Schlagwort-Archive: Cloud

Umgang mit Cloud-bezogenen Bedrohungen für das IoT

Originalartikel von Trend Micro

Während große IoT-Implementierungen eine Reihe von Vorteilen bieten, bedeuten gleichzeitig mehr IoT-Geräte – und folglich ein komplexeres IoT-Ökosystem – auch mehr Sicherheitsschwachstellen vom Edge bis zur Cloud. Bei der Risikobewertung berücksichtigen die meisten Unternehmen die Geräte selbst, aber nicht die über die Cloud angebotenen Dienste als wahrscheinliche Angriffsvektoren. Doch bei all den Daten, die durch den Edge-Bereich angehäuft werden, versuchen Unternehmen ihre eigene IT-Infrastruktur durch Cloud-Dienste zu entlasten, was wiederum eine ganz neue Ebene von Cloud-Sicherheitsproblemen schafft. Das IoT stützt sich auf Cloud Computing, um Server zu integrieren, von Sensoren gesammelte Informationen zu analysieren, die Verarbeitungsleistung zu erhöhen und die Speicherkapazität zu steigern. Dennoch  erkennen viele nicht die Dringlichkeit der Implementierung einer Cybersicherheitsstrategie für das IoT. Ein durchdachter Ansatz kann Sicherheitsteams dabei helfen, die Risiken gleich zu mindern, da die Zahl der Bedrohungen sich vervielfacht und diese ständig weiterentwickelt werden.
Weiterlesen

„Die Cloud ist die Basis für zukunftsfähige Geschäftsmodelle“

Von Trend Micro

Die Cloud-Transformation im Finanzwesen nimmt an Geschwindigkeit zu. Im Interview erklärt Kay Buchheister, Senior Executive Finance & Insurance bei Trend Micro, wie Geldinstitute sicher und compliant in die Cloud migrieren können.

Frage: Immer mehr Banken wagen den Schritt in die Cloud. Warum gab es in den letzten Jahren diesen starken Anstieg bei der Cloud-Nutzung? 

Kay Buchheister: So wie viele andere Unternehmen auch können und wollen die meisten Banken nicht länger auf Cloud Computing verzichten. Immerhin sind Cloud-Anwendungen nicht nur kosteneffizienter, sondern bilden auch die Basis für zukunftsfähige Geschäftsmodelle der Banken und Finanzdienstleister.

Welche Chancen bietet die Cloud für Banken konkret? 

Grundsätzlich geht es um die Modernisierung der eigenen Infrastruktur – weg vom eigenen Rechenzentrum hin zu flexiblen und skalierbaren Cloud-Instanzen. In vielen Banken bewirkt das Cloud Computing zudem positive Nebeneffekte: Mehr als die Hälfte der Cloud-Nutzer bestätigen laut KPMG, dass der Cloud-Einsatz insgesamt einen großen Beitrag zur Digitalisierung im Bankensektor leistet. Das betrifft sowohl die Digitalisierung interner Prozesse als auch die Entwicklung neuer Geschäftsmodelle. Wir sehen, dass die digitale Transformation in einer Bank meistens mit einem Cloud-Projekt startet.

Laut einer aktuellen Studie sehen 77 Prozent in der Finanzbranche die regulatorischen Vorgaben für den Cloud-Einsatz als signifikantes Hemmnis. Mit welcher Regulierung werden Banken hier konfrontiert und wo liegt die Herausforderung? 

Die Wahrung der Sicherheit von Unternehmensdaten hat im Bankensektor eine der höchsten Prioritäten. Die Gefahr von Compliance-Verstößen und für manche Betreiber noch unklare regulatorische Anforderungen zählen zu den häufigsten Hemmnissen für die Nutzung von Cloud-Diensten.

In Deutschland gibt es im Wesentlichen drei BaFin-Richtlinien, welche den Rahmen für Banken abstecken und die Compliance sicherstellen sollen: BAIT (Bankaufsichtliche Anforderungen an die IT), MaRISK (Mindestanforderungen an das Risikomanagement) und MaComp (Mindestanforderungen an die Compliance-Funktion). Eine weitere Herausforderung beim Einsatz von Cloud-Lösungen in Banken sehen wir in dem hohen Integrationsaufwand der Cloud-Services in die eigene IT-Architektur.

Wie müssen Banken darauf reagieren? 

Banken würden am liebsten völlig frei entscheiden, welche Services sie in die Cloud auslagern. Im Gegensatz zu weniger stark regulierten Branchen ist ein solches Vorgehen im Finanzsektor jedoch nicht erlaubt, da das Auslagern an einen Cloud-Provider unter die Anforderungen der BaFin fällt. Diese bezweckt mit ihren Compliance-Vorgaben vor allem, dass sich die IT der Banken in einem sicheren Umfeld befindet und die Geldinstitute nicht kollabieren. Um sicher und compliant in die Cloud zu migrieren, benötigen Banken deshalb einen verlässlichen Partner, der in Erfahrungen in diesem besonderen Umfeld mitbringt. Als weltweit führender Anbieter von Hybrid Cloud Security, der einige der wichtigsten Banken zu seinen Kunden zählt, ist Trend Micro dafür die ideale Wahl.

Gibt es hier Unterschiede, je nachdem für welches Cloud-Modell eine Bank sich entscheidet?

Jedes der verfügbaren Cloud-Modelle (Public / Hybrid / Private Cloud) bietet für Banken Vor- und Nachteile. Das betrifft sowohl die Migration wie auch die spätere Nutzung im Allgemeinen. Doch letztendlich gelten für alle Modelle die gleichen regulatorischen Anforderungen.

Neben Compliance ist auch die Cloud-Security eine der Hauptherausforderungen für Banken. Was müssen sie tun, um die sensiblen Daten ihrer Kunden vor Cyberkriminellen zu schützen?

Alle Banken müssen sich mit Cyberkriminalität auseinandersetzen. Die gesamte Branche stellt ein äußerst attraktives Ziel dar und gerät immer häufiger ins Visier von Kriminellen. Deshalb gibt es ja auch die strengen Vorgaben in den Bereichen Sicherheit, Rechtskonformität und Prävention von Wirtschaftskriminalität.

Wenn sich Banken gut gegen zukünftige Cyberangriffe wappnen wollen, ist es unumgänglich, dass sie in Cybersicherheit investieren. Es wird für sie immer wichtiger werden, über ein (Früh-)Erkennungssystem für Cyberbedrohungen für sich und ihre Kunden zu verfügen. Weiterhin wird es eine entscheidende Rolle spielen, welche Banken frühzeitig in der Lage sind, Cybersicherheitsvorfälle zu erkennen, diese schnellstmöglich zu behandeln und den verantwortlichen Stellen zu melden. Wir sprechen hier von „Detection & Response“.

Lesen Sie hier ein Best-Practice-Beispiel für die erfolgreiche Absicherung der Cloud-Migration eines Unternehmens im Finanzwesen.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schließlich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.
Weiterlesen

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Von Trend Micro

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.
Weiterlesen

Kein unternehmensinterner Konsens über Cloud-Sicherheit

Originalartikel von Simply Security, Trend Micro

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.