Cloud Computing bringt viele einzigartige Sicherheitsprobleme und Herausforderungen mit sich. In der Cloud werden die Daten bei einem Drittanbieter gespeichert und über das Internet abgerufen. Das bedeutet, dass die Sichtbarkeit und Kontrolle über diese Daten begrenzt ist. Außerdem stellt sich die Frage, wie die Daten richtig gesichert werden können. Es ist unerlässlich, dass jeder seine jeweilige Rolle und die mit dem Cloud Computing verbundenen Sicherheitsprobleme versteht.
Die Anbieter von Cloud-Diensten betrachten die Sicherheitsprobleme und -risiken der Cloud als eine gemeinsame Verantwortung. Bei diesem Modell ist der Cloud-Service-Anbieter für die Sicherheit der Cloud selbst verantwortlich und der Kunde für die Sicherheit dessen, was er in die Cloud stellt. Bei jedem Cloud-Service - von Software-as-a-Service (SaaS) wie Microsoft 365 bis zu Infrastructure-as-a-Service (IaaS) wie Amazon Web Services (AWS) - ist immer der Cloud-Computing-Kunde dafür verantwortlich, seine Daten vor Sicherheitsbedrohungen zu schützen und den Zugriff darauf zu kontrollieren.
Die meisten Sicherheitsrisiken beim Cloud Computing hängen mit der Sicherheit der Cloud-Daten zusammen. Ob mangelnder Einblick in die Daten, die Unfähigkeit, die Daten zu kontrollieren, oder Datendiebstahl in der Cloud - die meisten Probleme hängen mit den Daten zusammen, die Kunden in der Cloud speichern. Im Folgenden finden Sie eine Analyse der wichtigsten Cloud-Sicherheitsprobleme bei SaaS, IaaS und Private Cloud, geordnet nach der Häufigkeit, mit der sie in Unternehmen weltweit auftreten.
![]()
Die 10 wichtigsten SaaS-Cloud-Sicherheitsprobleme
- Mangelnder Überblick über die Daten in Cloud-Anwendungen
- Diebstahl von Daten aus einer Cloud-Anwendung durch einen böswilligen Akteur
- Unvollständige Kontrolle darüber, wer auf sensible Daten zugreifen kann
- Unmöglichkeit, Daten bei der Übertragung zu und von Cloud-Anwendungen zu überwachen
- Cloud-Anwendungen, die außerhalb der IT-Sichtbarkeit bereitgestellt werden (z. B. Schatten-IT)
- Mangel an Personal mit den nötigen Fähigkeiten, um die Sicherheit von Cloud-Anwendungen zu verwalten
- Unfähigkeit, böswilligen Diebstahl oder Missbrauch von Daten durch Insider zu verhindern
- Fortgeschrittene Bedrohungen und Angriffe auf den Anbieter von Cloud-Anwendungen
- Unfähigkeit, die Sicherheit des Betriebs des Cloud-Anbieters zu beurteilen
- Unfähigkeit zur Einhaltung von Vorschriften
Bei der Sicherheit von SaaS-Clouds geht es naturgemäß um Daten und Zugriff, da die meisten Modelle mit geteilter Sicherheitsverantwortung diese beiden Aspekte in der alleinigen Verantwortung der SaaS-Kunden belassen. Es liegt in der Verantwortung jedes Unternehmens, zu verstehen, welche Daten sie in der Cloud speichern, wer darauf zugreifen kann und welches Schutzniveau sie (und der Cloud-Anbieter) angewendet haben.
Es ist auch wichtig, die Rolle des SaaS-Anbieters als potenziellen Zugangspunkt zu den Daten und Prozessen des Unternehmens zu berücksichtigen. Entwicklungen wie das Aufkommen von XcodeGhost und GoldenEye Ransomware machen deutlich, dass Angreifer den Wert von Software- und Cloud-Anbietern als Angriffsvektor für größere Vermögenswerte erkannt haben. Infolgedessen konzentrieren sich Angreifer zunehmend auf diese potenzielle Schwachstelle. Um Ihr Unternehmen und seine Daten zu schützen, sollten Sie die Sicherheitsprogramme Ihres Cloud-Anbieters genau unter die Lupe nehmen. Erwarten Sie eine vorhersehbare Prüfung durch Dritte mit gemeinsamen Berichten und bestehen Sie auf Bedingungen für die Meldung von Sicherheitsverletzungen, die die technischen Lösungen ergänzen.
![]()
Die 10 wichtigsten IaaS-Cloud-Sicherheitsprobleme
- Cloud-Workloads und Konten, die außerhalb der IT-Sichtbarkeit erstellt werden (z.B. Schatten-IT)
- Unvollständige Kontrolle darüber, wer auf sensible Daten zugreifen kann
- Diebstahl von in der Cloud-Infrastruktur gehosteten Daten durch böswillige Akteure
- Mangel an Personal mit den nötigen Fähigkeiten zur Sicherung von Cloud-Infrastrukturen
- Mangelnder Überblick über die Daten in der Cloud
- Unfähigkeit, böswilligen Diebstahl oder Missbrauch von Daten durch Insider zu verhindern
- Mangel an konsistenten Sicherheitskontrollen für Multi-Cloud- und lokale Umgebungen
- Fortgeschrittene Bedrohungen und Angriffe auf die Cloud-Infrastruktur
- Unfähigkeit, Cloud-Workload-Systeme und -Anwendungen auf Schwachstellen zu überwachen
- Seitliche Ausbreitung eines Angriffs von einer Cloud-Workload auf eine andere
Der Schutz von Daten ist bei IaaS entscheidend. In dem Maße, in dem sich die Verantwortung des Kunden auf Anwendungen, Netzwerkverkehr und Betriebssysteme ausdehnt, werden zusätzliche Bedrohungen eingeführt. Unternehmen sollten die jüngste Entwicklung bei Angriffen berücksichtigen, die über die Daten als Zentrum des IaaS-Risikos hinausgehen. Böswillige Akteure führen feindliche Übernahmen von Rechenressourcen durch, um Kryptowährungen zu schürfen, und sie nutzen diese Ressourcen als Angriffsvektor gegen andere Elemente der Unternehmensinfrastruktur und Dritte.
Wenn Sie eine Infrastruktur in der Cloud aufbauen, ist es wichtig, dass Sie Ihre Möglichkeiten zur Verhinderung von Diebstahl und zur Kontrolle des Zugriffs bewerten. Die Festlegung, wer Daten in die Cloud eingeben darf, die Nachverfolgung von Ressourcenänderungen, um abnormes Verhalten zu erkennen, die Sicherung und Härtung von Orchestrierungs-Tools und die Hinzufügung von Netzwerkanalysen des Nord-Süd- und Ost-West-Verkehrs als potenzielles Signal für eine Kompromittierung werden schnell zu Standardmaßnahmen für den Schutz von Cloud-Infrastrukturen im großen Maßstab.
![]()
Die 5 wichtigsten Sicherheitsprobleme der privaten Cloud
- Mangel an konsistenten Sicherheitskontrollen, die sich über traditionelle Server und virtualisierte private Cloud-Infrastrukturen erstrecken
- Zunehmende Komplexität der Infrastruktur, was zu mehr Zeit/Aufwand für Implementierung und Wartung führt
- Mangel an Personal mit der Fähigkeit, die Sicherheit für ein softwaredefiniertes Rechenzentrum zu verwalten (z.B. virtuelle Rechenleistung, Netzwerk, Speicher)
- Unvollständige Sichtbarkeit der Sicherheit für ein softwaredefiniertes Rechenzentrum (z.B. virtuelle Rechenleistung, Netzwerk, Speicher)
- Fortgeschrittene Bedrohungen und Angriffe
Ein wichtiger Faktor bei der Entscheidung über die Zuweisung von Ressourcen zu einer öffentlichen oder privaten Cloud ist die fein abgestimmte Kontrolle, die in privaten Cloud-Umgebungen möglich ist. In privaten Clouds können zusätzliche Kontrollebenen und zusätzlicher Schutz andere Einschränkungen von privaten Cloud-Implementierungen kompensieren und zu einem praktischen Übergang von monolithischen Server-basierten Rechenzentren beitragen.
Gleichzeitig sollten Unternehmen bedenken, dass die Aufrechterhaltung einer fein abgestimmten Kontrolle Komplexität schafft, zumindest über das hinaus, was die öffentliche Cloud entwickelt hat. Derzeit übernehmen die Cloud-Anbieter einen Großteil des Aufwands für die Wartung der Infrastruktur selbst. Cloud-Nutzer können die Sicherheitsverwaltung vereinfachen und die Komplexität durch Abstraktion der Kontrollen reduzieren. Dies vereinheitlicht öffentliche und private Cloud-Plattformen über physische, virtuelle und hybride Umgebungen hinweg.
![]()
Wie Sie häufige Sicherheitsprobleme beim Cloud Computing entschärfen
Ihr Unternehmen nutzt Cloud-Dienste, auch wenn diese Cloud-Dienste keine primäre Strategie für Ihre Informationstechnologie (IT) darstellen. Um die Sicherheitsrisiken beim Cloud Computing zu minimieren, gibt es drei bewährte Verfahren, auf die alle Unternehmen hinarbeiten sollten:
- DevSecOps-Prozesse - DevOps und DevSecOps haben wiederholt bewiesen, dass sie die Codequalität verbessern, Sicherheitslücken und Schwachstellen reduzieren und die Geschwindigkeit der Anwendungsentwicklung und Funktionsbereitstellung erhöhen. Die Integration von Entwicklungs-, Qualitätssicherungs- und Sicherheitsprozessen innerhalb der Geschäftseinheit oder des Anwendungsteams - anstatt sich auf ein eigenständiges Sicherheitsüberprüfungsteam zu verlassen - ist entscheidend, um mit der Geschwindigkeit zu arbeiten, die das heutige Geschäftsumfeld erfordert.
- Automatisierte Tools für die Anwendungsbereitstellung und -verwaltung - Der Mangel an Sicherheitskompetenzen in Verbindung mit dem zunehmenden Umfang und Tempo der Sicherheitsbedrohungen bedeutet, dass selbst die erfahrensten Sicherheitsexperten nicht mehr mithalten können. Automatisierung, die banale Aufgaben beseitigt und menschliche Vorteile durch maschinelle Vorteile ergänzt, ist ein grundlegender Bestandteil des modernen IT-Betriebs.
- Einheitliche Sicherheit mit zentraler Verwaltung über alle Dienste und Anbieter hinweg - Kein Produkt oder Anbieter kann alles bieten, aber mehrere Verwaltungstools machen es zu einfach, dass etwas durchrutscht. Ein einheitliches Verwaltungssystem mit einer offenen Integrationsstruktur reduziert die Komplexität, indem es die einzelnen Komponenten zusammenführt und die Arbeitsabläufe optimiert.
Wenn Entscheidungen über Kompromisse getroffen werden müssen, sollte bessere Sichtbarkeit die Priorität Nr. 1 sein, nicht mehr Kontrolle. Es ist besser, alles in der Cloud sehen zu können, als zu versuchen, einen unvollständigen Teil davon zu kontrollieren.