article

Was ist Cloud-Sicherheit?

Cloud-Computing ist die Bereitstellung von Computerressourcen über das Internet. IT-Tools und -Anwendungen aller Art können bereitgestellt werden; Benutzer können auf Server, Speicher, Datenbanken, Netzwerke und Anwendungen zugreifen.

Cloud-Computing-Ressourcen können Eigentum eines Unternehmens sein und von diesem verwaltet werden, werden aber häufiger als Service bereitgestellt. Als Service genutzt, senkt Cloud-Computing die Investitionskosten und bietet Flexibilität, indem IT-Infrastruktur, Anwendungen und Services bedarfsgerecht verfügbar gemacht werden.

Cloud-Sicherheit ist ein Eckpfeiler des Cloud-Computing und bietet Technologie, Services, Richtlinien und Kontrollen zum Schutz gehosteter Infrastruktur, Anwendungen und Daten vor Bedrohungen und Unfällen. Private Clouds, Public Clouds und Hybrid Clouds haben Cloud-Computing-Sicherheit in ihre Architektur und Infrastruktur integriert, um Datenschutz zu gewährleisten und Compliance-Anforderungen zu erfüllen.

Cloud-Sicherheit bietet viele Vorteile, darunter:

  • Erweiterte Bedrohungserkennung
    Cloud-Computing-Sicherheit nutzt Endgerätescans, Bedrohungsinformationen und andere Tools, um Bedrohungen proaktiv zu identifizieren und zu neutralisieren.
  • Compliance
    Der breite Schutzumfang der meisten Cloud-Sicherheitslösungen stellt sicher, dass Unternehmen die strengen Compliance-Anforderungen erfüllen können, die durch Gesetze, Standards und interne Protokolle vorgegeben sind.
  • Kontinuierliches Monitoring
    Um optimale Sicherheit, Verfügbarkeit und Leistung der Cloud zu gewährleisten, müssen Dienstanbieter alle Systeme kontinuierlich überwachen. Diese Transparenz ermöglicht es Cloud-Dienstanbietern, proaktiv zu reagieren, wenn Probleme erkannt werden – bevor sie zu einem Problem werden.
  • Datensicherheit 
    Die meisten Cloud-Sicherheitslösungen bieten integrierte Datensicherheit und verwenden starke Zugriffskontrollen und Datenverschlüsselung, um Daten vor Bedrohungen zu schützen.
  • Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS)
    Cloud-Sicherheitslösungen bieten den effektivsten Schutz vor DDoS-Angriffen, da sie kontinuierliches Monitoring, Analyse und Redundanz in die Dienste integrieren.

Cloud-Sicherheit und das Modell der geteilten Verantwortung

Cloud-Computing-Sicherheit ist eine geteilte Verantwortung, unabhängig vom eingesetzten Cloud-Modell. Die Verantwortung für die Cloud-Sicherheit lässt sich in drei Kategorien einteilen.

  1. Zu den Cloud-Sicherheitsverantwortlichkeiten, die stets beim Anbieter liegen, gehört der Schutz der Infrastruktur durch Zugriff, Patchen und Konfigurieren der physischen Hosts und Netzwerke, auf denen die Recheninstanzen ausgeführt werden und sich der Speicher und andere Ressourcen befinden.
  2. Zu den Cloud-Sicherheitsverantwortlichkeiten, die stets beim Kunden liegen, gehören das Management von Benutzern und deren Zugriffsprivilegien, der Schutz von Cloud-Konten und Cloud-basierten Daten vor einem unbefugtem Zugriff sowie das Management der Sicherheitslage zur Einhaltung von Compliance-Anforderungen.
  3. Cloud-Sicherheitsverantwortlichkeiten, die je nach Servicemodell variieren, umfassen:
    1. Infrastructure as a Service (IaaS)– Beim Infrastrukturbereitstellungsmodell stellt der Anbieter Rechenressourcen (z. B. virtualisierte Server, Speicher, Netzwerkgeräte) über das Internet bereit. Beim IaaS-Modell ist der Kunde für die Sicherheit verantwortlich. Das bedeutet, dass die Sicherheit aller Komponenten der Cloud-Infrastruktur gewährleistet sein muss, einschließlich Betriebssystem, Anwendungen, Middleware, Container, Workloads, Daten und Code. Kunden sind für die Sicherheit von Endgeräten, Benutzern, Netzwerken, Konfigurationen, Einstellungen, Zugriffsrechten, Workloads und Daten verantwortlich.
    2. Platform as a Service (PaaS)– Bei diesem Modell stellt der Anbieter die Hard- und Software für die Plattform bereit. Er ist auch für die Sicherheit der Plattform und Infrastruktur verantwortlich, die Kunden zur Entwicklung, Ausführung und Verwaltung ihrer Anwendungen nutzen. Kunden sind für die Sicherheit der auf der Plattform entwickelten Anwendungen sowie für die Sicherheit von Endgeräten, Benutzern, Netzwerken, Zugriffsrechten, Daten und Workloads verantwortlich.
    3. Software as a Service (SaaS)– Der Anbieter hostet eine Anwendung (z. B. E-Mail) zentral in der Cloud und bietet sie als Abonnement an. Bei diesem Modell wartet und verwaltet der Anbieter nicht nur die Lösung, sondern ist auch für die Anwendungssicherheit verantwortlich. Kunden tragen die Verantwortung für die Sicherheit von Endgeräten, Benutzern, Netzwerken, Konfigurationen, Einstellungen, Zugriffsrechten, Workloads und Daten.

Herausforderungen der Cloud-Sicherheit

  • Schwachstellen in der Anwendungsprogrammierschnittstelle (API) Cyberkriminelle nutzen häufig API-Schwachstellen aus, um sich mithilfe von Angriffen wie Denial-of-Service-Angriffen (DoS) und Code-Injections unbefugten Zugriff auf Ressourcen und Daten zu verschaffen.
  • Compliance und Governance Obgleich die führenden Cloud-Anbieter die meisten Sicherheitsanforderungen für Regeln und Gesetze unterstützen (z. B. Payment Card Industry Data Security Standard (PCI DSS),Health Insurance Portability and Accountability Act (HIPAA), California Privacy Rights Act (CPRA), Datenschutz-Grundverordnung (DSGVO)), sind die Kunden dafür verantwortlich, dass ihre Workloads und Datenprozesse konform sind. Nicht alle sind dieser Aufgabe gewachsen. Viele Unternehmen gehen davon aus, dass der Cloud-Anbieter sich um die Sicherheit kümmert, und implementieren nicht die Prozesse und Kontrollen, die zur Erfüllung der Anforderungen erforderlich sind.
  • Dynamische Workloads
    Da Cloud-Assets dynamisch bereitgestellt und außer Betrieb genommen werden, können herkömmliche Sicherheitstools nicht die Schutzrichtlinien bieten, die zur Unterstützung der sich schnell ändernden Workloads erforderlich sind.
  • Vergrößerte Angriffsfläche
    Die Einführung von Microservices hat zu einer deutlichen Zunahme öffentlich verfügbarer Workloads geführt, wodurch sich die Angriffsfläche mit jeder weiteren Workload vergrößert.
  • Mangelnde Transparenz und Nachverfolgung
    Bei Cloud-Bereitstellungen, bei denen die Anbieter die vollständige Kontrolle über die Infrastrukturebene haben, haben die Kunden keinen Zugriff darauf und es fehlt ihnen an der Transparenz und Kontrolle, die sie benötigen, um Cloud-Ressourcen genau zu identifizieren und zu quantifizieren oder ihre Cloud-Umgebungen zu visualisieren.
  • Lose Privilegien 
    Cloud-Benutzerrollen sind standardmäßig häufig sehr locker konfiguriert und es werden Privilegien gewährt, die über das erforderliche Maß hinausgehen.
  • Falsch konfigurierte Cloud-Dienste
    Fehlkonfigurationen der Cloud entstehen dadurch, dass Benutzer oder Administratoren die Sicherheitseinstellungen nicht richtig anwenden. Dies führt zu Problemen wie uneingeschränktem ausgehenden Zugriff oder schwachen Anmelddaten, die zu einer Datenverletzung führen können.
  • Zero-Day-Exploits 
    Selbst führende Cloud-Sicherheitsanbieter sind anfällig für Zero-Day-Exploits, die Schwachstellen in nicht gepatchter Software und Betriebssystemen ausnutzen.

Cloud-Sicherheit und Zero Trust

Die Grundprinzipien von Zero Trust in der Cloud-Computing-Sicherheit sind dieselben wie bei jeder anderen Bereitstellung: Vertrauen Sie niemandem und nichts innerhalb oder außerhalb des Netzwerks automatisch; überprüfen Sie alles. Die Anwendung von Zero Trust für die Cloud-Sicherheit umfasst:

  • Sicherstellen, dass webbasierte Anwendungen ordnungsgemäß sicher sind
  • Implementierung und Durchsetzung einer Governance-Strategie mit geringstmöglichen Privilegien, die den Zugriff der Benutzer auf Ressourcen auf das beschränkt, was zur Erfüllung ihrer Aufgaben erforderlich ist, und so die Angriffsfläche verringert
  • Nutzung der Mikrosegmentierung zur Ermöglichung granularer Cloud-Computing-Sicherheit
  • Erstellen von Zonen, die Workloads voneinander trennen, um alles innerhalb der Zone zu sichern, und Anwenden spezifischer Richtlinien zum Schutz des Datenverkehrs zwischen den Zonen

Zu den zahlreichen Vorteilen der Anwendung von Zero Trust für die Cloud-Sicherheit gehören:

  • Konsistente und umfassende Sicherheit
  • Verbesserte Transparenz bei Daten, Vermögenswerten und Risiken
  • Reduzierte Betriebskosten und Komplexität
  • Schnelligkeit und Flexibilität zur Anpassung an veränderte Anwendungsfälle, Technologien und Bedrohungen

Wichtige Schritte bei der Implementierung von Zero Trust für Cloud-Computing-Sicherheit sind:

  1. Identifizieren Sie, welche Arten von Anwendungen (z. B. öffentlich, privat, SaaS) und Daten (z. B. vertraulich, sensibel) Schutz benötigen, wo sie sich befinden und wer auf sie zugreift und sie nutzt.
  2. Definieren Sie die Schutzoberfläche basierend auf den erforderlichen Ebenen für Daten, Anwendungen, Assets und Dienste.
  3. Bilden Sie die Transaktionsflüsse ab.
  4. Entwerfen Sie die Cloud-Sicherheitsinfrastruktur so, dass Grenzen zwischen Benutzern und Anwendungen geschaffen werden.
  5. Gewähren Sie Zugriffsrechte nach dem Prinzip der geringsten Privilegien.
  6. Informieren Sie Benutzer über Sicherheitsrichtlinien und die Erwartungen an sie beim Zugriff auf und der Nutzung von Anwendungen und Daten in der Cloud.
  7. Überwachen und warten Sie alle Cloud-Computing-Sicherheitssysteme.

Bewährte Praktiken für Cloud-Sicherheit

Unternehmen sollten diese bewährten Praktiken für Cloud-Sicherheit bei der Implementierung von Tools und Kontrollen berücksichtigen.

  • Prüfen Sie, ob Standarddienstkonten vorhanden sind.
  • Entwerfen Sie Zero-Trust-Cloud-Computing-Sicherheit und Netzwerksegmentierung basierend darauf, wie Daten durch das Netzwerk bewegt werden und wie Benutzer und Anwendungen auf vertrauliche Informationen zugreifen.
  • Deaktivieren Sie ungenutzte Ports.
  • Stellen Sie sicher, dass die Cloud-Sicherheit den Anforderungen von Standards, Gesetzen und Vorschriften entspricht, einschließlich des Sarbanes-Oxley Act (SOX), des Gramm-Leach-Bliley Act (GLBA), des Federal Information Security Management Act (FISMA), des National Institute of Standards and Technology (NIST) und der Society for Worldwide Interbank Financial Telecommunications (SWIFT).
  • Etablieren Sie eine kontinuierliche Aktivitätsüberwachung für alle privilegierten Benutzer (z. B. Systemadministratoren, Manager).
  • Ermöglichen Sie klare Onboarding- und Offboarding -Verfahren, einschließlich des Hinzufügens und Entfernens von Konten und deren Privilegien.
  • Behalten Sie den Überblick über privilegierte Benutzer in der Cloud-Infrastruktur.
  • Wissen Sie, wer für jeden Aspekt der Cloud-Sicherheit verantwortlich ist – intern und extern.
  • Bieten Sie Benutzern ein sicheres, konsistentes und nahtloses Erlebnis, unabhängig davon, wo sie sich physisch befinden, wie sie eine Verbindung herstellen möchten oder welche Anwendungen sie verwenden möchten.
  • Entfernen Sie unnötige Prozesse und Instanzen.
  • Fordern Sie die Verwendung starker Passwörter und einer mehrstufigen Authentifizierung.
  • Planen Sie regelmäßige Bewertungen der Benutzerprivilegien ein.
  • Nehmen Sie sich Zeit, die bestehenden Beziehungen zu ermitteln, und arbeiten Sie mit den Beteiligten zusammen, um normale Anwendungsverhaltensmuster und die Kommunikation zwischen Systemen zu verstehen.
  • Informieren Sie Benutzer über Anzeichen von Phishing und Social Engineering und verwenden Sie dazu reale Angriffssimulationen, um die versehentliche Offenlegung vertraulicher Informationen zu vermeiden.
  • Machen Sie sich mit der Funktionsweise der Cloud-Architektur vertraut, um Sicherheitslücken aufgrund falscher Konfigurationen zu vermeiden.
  • Verwenden Sie das Netzwerkverkehrs-Monitoring zur passiven Anwendungserkennung.

Cloud-Sicherheitslösungen

Aufgrund der verteilten und dynamischen Natur des Cloud Computing sollte eine breite Palette von Sicherheitstools und -praktiken verwendet werden, darunter die folgenden.

  • Änderungsmanagement und Softwareupdates
    Wendet Governance- und Compliance-Regeln und -Vorlagen an, wenn virtuelle Server bereitgestellt, auf Konfigurationsabweichungen geprüft und Probleme behoben werden.
  • Cloud WAF (Web Application Firewall) 
    Überwacht eingehenden Datenverkehr und Anfragen, bevor sie den Server erreichen und auf Geschäftsressourcen zugreifen.
  • Compliance-Bewertungen 
    Überprüfung und Aktualisierung von Compliance-Regeln und -Anforderungen.
  • Control over cloud data with:
    • Datenklassifizierung, um zu verhindern, dass Daten aufgrund ihrer Klassifizierung (z. B. sensibel, reguliert, öffentlich) in die Cloud gelangen oder sie verlassen.
    • Data Loss Prevention (DLP) schützt Daten vor unbefugtem Zugriff und deaktiviert automatisch den Zugriff und die Übertragung von Daten, wenn verdächtige Aktivitäten erkannt werden.
    • Zusammenarbeitssteuerungen für das Management von Steuerungen innerhalb der Cloud (z. B. Ändern von Datei- und Ordnerberechtigungen für bestimmte Benutzer, Entfernen von Berechtigungen, Widerrufen freigegebener Links).

  • Datenverschlüsselung
    Schützt im Fall eines Verstoßes vertrauliche und sensible Informationen, indem diese maskiert werden.
  • Gerätezugriffskontrolle für Cloud-Daten und -Anwendungen 
    Blockiert den Zugriff basierend auf Regeln (z. B. wenn ein persönliches, nicht autorisiertes Gerät versucht, auf Cloud-Daten zuzugreifen).
  • Verbesserter Datenschutz
    Nutzt Verschlüsselung auf allen Transportebenen, um Dateifreigaben und Kommunikation zu sichern, Compliance-Anforderungen im Zusammenhang mit dem Risikomanagement kontinuierlich zu erfüllen und eine gute Data Governance zu unterstützen (z. B. Erkennen falsch konfigurierter Ressourcen, Beenden verwaister Ressourcen).
  • Granulares, richtlinienbasiertes Identitäts- und Zugriffsmanagement (IAM) und Authentifizierung 
    Bietet Zugriffsprivilegien auf Assets und APIs.
  • Identitätsverwaltung und Zugriffskontrollen 
    Definiert, welche Benutzer und Benutzergruppen auf welche Ressourcen und Daten zugreifen können, und setzt das Prinzip der geringsten Privilegien durch.
  • Mikrosegmentierung
    Verwendet dedizierte WAN-Links (Wide Area Network), um den Zugriff auf virtuelle Geräte, virtuelle Netzwerke und deren Gateways sowie IP-Adressen (Public Internet Protocol) anzupassen, um Workloads voneinander bis hin zur einzelnen Workload-Ebene mit detaillierten Sicherheitsrichtlinien an Subnetz-Gateways zu mikrosegmentieren.
  • Firewalls der nächsten Generation
    Verwenden anwendungsbewusste Filterung, um erweiterte Bedrohungen zu stoppen, indem sie den Datenverkehr zu und von Web-Anwendungsservern detailliert prüfen und steuern und die Regeln automatisch als Reaktion auf Änderungen im Datenverkehrsverhalten aktualisieren.
  • Malware-Prävention 
    Verhindert, dass Malware in Cloud-Dienste eindringt, durch Dateiscans, Anwendungs-Whitelists, maschinenlernbasierte Malware-Erkennung und Netzwerkverkehrsanalyse.
  • Privilegierte Zugriffskontrollen
    Identifizieren alle Zugriffsformen, die privilegierte Konten auf Daten und Anwendungen haben, und implementieren und verwalten dann Kontrollen, um die Gefährdung zu begrenzen.
  • Risikobewertung 
    Identifiziert und behebt Risikofaktoren, die durch Cloud-Umgebungen und Anbieter entstehen.
  • Bedrohungsinformationen 
    Erkennt und behebt bekannte und unbekannte Bedrohungen in Echtzeit, indem der gesamte Datenverkehr gescannt und anschließend aggregierte Protokolldaten mit internen Daten (z. B. Asset- und Konfigurationsmanagementsystemen), Schwachstellenscannern, externen Daten (z. B. öffentlichen Bedrohungsinformationen-Feeds, Geolokalisierungsdatenbanken) und auf künstlicher Intelligenz basierenden Algorithmen zur Anomalieerkennung abgeglichen werden.
  • Benutzerzugriffskontrolle für Cloud-Daten und -Anwendungen (z. B. Cloud Access Security Broker oder CASB)
    Stellt sicher, dass nur autorisierte Benutzer auf Cloud-Daten und -Anwendungen zugreifen.
  • Analyse des Benutzerverhaltens (UBA) 
    Identifiziert böswillige Aktivitäten, beispielsweise durch Erkennung kompromittierter Konten und Insider-Bedrohungen.
  • Visibility into cloud data 
    Uses an API connection to view:
    • Welche Daten werden in der Cloud gespeichert?
    • Wer nutzt Cloud-Daten?
    • Die Rollen der Benutzer mit Zugriff auf Cloud-Daten.
    • Mit wem Cloud-Benutzer Daten teilen.
    • Wo sich Cloud-Daten befinden.
    • Wo auf Cloud-Daten zugegriffen und von wo sie heruntergeladen werden, einschließlich der Geräte.

Fordern Sie interne Verantwortung für die Qualität der Cloud-Sicherheit

Die Sicherheit von Cloud Computing muss für Unternehmen oberste Priorität haben. Cloud-Service-Anbieter sind zwar in der Lage, Systeme und Daten zu schützen, die Verantwortung für die Cloud-Sicherheit liegt jedoch in den Händen der Unternehmen. Ob es um das Monitoring die Überwachung und die Prüfung ausgelagerter Lösungen, das interne Management von Cloud-Bereitstellungen oder hybride Lösungen geht – das Unternehmen muss jeden Aspekt der Cloud-Sicherheit genau kennen.

Es ist wichtig, sich Zeit für die Entwicklung solider Prozesse und Richtlinien für die Cloud-Sicherheit zu nehmen. So erhalten Sie die Gewissheit, dass die Systeme geschützt sind und die Compliance-Anforderungen erfüllen. Richtig umgesetzt, bietet Cloud-Sicherheit den effektivsten Schutz vor Cyberkriminellen und verhindert unbefugten Zugriff, Datenschutzverletzungen und eine endlose Liste weiterer Bedrohungen.

Datum: 23. Juni 2025Lesezeit: 14 Minuten
Sicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt