen wir das?“
Ja! Mails brauchen wir schon noch…
aber alles andere schafft doch mehr Probleme als es nützt.
Früher oder später wird uns die Cloud ohnehin auf die Füße fallen..
iVm mit KI–> keine gute Idee.
Aber wenn es das nicht, ist es halt der Klimawandel oder Kriege..
Darum verwenden wir keine Cloud: 0.
Der praktische Mehrwert ist hintenrum 0 wenn dafür die Sicherheitskomplexität um ein vielfaches steigt – und man sich zusätzlich vom Cloud-Dienstleister abhängig macht.
Am Ende ist das Cloud-Gesamtergebnis teurer, man ist deren Preisinfrastruktur ausgeliefert – und die Praxis bei Microsoft, OHS und co zeigt das sie die Ausfälle und Probleme im Vergleich zu ordentlicher OnPremises Lösung häufen.
Klar – Email würd ich heut nicht mehr OnPremises betreiben, sondern einen Dienstleister nehmen – aber mehr halt definitiv dann nicht.
… und jeder Kleinbetrieb mit 3 Arbeitsplätzen im Office soll dann einen Vollzeit-Admin einstellen, der sich um die lokale Infrastruktur kümmert?
Mal vom Fachkräftemangel abgesehen muss man sich den auch leisten können!
Nein, das ist zum Glück nicht notwendig, man kann die Systemadministration auch an Admins bei (lokalen) IT-Systemhäusern auslagern. Die kommen dann auf Anforderung oder nach Wochenplan und erledigen alles. Oder sie verbinden sich online z.B. per VPN mit der Umgebung.
So siehts aus.
Für solche Fälle bieten sich IT-Systemhäuser und freiberufliche IT-Administratoren an, denn die „lokale IT-Infrastruktur“ dürfte sich bei einem Kleinbetrieb mit 3 Arbeitsplätzen stark in Grenzen halten. Was möchtest du da auch groß betreiben?
Was für eine Infrastruktur bei nur 3 Arbeitsplätzen?
I.d.R. sieht die EDV in solchen Kleinbetrieben so aus:
Es gibt 3 PCs mit Windows 10/11 drauf, auf allen läuft Office und auf einem der 3 PCs sind die gemeinsam genutzten Daten in einem freigegebenen Ordner drauf.
Alle 3 PCs sind direkt am Router angestöpselt, der hat ja i.d.R. 4 LAN-Anschlüsse.
Am 4. LAN-Anschluß hängt dann noch ein MPF.
Auf einem der PCs läuft dann noch so etwas wie eine Warenwirtschaft o.Ä.
Datensicherung, sofern die überhaupt gemacht wird, erfolgt per USB-Platte.
Und das wars, kein Server, kein AD, etc. etc.
Was braucht man da Admins?
Der Firmenchef selbst spielt da Admin, evtl. hilft sein Sohn oder ein Bekannter etwas.
So sieht es in der Realität bei solchen Kleinbetrieben aus.
Über Cloud etc. machen die sich auch keine Gedanken, wozu auch?
I.d.. machen sich Firmen erst ab ca. 10 Arbeitsplätzen Gedanken über Server etc. und eine erweiterte IT-Infrastruktur.
Hi…
Kann ich, der bis zur Pandemie als eben ein solcher Admin von Einzel-/Kleinunternehmen tätig war, genau so bestätigen, bzw. ist’s noch extremer, weil doch auch da noch oft genug „gepfennigfuchst“ wird – meist beginnt „richtige IT“ sogar erst noch später, wenn’s die Unternehmensfinanzen auch hergeben und sich endlich ein Bewußtsein dafür einstellt.
Also steht über Weihnachten und Neujahr eine neue Cyber-Angriffswelle auf Unternehmen und Infrastruktur an. In Deutschland wegen mangelnder Sicherheit sowieso und mal sehen, wie es Europaweit ablaufen wird.
Meine Meinung.
Die Angreifer werden solche Gelegenheiten auch ohne Cloud nutzen.
Der ehrenwerte Herr FeFe würde diesen Artikel als „schöne Medienkompetenzübung“ bezeichnen.
Als Beispiel: „Die traditionelle Cloud-Sicherheit versagt häufig in Unternehmen: Im Jahr 2022 hatte fast die Hälfte aller Datenschutzverletzungen (47 Prozent) ihren Ursprung in der Cloud. “
Im Umkehrschluss würde das bedeuten, dass 53% aller Datenschutzverletzungen OnPremise stattfinden.
Das ist, moment, ich rechne mal kurz nach … oh … die Mehrheit.
Demzufolge müsste man eigentlich OnPremise abschaffen. Dann wären 100% der Datenschutzverletzungen in der Cloud und die „Ich hab’s ja schon immer gesagt Fraktion“ wäre superglücklich.
Andererseits: Wenn wir die Cloud abschaffen sind ja 100% der Datenschutzverletzungen im OnPremise-Bereich … und dann?
Die Zahl ist so einfach nicht aussagekräftig. Dazu müsste man die Anzahl der sich in der Cloud befindenden kompromittierten Systeme mit der Gesamtzahl der Cloud-Systene ins Verhältnis setzen. Und das selbe für OnPremise.
Ecco: Den Artikel (und eventuell sogar die Studie) nochmal genau lesen, mal kurz darüber nachdenken was das bedeutet und dann kommentieren.
Die ganze Studie – und im Prinzip auch diese Zusammenfassung – sind eigentlich für die Rundablage. Da steht schlicht nichts neues drin. Angegriffen wird so oder so, entweder die Cloud, oder Onprem. Oder beides. Morgen werde ich sehen, was übers Wochenende so abging, eine automatische Benachrichtigung hab ich zum Glück übers Wochenende (wieder) nicht bekommen, aber morgen werden die Logs unserer Gateways bestimmt wieder voller erfolgloser Anmeldeversuche sein, entweder 1000 mit gleichen Benutzernamen pro Minute, immer von der gleichen IP oder auch mal ein ganzes Botnetz, oder „schön heimlich“ alle paar Minuten mal einer, um unter der Intrusion-Detection durchschlüpfen zu wollen. Die Leute, die sowas machen, sollten sich nen ordentlichen Job außerhalb der IT suchen.
Na ja, man kann es auch so sehen dass die Leier „in der Cloud ist alles sicherer, weil sich da „echte Profis™ “ mit befassen, die wissen was sie tun“ nichts als heiße Luft ist. Das hat jeder der sich mit der Thematik befasst geahnt oder befürchtet, so langsam bekommen wir’s aber schwarz auf weiß.
100% der 50% gehen dann wahrscheinlich auf die M$-Cloud. Nach dem verlorenen Master-Key neulich ist die jetzt noch sicherer geworden und man kann einen Forensiker in Vollzeit beschäftigen, die ganzen Tag die Logs zu prüfen. Insofern freilich da überhaupt das Relevante in den MS Log landen. Die Nicht-Eingeweihten und Naivlinge (Wer keine Geometrie kann, darf nicht eintreten) stehen aber voll auf die Cloud.
Wirklich kritisch sehe ich mittlerweile den (indirekten) Cloud Zwang vieler Hersteller (z.B. Atlassian, FortiSandbox, Exclaimer und ExtremeCloud IQ) um mal ein paar Beispiele zu nennen. Die On Prem Versionen gibt es entweder gar nicht mehr oder nur zu extrem hohen Preisen. In der Praxis bleibt da dann nur noch die Cloud oder ein Konkurrenz Produkt, vorausgesetzt es gibt überhaupt eine sinnvolle und wirtschaftliche Alternative. Für eine komplette Neuausrichtung zu anderen Herstellern fehlen oft die Ressourcen (Personell und Monetär), also wird es zwangsläufig in die Cloud hinauslaufen. Zudem ist natürlich nie garantiert, wie lange die Hersteller die on Prem Schiene weiter fahren. Wenn man Pech hat, steht man nach ein paar Monaten wieder am Anfang.
Meiner Meinung nach muss da was auf EU Ebene passieren, ansonsten gibt es bald den Großteil der Produkte nur noch in der Cloud.
„Ursprung von 50% aller Cyberangriffe ist die Cloud“. Also quasi der nette VPS von neben an. Wenn man das „Wort“ „Cloud“ einfach durch Server ersetzt ändert sich nichts, nur beim DAU schrillen die Alarmglocken. Bin gespannt wann das Gleiche mit „KI“ passiert. Vor ein paar Jahren war „Cloud“ die Zukunft, bis der DAU verstanden hat das sich, bis auf auf die höhren Kosten nichts ändert.