Cloud-Sicherheit: Schutzmaßnahmen unter der Lupe · DESffSANS INSTITUTE 1 Cloud-Sicherheit:...

Cloud-Sicherheit: Schutzmaßnahmen unter der Lupe

©2017 SANS™ Institute

Eine Umfrage des SANS InstituteAutor: Dave Shackleford

November 2017

Mit freundlicher Unterstützung von McAfee

ANALYSTENPROGRAMM DES SANS INSTITUTE Cloud-Sicherheit: Schutzmaßnahmen unter der Lupe1

Kurzfassung

Die Nutzung von Cloud Computing-Services nimmt weiterhin stark zu, da Unternehmen ihre Geschäftsanwendungen und Daten zu Cloud-basierten Software-, Plattform- und Infrastrukturdiensten migrieren. Gartner geht davon aus, dass die Ausgaben für öffentliche Cloud-Dienste im Jahr 2017 um 18 % steigen und bis 2020 mehr als 50 % der IT-Ausgaben in Zusammenhang mit der Cloud-Implementierung stehen werden.1

Deloitte Global sagt voraus, dass bis Ende des Jahres 2022 mehr als die Hälfte aller IT-Ausgaben auf IT-as-a-Service-Anbieter entfallen werden.2 Bei der Frage nach den größten Herausforderungen bei der Cloud-Absicherung nannten in der 2016er Ausgabe dieser Umfrage 56 % der befragten Sicherheitsexperten den unzureichenden Zugriff auf die erforderlichen Daten für die Reaktion auf Zwischenfälle sowie für forensische Analysen. 62 % gaben an, dass sie über nicht autorisierte Zugriffe von Außenstehenden besorgt sind, und 59 % machten sich Sorgen über andere Cloud-Mandanten. Von den 10 %, die eine Kompromittierung meldeten, gab die Hälfte gestohlenen Anmeldeinformationen oder kompromittierten Konten die Schuld.3

Wie sieht es in diesem Jahr aus?

Da die Nutzung der Cloud immer mehr zur Routine wird, verschieben Unternehmen sensiblere Kundendaten – insbesondere personenbezogene Kundeninformationen und Gesundheitsdaten – in Cloud-Umgebungen. In unserer Umfrage für 2017 gaben 40 % der befragten Experten an, dass sie personenbezogene Kundendaten in der Cloud speichern (im Vergleich zu 35 % im Jahr 2016). Zudem speichern in diesem Jahr 21 % ihre Gesundheitsdaten in der Cloud, während es im vergangenen Jahr noch 19 % waren.

In diesem Jahr führen vertrauliche Daten die Liste der größten Sorgen bei Sicherheitsteams an. Mehr als 60 % machten sich Sorgen über nicht autorisierte Zugriffe durch Außenstehende,

gefolgt von unsicheren und nicht verwalteten Geräten, die auf vertrauliche Daten in der Cloud zugreifen. Außerdem wurden fehlende Audit-Möglichkeiten sowie die Kompromittierung vertraulicher Daten durch Cloud-Mitarbeiter genannt. Dies schlägt sich in den am häufigsten eingesetzten Sicherheitskontrollen nieder: Die häufigsten drei Kontrollmaßnahmen für Cloud-Umgebungen sind mit jeweils mehr als 80 % VPN (für sicheren Zugriff) sowie Protokoll- und Schwachstellenverwaltung. Zudem setzen etwas weniger als 80 % auf Verschlüsselung.

1 www.gartner.com/newsroom/id/3616417 2 https://www.salesforce.com/assets/pdf/misc/IDC-salesforce-economy-study-2016.pdf3 „Security and Accountability in the Cloud Data Center: A SANS Survey“ (Sicherheit und Verantwortlichkeiten im Cloud-Rechenzentrum:

Eine Umfrage des SANS Institute), Oktober 2016, www.sans.org/reading-room/whitepapers/analyst/security-accountability-cloud-data-center-survey-37327

Die Fakten

der Unternehmen speichern Mitarbeiterdaten in der Cloud, und 40 % der Unternehmen speichern hier auch personenbezogene Kundendaten.

nutzen mehrstufige Authentifizierung, 46 % Malware-Schutztechnologie und 41 % Schwachstellen-Scans. Diese Kontrollen für hybride Clouds werden von Unternehmen am häufigsten erfolgreich genutzt.

sind immer noch der Meinung, dass sie keine ausreichenden forensischen Analysen und Reaktionen auf Zwischenfälle durchführen können, da sie in Cloud-Umgebungen keinen Zugriff auf Protokolle und grundlegende System- und Anwendungsdetails haben.


Kurzfassung (FORTSETZUNG)

Und obwohl das ihre größten Sorgen sind, gaben die 20 % der Befragten mit Kompromittierungen an, dass zu ihren schwerwiegendsten Zwischenfällen beispielsweise Ausfallzeiten/Nichterreichbarkeit (bei Ransomware und DDoS-Angriffen), nicht ordnungsgemäße Konfigurationen sowie der Missbrauch von Konten oder Anmelde informationen gehören.

Außerdem gaben die Umfrageteilnehmer weiterhin an, dass ihnen die Übersicht, Audit-Möglichkeiten und effektiven Kontrollen fehlen, um die Vorgänge in ihren öffentlichen Clouds zuverlässig überwachen zu können. Wir registrieren jedoch eine zunehmende Nutzung von Sicherheitskontrollen in den Cloud-Anbieterumgebungen sowie den verstärkten Einsatz von Security-as-a-Service-Lösungen (SecaaS), um internen sowie externen Sicherheits- und Compliance-Anforderungen zu genügen.

Diese und weitere Erkenntnisse und empfohlene Vorgehensweisen, die bei den Umfrageteilnehmern erfolgreich sind, werden in diesem Bericht vorgestellt.


Der Stand der Dinge bei Cloud Computing

Die hier gezeigten Ansichten geben die Erfahrungen von Umfrageteilnehmern wieder, die aus kleinen Unternehmen (bis 2.000 Mitarbeiter, 50 % der Befragten), mittelgroßen (2.001 bis 5.000 Mitarbeiter, 31 %) und großen Unternehmen (mehr als 15.000 Mitarbeiter, 19 %) stammen. Die Teilnehmer kommen aus den verschiedensten Branchen, darunter Technologie, Cyber-Sicherheit, Bank- und Finanzsektor sowie Behörden. Den größten Anteil (22 %) hatten Sicherheitsanalysten, wobei Cyber-Sicherheitsexperten 50 % davon ausmachen und der Rest hauptsächlich auf IT- und andere Abteilungsleiter entfällt. Während die Umfrageteilnehmer angaben, dass ihre Unternehmen in mehreren Regionen der Welt tätig sind, stammen sie hauptsächlich aus den USA und Europa. Weitere Informationen finden Sie in Anhang A, „Teilnehmer der diesjährigen Umfrage“.

Umfassende Nutzung

Nur ein kleiner Teil der Befragten (7 %) erwartet, dass sie die Zahl der in der Cloud verwalteten Geschäftsanwendungen verdoppeln werden. Der Anteil der Umfrage-teilnehmer, die von einer Verdoppelung der geschäftskritischen Anwendungen ausgehen, ist sogar noch geringer (6 %). Die meisten Teilnehmer gaben jedoch sowohl für geschäfts kritische als auch nicht-geschäftskritische Anwendungen an, dass sie ein Wachstum von bis zu 10 % erwarten. Die Entwicklung zeigt jedoch insgesamt eine Migration von Anwendungen in die Cloud. Tabelle 1 bietet weitere Details dazu.

Tabelle 1. Häufigkeit der Cloud-Nutzung für Anwendungen

AnwendungstypSteigerung um 100 %

Steigerung um 70 % bis 90 %

Steigerung um 40 % bis 60 %

Steigerung um 30 %

Keine Änderung

Senkung

Geschäftskritische Anwendungen

6,3 % 1,9 % 15,2 % 43,1 % 32,3 % 1,3 %

Anwendungen insgesamt 7,4 % 4,3 % 24,7 % 44,5 % 17,3 % 1,9 %

Geschäftsanwendungen und Daten werden am häufigsten in der Cloud gehostet, wobei 96 % meldeten, dass ihre Unternehmen Geschäftsanwendungen in privaten und öffentlichen Clouds verwenden. Mitarbeiteranwendungen wie Dropbox, mit denen Mitarbeiter effizienter auf Unternehmenssysteme zugreifen können, kommen an zweiter Stelle und werden von 84 % der Umfrageteilnehmer genannt. Cloud-basierte Dienste für Sicherungen und Notfallwiederherstellung spielten ebenfalls eine große Rolle und wurden von 84 % der Befragten (im Vergleich zu 80 % im Jahr 2016) angegeben.

Cloud Computing wird heute

so umfassend eingesetzt, dass

wir die Teilnehmer dieses Mal

nicht fragten, ob das ebenfalls

für sie gilt. Stattdessen wollten

wir wissen, ob die Zahl der

in der Cloud bereitgestellten

(geschäftskritischen)

Geschäftsanwendungen

weiterhin wächst.


Der Stand der Dinge bei Cloud Computing (FORTSETZUNG)

Die Speicherung und Archivierung von Daten wird von 80 % der Umfrageteilnehmer in der Cloud gehostet. Andere kritische Infrastrukturfunktionen sind ebenfalls sehr beliebt: verwaltete Services (78 %), Server-Virtualisierung (77 %), Sicherheits-Services (77 %) und gehostete Netzwerkdienste (74 %) (siehe Abbildung 1).

Welche Anwendungen verwenden Sie in der Cloud? Werden sie in öffentlichen Clouds (d. h. ausgelagert an einen Drittanbieter wie Amazon),

in internen privaten Clouds oder in beidem gehostet?

Geschäftsanwendungen und Daten

Verwaltete Services

Desktop-Virtualisierung

Sicherungen und Notfallwiederherstellung

Sicherheits-Services

Mitarbeiteranwendungen (Dropbox u. a.)

Server-Virtualisierung

Speicherung und Archivierung von Daten

Gehostete Netzwerkdienste

0 %

Private Cloud Beides Ö�entliche Cloud

20 % 40 % 60 % 80 % 100 %

Abbildung 1. Workloads und Anwendungen in der Cloud

Öffentlich, Privat und Hybrid

Eine interessante und nennenswerte Entwicklung ist die starke Nutzung von Diensten in der privaten Cloud (oder einer Mischung aus privater und öffentlicher Cloud), anstatt Anwendungen und Workloads ausschließlich in der öffentlichen Cloud zu hosten. Mitarbeiteranwendungen wurden am häufigsten ausschließlich in öffentlichen Clouds bereitgestellt (26 %), gefolgt von allgemeinen Geschäftsanwendungen (22 %). Die am häufigsten in privaten Clouds gehostete Funktion war Desktop-Virtualisierung (43 %), während Sicherung und Wiederherstellung mit 39 % auf dem zweiten Platz folgte.



Außerdem nutzen die meisten Unternehmen heute mehrere öffentliche Cloud-Anbieter (siehe Abbildung 2).

Wie viele öffentliche Cloud-Anbieter nutzen Sie für Geschäftsprozesse, Kommunikation, Sicherheit, Zusammenarbeit und andere Abläufe?

ë

1 4-6 11-202-3 7-10 21-40

50 %

40 %

30 %

20 %

10 %

0 %Mehr als 40

Abbildung 2. Anzahl der genutzten öffentlichen Cloud-Anbieter

Während 17 % angaben, dass sie aktuell nur einen Cloud-Dienst bzw. Cloud-Anbieter nutzen, setzen 41 % zwei oder drei ein und weitere 23 % bis zu sechs. Ganze 19 % nutzen sieben und mehr Cloud-Dienste bzw. Cloud-Anbieter.

Vertrauliche Daten in der Cloud

Der Anteil der Befragten, deren Unternehmen personenbezogene Kundendaten in der Cloud speichern, stieg von 35 % (2016) auf 40 % in diesem Jahr. Der Anteil derer mit Finanzdatensätzen von Kunden in der Cloud sank jedoch leicht von 24 % (2016) auf 22 % (2017). Bei medizinischen Datensätzen wiederum stieg der Anteil in der Cloud um 2 %. Von diesen Bereichen abgesehen gab es zwischen diesem Jahr und 2016 nur minimale Unterschiede bei in der Cloud gespeicherten Datentypen. Tabelle 2 zeigt die in der Cloud gespeicherten Datentypen im Jahr 2016 sowie in diesem Jahr.



Tabelle 2. Vertrauliche Daten in der Cloud

Datentypen 2016 2017

Mitarbeiterdaten 48,2 % 47,5 %

Business Intelligence 40,9 % 42,6 %

Geschäftsdaten (Finanzen und Buchhaltung) 37,8 % 38,3 %

Personenbezogene Kundendaten 35,4 % 40,4 %

Geistiges Eigentum 35,4 % 34 %

Finanzdaten der Kunden 24,4 % 22 %

Gesundheitsdaten 18,9 % 21,3 %

Zahlungskartendaten der Kunden 18,3 % 19,2 %

Daten mit Relevanz für nationale Sicherheit und Strafverfolgungsbehörden

11,6 % 6,4 %

Datensätze zu Schülern/Studenten 11,0 % 10,6 %

Sonstiges 6,7 % 7,8 %

Trotz Bedenken im Zusammenhang mit Kompetenzen, Sicherheit, Verfügbarkeit und Datenkompromittierungen blieb der Anteil der Unternehmen, die vertrauliche Daten in der Cloud speichern, weiterhin hoch. Im vergangenen Jahr gaben 48 % der Befragten an, dass sie Mitarbeiterdaten in der Cloud speichern, gefolgt von den Datentypen Business Intelligence (41 %) sowie Finanzbuchhaltung (38 %). In diesem Jahr haben sich die Zahlen kaum verändert.


Der Stand der Dinge bei Cloud-Sicherheit

Die Schlagzeilen des Jahres 2017 drehten sich um Cloud-Sicherheit und operative Probleme. Im Februar kam es bei Amazon aufgrund eines Bedienungsfehlers zu einem schwerwiegenden Ausfall der S3-Speicherumgebung.4 Bei Microsoft Azure trat ein Fehler im Kühlsystem auf, der zu Störungen bei in Japan gehosteten Cloud-Diensten führte.5 Und in einem Bericht aus dem Jahr 2016 sagte Gartner voraus, dass bis 2020 bei 95 % aller Cloud-Sicherheitsvorfälle der Kunde die Schuld tragen würde.6

Größte Sorgen

Ebenso wie im vergangenen Jahr fragten wir die Umfrageteilnehmer erneut nach ihren größten Sorgen in Bezug auf die Cloud-Nutzung. Zudem wollten wir wissen, welche Sorgen sich in den letzten zwölf Monaten tatsächlich bewahrheitet hatten.

Nicht autorisierte Zugriffe auf Daten durch Außenstehende nahmen bei den Sorgen dieses Jahres wieder den ersten Platz ein: 62 % der Befragten nannten diese Sorge, wobei dieser Fall nur bei 12 % wirklich eintrat. Im Jahr 2016 hatten noch 84 % diese Sorge genannt und 28 % von einem solchen Vorfall berichtet.

Die Möglichkeit, dass ein Angreifer die Schutzmaßnahmen eines Unternehmens unterlaufen und vertrauliche Daten stehlen kann, ist eine offensichtliche Sorge, doch Angreifer sind nicht die einzige Gefahr in der Cloud, die IT-Sicherheitsexperten Kopfzerbrechen bereitet. Die zweitgrößte Sorge (60 %) galt Benutzern, die Sicherheits kontrollen umgehen oder unterlaufen, indem sie mit unsicheren und nicht verwalteten Geräten auf sichere Daten zugreifen. Andere große Sorgen drehten sich um potenzielle Zwischenfälle, die durch fehlende Möglichkeiten zur Aufdeckung von Kompromittierungen, unzureichende Datenhygiene und unehrliche Mitarbeiter bei Cloud-Dienstanbietern verursacht werden (siehe Abbildung 3).

4 https://aws.amazon.com/message/419265 www.datacenterknowledge.com/archives/2017/03/31/data-center-cooling-outage-disrupts-azure-cloud-in-japan6 www.scribd.com/doc/309877508/Market-Guide-for-Cloud-Access-Security-Brokers [Zugriff nur nach Registrierung.]


Der Stand der Dinge bei Cloud-Sicherheit (FORTSETZUNG)

Im Jahr 2016 gaben 45 % der Befragten an, dass sie Ausfallzeiten in der Cloud erlebt hatten. In diesem Jahr waren nur 18 % davon betroffen. Zudem berichteten 38 % der Umfrageteilnehmer im vergangenen Jahr von einer unzureichenden Übersicht über die Vorgänge in der Cloud – diese Zahl sank im Jahr 2017 auf nur noch 10 %. Das könnte auf erhebliche Verbesserungen der Sicherheitskontrollen und Tools für die Cloud hindeuten.

Angriffe auf Cloud-Anwendungen und Workloads

Die Sorgen der Umfrageteilnehmer spiegeln jedoch nicht unbedingt ihre größten Kompromittierungsbereiche wider. Beispielsweise nannten sie nicht autorisierte Zugriffe durch Außenstehende als ihre größte Sorge, gefolgt von Zugriff auf sensible Daten mithilfe unsicherer und nicht verwalteter Geräte. Auf Rang drei folgten fehlende Audit-Möglichkeiten (siehe Abbildung 3).

Was sind die größten Sorgen, die in Ihrem Unternehmen in Bezug auf die Nutzung der öffentlichen Cloud für Geschäftsanwendungen existieren? Welches der genannten Beispiele ist in den letzten zwölf Monaten bei Ihnen aufgetreten?

Bitte nur zutreffende angeben.

Andere

Fehlender Einblick darin, wo welche Datenin der ö�entlichen Cloud verarbeitet werden

Fehlende Möglichkeit zum Verschlüsseln von Daten innerhalb der Umgebung

Fehlkon�guration oder Schwachstelle des Hypervisorsoder eines anderen Virtualisierungsmanagers

Keine gesicherten Kenntnisse über den geogra�schenSpeicherort von vertraulichen Daten

Ausfallzeiten oder Nichtverfügbarkeit von Anwendungen bei Bedarf

Nicht autorisierter Zugri� auf vertrauliche Daten durch andere Cloud-Mandanten

Malware-Kompromittierung durch anderen Cloud-Mandanten

Schlechte Datenhygiene bzw. fehlende Möglichkeitzum Löschen von Daten aus der Umgebung

Nichteinhaltung der SLAs durch den Cloud-Anbieter

Zugri� auf vertrauliche Informationen durch unsichere, nicht verwaltete Geräte

Fehlende Audit-Möglichkeiten

Missbrauch durch Insider im Unternehmen

Nicht autorisierter Zugri� durch Außenstehende

Keine Reaktion auf Zwischenfälle möglich, bei denen andereCloud-Anwendungen und Daten im Mitleidenschaft gezogen werden

Compliance-Anforderungen können nicht eingehalten werden

Kompromittierung vertraulicher Daten durch Mitarbeiter des Cloud-Anbieters

Schlechte Kon�guration und Sicherheit schnell eingeführterAnwendungskomponenten (z. B. Container)

0 % 20 % 40 % 60 %

Tatsächlicher Zwischenfall Hauptsorge

Abbildung 3. Die größten Sorgen und bekannten Probleme



Methoden für Cloud-Angriffe

Denial-of-Service-Attacken (DoS) spielten in 55 % der Cloud-bezogenen Angriffe eine Rolle. Hier hab es eine erhebliche Zunahme im Vergleich zum Vorjahr, als DoS nur bei 29 % der Angriffe genutzt wurde. Laut den Umfrageteilnehmern war bei 50 % der Angriffe im Jahr 2016 die Kompromittierung von Konten und Anmeldeinformationen im Spiel. Solche Angriffe wurden in diesem Jahr von etwas weniger der Befragten (42 %) genannt. Abbildung 4 stellt die gemeldeten Angriffsmethoden dar.

Mit welchen Mitteln wurden die Angriffe durchgeführt? Wählen Sie alle zutreffenden Aussagen aus.

Denial-of-Service-Angri�e

Ausnutzung von Schwachstellen bei virtuellen Server-

Betriebssystemen/-Anwendungen

Angreifer dringen über die Cloudin interne Systeme ein

Gekaperte Konten oderAnmeldeinformationen

Missbrauch von Benutzerkonten mitumfangreichen Berechtigungen

Fehlkon�guration oder Schwachstelledes Hypervisors oder eines

anderen Virtualisierungsmanagers

Ex�ltration vertraulicher Daten direktaus Cloud-Anwendungen

Ausnutzung einer Schwachstellebeim Hosting-Anbieter

Übergangsmängel aus anderengehosteten Cloud-Anwendungen

Andere

20 % 30 % 40 % 50 %0 % 10 % 60 %

Abbildung 4. Ursachen für Cloud-Angriffe/Kompromittierungen

Auch Hypervisoren erwiesen sich im Jahr 2017 als überraschend anfällig: In 45 % der Angriffe wurden falsche Konfigurationen oder Schwachstellen ausgenutzt (25 % im Jahr 2016).

Ein gutes Beispiel dafür wurde Anfang 2017 in Microsoft Azure festgestellt, als private Schlüssel für die Koordinierungs-Tools des Anbieters in vom Anbieter bereitgestellten Images verblieben waren und von einem Kunden entdeckt wurden.7

7 www.techcentral.ie/azure-customer-saves-microsoft-rhel-disaster

Wie viele Kompromittierungen?

Im vergangenen Jahr gaben etwas mehr als 10 % der befragten Unternehmen an, dass es bei ihnen zu einer Kompromittierung im Zusammenhang mit Cloud-Anwendungen und -Daten gekommen war – eine leichte Steigerung im Vergleich zu 2015 (9 %). In diesem Jahr stieg diese Zahl jedoch erheblich und verdoppelte sich fast (20 %). Der wahrscheinliche Grund für diese Zunahme sind mehr Angreifer, die sich auf die Cloud konzentrieren, insbesondere auf unzureichend konfigurierte Cloud-Anwendungen und Verwaltungsoberflächen.

Im Jahr 2016 wussten 22 % der Befragten nicht, ob sie kompromittiert wurden, und 2017 waren immerhin noch 21 % unsicher. Einerseits weist das auf eine leichte Verbesserung der Überwachungs- sowie Erkennungs möglichkeiten in der Cloud hin und zeigt, dass Sicherheitsteams aufmerksamer sind und Cloud-Umgebungen besser im Blick haben. Andererseits bereitet es uns weiterhin Sorgen, dass fast ein Viertel der Umfrageteil nehmer nicht mit Sicherheit sagen konnten, ob sie kompromittiert wurden.



Fehlendes Vertrauen

Die meisten Umfrageteilnehmer (58 %) gaben an, dass sie sich nicht absolut sicher fühlen, jedoch über Möglichkeiten zur Risikominimierung verfügen. Nur 16 % hatten das Gefühl, die volle Kontrolle über Cloud-Risiken zu haben, während weitere 18 % nicht sicher über ihre aktuelle Lage sind und 8 % absolut kein Vertrauen in ihre Möglichkeiten zur Behebung Cloud-basierter Risiken haben. Insgesamt haben also 26 % keinen Überblick oder kein Vertrauen!

Das weist eher auf allgemeine Unzufriedenheit bei den Unternehmen als auf echte Hilflosigkeit hin. Es könnte jedoch auch aus einem fehlenden Verständnis des Modells der gemeinsamen Verantwortung sowie der Trennung von Kunden- und Dienstanbieter-Verantwortung herrühren, die es bei den meisten Cloud-Anbietern gibt. In jedem Fall ist dieses fehlende Vertrauen besorgniserregend.

Verbesserung der Governance

Die meisten Umfrageteilnehmer scheinen besser vorbereitet zu sein, ihre Cloud-Umgebungen mit Richtlinien zu schützen. In der diesjährigen Umfrage gaben 62 % der Teilnehmer an, dass sie Cloud-Sicherheitsrichtlinien und Governance implementiert haben (eine Steigerung gegenüber den 48 % im Jahr 2016). Dennoch zeigen die Ergebnisse, dass 26 % noch keine Richtlinien festgelegt haben, was den 26 % entspricht, die keine Übersicht oder kein Vertrauen haben.

Intern oder ausgelagert?

Unabhängig davon, ob Unternehmen über Richtlinien verfügen, sind sie bei der Verwaltung oder Auslagerung der Cloud-Sicherheitskontrollen in etlichen Bereichen dennoch erfolgreich.

Im vergangenen Jahr wurden die meisten Sicherheits-Tools hauptsächlich intern verwaltet. Es gab jedoch einige Bewegung hin zu Security-as-a-Service-Angeboten (SecaaS). Der Anteil der Schwachstellen-Scans in der Cloud (als SecaaS) stieg von 11 % im Jahr 2016 auf 18 % in diesem Jahr. Cloud-basierte VPN- und Konnektivitätslösungen, die wahrscheinlich Cloud-Proxies und Verbindungs-Gateways umfassen, nahmen von 8 % auf 10 % zu, während Malware-Schutz von 12 % auf fast 16 % anstieg. Tools für die Identitäts- und Zugriffsverwaltung (IDM/IAM) wurden im vergangenen Jahr von 10 % eingesetzt, während es in diesem Jahr 12 % waren. Dies sind nur kleine Steigerungen, doch auch sie sind wichtig.

Zuversicht oder übersteigertes Selbstvertrauen?

Die 16 % der Befragten, die ihrer Meinung nach die vollständige Kontrolle über Cloud-Risiken haben, sind vielleicht übermäßig selbstsicher oder kommen aus Unternehmen, die derzeit noch minimale Bereitstellungen in der Cloud nutzen. Es ist unwahrscheinlich, dass irgendein Unternehmen mit umfangreichen Bereitstellungen in der Cloud tatsächlich vollständige Kontrolle über alle Risiken besitzt. Umfrage teilnehmer aus den Bereichen Cyber-Sicherheit und -Technologie bewerteten ihre Möglichkeiten höher, mit Risiken fertigzuwerden. Dies kann mit ihrer Beteiligung an der Bereitstellung von Sicherheits-Services zusammenhängen.

ERKENNTNIS:

Die meisten Unternehmen

ergreifen Schritte zur

Implementierung von

Richtlinien und Kontrollen

für die Cloud, arbeiten

intensiv an der Minimierung

von Risiken und integrieren

Maßnahmen zur Cloud-

Risikobehebung sowie zur

Steigerung der Sicherheit in

ihre vorhandenen Programme.



Insgesamt fühlen sich die meisten Unternehmen heute zwischen interner Verwaltung und externen SecaaS-Anbietern mit der Mehrzahl der grundlegenden Sicherheits-kontrollen relativ sicher (siehe Abbildung 5).

Die Protokoll- und Ereignisverwaltung scheint sich rasant in Richtung eines Hybrid-Modells zu entwickeln. Angesichts der Aufwendungen und Schwierigkeiten bei der Überführung von Protokolldaten vom Cloud-Anbieter zurück in die interne Umgebung ist das durchaus sinnvoll.

Welche der folgenden Technologien haben Sie erfolgreich implementiert, um vertrauliche Daten zu schützen und den Zugriff auf Ihre Cloud-Umgebungen zu kontrollieren, unabhängig davon,

ob diese intern oder als Security-as-a-Service Anbietern verwaltet werden?

VPN

Forensische Analysen und Reaktion auf Zwischenfälle

Netzwerkzugri�ssteuerungen

Cloud-Verschlüsselungs-Gateways und/oderCloud Access Security Broker (CASBs)

Eindringungserkennung/-schutz (IDS/IPS)

Protokoll- und Ereignisverwaltung

Schutz vor Datenkompromittierungen (DLP, Host- oder Netzwerk-basiert)

Verschlüsselung

Schwachstellen-Scans

Anwendungskontrolle (Anwendungs-Whitelists)

Identitäts- und Zugri�sverwaltung (IDM/IAM)

Malware-Schutz

Agentenbasierte Workload-Remote-Überwachung von Cloud-Anwendungen

Mehrstu�ge Authenti�zierung

Intern verwaltet Beides Security-as-a-Service

0 % 20 % 40 % 60 % 80 %

Abbildung 5. Sicherheitskontrollen in der Cloud



Security-as-a-Service

Die Unternehmen, die Kontrollen von SecaaS-Anbietern verwenden oder deren Sicherheits lösungen und -funktionen integrieren, müssen häufig Cloud-Anbieter-APIs integrieren. Im Jahr 2016 nutzten 32 % aller Unternehmen diese APIs, und diese Zahl ist in diesem Jahr erheblich auf 43 % gestiegen. Dies weist möglicherweise auf einen stärkeren Einsatz von CASB, Identity-as-a-Service (IDaaS) und ähnliche Lösungen hin. In Abbildung 6 sehen Sie eine vollständige Liste der Sicherheitskontrollen und Funktionen, für die die Umfrageteilnehmer die APIs der Cloud-Anbieter nutzen.

Für welche Arten von Sicherheitskontrollen und -funktionen verwenden Sie Cloud-Anbieter-APIs? Wählen Sie alle zutreffenden Aussagen aus.

Protokollierung und Ereignisverwaltung

Lokale Host-Überwachung

Verschlüsselung und Datensicherheit

Forensische Analysen undReaktion auf Zwischenfälle

Identitäts- und Zugri�sverwaltung

Malware-Erkennung

Schwachstellenverwaltung mit Scansund Penetrationstests

Andere

0 % 10 % 30 %20 % 40 % 50 % 60 %

Kon�gurationsverwaltung und -kontrolle

70 %

Abbildung 6. Nutzung von APIs für Cloud-Sicherheit

Diese Unternehmen verwenden die APIs meist für die Konfigurationsverwaltung (69 %), gefolgt von Protokollierung und Ereignisverwaltung (61 %). Die Identitäts- und Zugriffsverwaltung kam mit 55 % gleich danach auf den dritten Platz. Die Konfigurationsverwaltung machte im Jahr 2016 noch knapp 59 % aus, was darauf hinweist, dass ein starkes Bedürfnis nach Kontrolle über Cloud-Ressourcen besteht.


Schutz der hybriden Cloud

Von besonderem Interesse für Sicherheitsexperten ist die Suche nach Kontrollen, die sie einfach zwischen lokalen und Cloud-Umgebungen integrieren können, um ein effektives hybrides Kontrollmodell zu ermöglichen.

Leider können nicht alle Tools und Kontrollen problemlos für das Hybrid-Modell angepasst werden, sodass dies eine Herausforderung bleibt. Glücklicherweise können einige Technologien die Lücke schließen, insbesondere mehrstufige Authentifizierung, Malware-Schutz und Schwachstellen-Scans. Konfigurationsverwaltung wurde jedoch von lediglich 19 % der Umfrageteilnehmer ausgewählt, was darauf hinweist, dass Cloud- bzw. Dienstanbieter die Anforderungen in diesem Bereich sowohl in den Cloud-Umgebungen ihrer Kunden als auch lokal erfüllen können (siehe Abbildung 7).

Welche der folgenden Sicherheitstechnologien konnten Sie zwischen der öffentlichen und der privaten Cloud integrieren? Wählen Sie nur die zutreffenden Antworten aus.

Mehrstu�ge Authenti�zierung

VPN

Schwachstellen-Scans

Schutz vor Datenkompromittierungen(DLP, Host- oder Netzwerk-basiert)

Malware-Schutz

Verschlüsselung und Schlüsselverwaltung

Netzwerkzugri�ssteuerungen

Eindringungserkennung/-schutz (IDS/IPS)

Bedrohungsdatenaustausch

Andere

Ressourcen-/AutomatisierteKon�gurationsverwaltung

0 % 10 % 30 %20 % 40 % 50 %

Abbildung 7. Sicherheitskontrollen für hybride Clouds

Das kann erklären, warum viele Unternehmen die Konfigurationsverwaltung gänzlich in API-integrierte Cloud-Modelle verlagern. Es kann jedoch auch bedeuten, dass die Konfigurations verwaltung allgemein betrachtet vielen Unternehmen Schwierigkeiten bereitet (sowohl bei internen als auch bei Cloud-Bereitstellungen). Leider funktionieren bei mehr als 50 % der Umfrageteilnehmer fast keine der von uns abgefragten Kontroll-bereiche in einem Hybrid-Modell (mit Ausnahme der mehrstufigen Authentifizierung).


Schutz der hybriden Cloud (FORTSETZUNG)

Verwaltung der Benutzer

Parallel zu den in Abbildung 8 aufgeführten herkömmlichen Kontrollen fragten wir nach der Verwaltung der Benutzerkonten für den Cloud-Zugriff. Dabei stellte sich überraschend heraus, dass in den meisten Fällen ausschließlich lokale Verzeichnisse und SSO (Single Sign-On) zum Einsatz kommen. Während diese internen Tools von 9 % für die öffentliche Cloud genutzt werden, verwenden 49 % sie in beiden Fällen – sowohl lokal vor Ort als auch in der öffentlichen Cloud (siehe Abbildung 8).

Wie verwalten Sie Ihre Benutzer in privaten und öffentlichen Cloud-Anwendungen?

Interne Anmeldekonten mit LDAP- oder SSO-Mechanismen

Auslagerung der Benutzerverwaltung zum Cloud-Anbieter

Ein kommerzielles Produkt zur Identitäts-und Zugri�sverwaltung

Zuordnung unserer internen Identitäten zu denvon unserem Cloud-Anbieter genutzten

Ein Identity-as-a-Service-Anbieter (IDaaS)

Für private Clouds Für beides Für ö�entliche Clouds

0 % 20 % 40 % 60 % 80 % 100 %

Abbildung 8. Benutzerverwaltung für die Cloud

Angesichts des enormen Marktwachstums erwarteten wir, dass Unternehmen für Endbenutzer, die Zugriff auf lokale und Cloud-Ressourcen benötigen, für die IDM/IAM-Verwaltung zunehmend auf IDaaS-Anbieter setzen werden. Nur 32 % der Umfrage teilnehmer gaben an, dass IDaaS in der privaten und öffentlichen Cloud genutzt wird, obwohl diese Option bei öffentlichen Clouds am häufigsten genannt wurde. Die beliebteste Option war der Einsatz von LDAP oder SSO zur Bereitstellung von interner Anmeldung bei Cloud-Diensten. Die Zuordnung interner IDs zu Cloud-IDs sowie die Verwendung kommerzieller IDM/IAM-Produkte erreichten in der Liste beliebter Optionen den 2. Platz.

Es ist absolut wichtig, dass Sicherheitsteams die Benutzerkonten sowie die Cloud-Nutzung durch Mitarbeiter überwachen und kontrollieren, obwohl das angesichts der Vielzahl der Cloud-Benutzer und verwendeten Cloud-Anwendungen schwierig sein kann. Das Erstellen von Cloud-Konten ist einfach – erheblich schwieriger ist es, den Lebenszyklus dieser Konten zu verwalten und sie zu entfernen, wenn sie nicht mehr gebraucht werden.

ERKENNTNIS:

Nicht nur die Synchronisierung

von Identitäten ist

wichtig, sondern auch

die Nachverfolgung und

Verwaltung des Lebenszyklus

von Benutzerkonten und

Zugriffsrechten. Dies ist

insbesondere angesichts

der Zahl gekaperter Konten,

die bei Sicherheitsvorfällen

missbraucht werden, sowie

der Sorgen über fehlenden

Überblick über Cloud-

Umgebungen wichtig.



Ebenso schwierig ist die Überwachung der Aktionen von Mitarbeitern, die sich mit der Cloud verbinden. Im Jahr 2016 nutzten die meisten Unternehmen (30 %) eine Form von Echtzeit-Überwachung mit Warnmeldungen. Diese Zahl sank in diesem Jahr erheblich auf nur noch 14 %. Weitere 28 % (2016) überwachten Protokolle mithilfe einer Ereignisverwaltungs- oder SIEM-Plattform, während es 2017 nur noch 22 % waren (siehe Abbildung 9).

Wie kontrollieren und überwachen Sie die Cloud-Nutzung durch Mitarbeiter? Wählen Sie die zutreffendste Antwort.

Unbekannt

Regelmäßige Audits der Zugri�sverwaltungs-protokolle/SIEM-Systeme

Echtzeit-Überwachung der Datenzugri�e (mit Warnmeldungen)

Intern verwaltete Tools zur Benutzeraktivitätsüberwachung

Cloud-basierter Dienst zur Benutzeraktivitätsüberwachung (Cloud Access Security Broker, CASB)

Andere

11,7 %

37,5 %

1,6 %

21,9 %

14,1 %

13,3 %

Abbildung 9. Kontrolle und Überwachung von Cloud-Benutzern

Wir waren überrascht, dass CASB-Lösungen nur von 12 % der Umfrageteilnehmer genutzt wurden. In diesem Jahr bereitet uns die enorme Zunahme von „Unbekannt“-Antworten (38 %) die meisten Sorgen. Angesichts der Risiken, die ein Kontroll- und Übersichtsverlust über Benutzerkonten und Daten mit sich bringt, ist das kein gutes Zeichen.

Entwicklung empfohlener Vorgehensweisen

In Bezug auf empfohlene Vorgehensweisen für die Kontrolle und Überwachung von Daten, die von Mitarbeitergeräten an die Cloud gesendet werden, geben die Umfrage-ergebnisse kein klares Bild. Aktuell benötigen 47 % der befragten Unternehmen noch VPN oder einen abgesicherten Zugang zur Cloud. Andere konzentrieren sich mehr auf den Schutz gespeicherter und übertragener Daten (44 %), während andere auf DLP-Technologien setzen (35 %). Davon abgesehen verteilen sich die Antworten auf alle Bereiche. Manche Unternehmen setzen Proxies ein, andere nutzen Datentrennung, während wieder andere Sicherheits-Tools für Mobilgeräte verwenden. Eine vollständige Übersicht finden Sie in Tabelle 3.



Tabelle 3. Endgerätekontrolle für die Cloud-Nutzung

Ansatz zur Kontrolle und Überwachung von Daten, die zwischen Mitarbeitergeräten und Cloud ausgetauscht werden

Anteil

Erzwingung von VPN oder sicherem Zugriff für Cloud-basierte Anwendungen und Daten 46,9 %

Absicherung von gespeicherten und übertragenen Daten (Verschlüsselung, DLP) 44,3 %

Einsatz von Technologien zum Verhindern von und Schutz vor Datenkompromittierung 34,5 %

Trennung von Unternehmens- und persönlichen Daten sowie Anwendungen 32,7 %

Entschlüsselung von Gerätedatenverkehr mit einem Web-Proxy 31 %

Zentralisierung der Verwaltung für Mobilgeräte-Apps, Inhalte und Geräte (z. B. Löschen per Fernzugriff)

30,1 %

Beschränkung der Apps, die auf Mobilgeräte heruntergeladen und installiert werden dürfen

26,6 %

Bedrohungsüberwachung und -meldung für Netzwerk, Geräte und Anwendungen/Daten 25,7 %

Erfassung, Registrierung und Steuerung, auf welche vertraulichen Daten Geräte zugreifen können

22,1 %

Durchsetzung von Datensicherheitsrichtlinien mit einer API-Integration für die Cloud-Anwendung

18,6 %

Scans von Datenverkehr mit einem Inline-CASB 18,6 %

Nutzung von Standorterfassung und Nachverfolgung von Mobilgeräten 17,7 %

Registrierung und Fingerprinting für Geräte, die auf Cloud-Anwendungen und Daten zugreifen (bekanntes Gerät)

14,2 %

Andere 3,5 %

Zusammenarbeit mit Anbietern

Da fehlender Einblick in die Aktivitäten des Cloud-Anbieters zu den größten uns gegenüber genannten Sorgen gehört, fragten wir die Umfrageteilnehmer, welche Arten von Audit-Berichten sie von ihren Anbietern erhalten möchten. Eine Übersicht finden Sie in Tabelle 4.

Tabelle 4. Gewünschte Audit-Berichte

Gewünschter BerichtAnteil der Befragten

ISO 27001 57,3 %

CSA Cloud Controls Matrix und STAR-Programm 41,8 %

SSAE 16 SOC 2 31,1 %

FedRAMP 28,2 %

Andere (SOX, SIG, HIPAA) 3,9 %

Audit und Compliance

Viele Unternehmen sind außerdem an Penetrationstests ihrer eigenen Cloud-Anwendungen und -Infrastruktur interessiert. Tatsächlich müssen diese Tests für Compliance-Nachweise durchgeführt werden. Fast 50 % der Umfrageteilnehmer gaben an, dass sie ihre Cloud-Ressourcen mithilfe von Penetrationstests prüfen dürfen (2016: 42 %), während weitere 26 % keine eigenen Tests durchführen können und stattdessen unabhängige Testberichte



von ihren Anbietern erhalten. Immerhin 18 % dürfen keine Tests durchführen und erhalten keine Berichte vom Anbieter zu Penetrations tests. Einige Software-as-a-Service-Anbieter erlauben aufgrund der Konfiguration ihrer Anwendungsumgebung keine Penetrationstests. Für Platform-as-a-Service- und Infrastructure-as-a-Service-Anbieter trifft das jedoch nicht zu, und insgesamt betrachtet werden mehr Anbieter Penetrationstests zukünftig zulassen, um ihren Kunden die Einhaltung interner Standards oder Compliance-Anforderungen zu vereinfachen.

Aufbau besserer Cloud-Schutzmaßnahmen

In Anbetracht der Sorgen in Bezug auf die Erkennung von und Reaktion auf Cloud-Zwischenfälle fragten wir Sicherheitsteams nach ihren größten Herausforderungen bei der Implementierung von Zwischenfallerkennung und -reaktion in Cloud-Umgebungen. Die am häufigsten genannte Herausforderung ist die gleiche wie im letzten Jahr: Zugriff auf grundlegende Forensik- und Ereignisdaten, die für Untersuchungen benötigt werden (55 %). Im Jahr 2016 wurde als zweitgrößte Herausforderung die Mehrmandantenfähigkeit genannt. In diesem Jahr kam sie jedoch erst an dritter Stelle und wurde mit 43 % von fehlendem Verständnis von Cloud-Anbieterdaten, die für Analysen benötigt werden (siehe Abbildung 10), überholt.

Welche Herausforderungen bestanden bei der Implementierung von Tools zur Zwischenfallreaktion und forensischen Analyse für die Cloud?

Wählen Sie nur die zutreffenden Antworten aus.

Unmöglichkeit, Informationen vomCloud-Anbieter zu erhalten, da Vereinbarungmit Cloud-Anbieter Beschränkungen enthält

Fehlende Kenntnisse darüber, welche Informationenvom Cloud-Anbieter für die Analyse erforderlich sind

Fehlender Zugri� auf ursprüngliche Protokolldateienund grundlegende Systeminformationen,

die für forensische Untersuchungen erforderlich sind

Andere

Schwierigkeiten durch Mehrmandantenansatz

0 % 10 % 30 %20 % 40 % 50 % 60 %

Abbildung 10. Beschränkungen in Bezug auf Zwischenfallreaktion und forensische Analysen

Der Grund für diese veränderte Reihenfolge könnte in der zunehmenden Komplexität von Cloud-Bereitstellungen liegen, da die Anzahl und Diversität von Cloud-Diensten und -Ressourcen wächst. Einige Teams hatten zudem das Gefühl, nicht alle zugehörigen Informationen von Cloud-Anbietern zu erhalten, da ihre Möglichkeiten vertraglich beschränkt sind.



Gemeinsame Verantwortung

In ihrem Bericht „State of Cloud Security“ (Stand der Cloud-Sicherheit) aus dem Jahr 2016 weist die Cloud Security Alliance (CSA) darauf hin, dass es in Cloud-Umgebungen noch viele Sicherheits probleme gibt. Zunächst einmal müssen Cloud-Anbieter verschiedene Daten-typen freigiebiger zur Verfügung stellen, zum Beispiel Bedrohungsdaten und Informationen über Zwischenfälle, Informationen und Details zu Kontrollfunktionen sowie Informationen zur Unterstützung offener Unternehmens architekturen. Die CSA thematisiert zudem die in erheblichem Maße fehlenden Cloud-Sicherheits kenntnisse sowie den gravierenden Mangel an qualifizierten Sicherheitsanalysten und -verantwortlichen, die für die Entwicklung und Verwaltung aktueller Cloud-Sicherheits kontrollen erforderlich sind.8 Fehlende IT-Kompetenzen lassen sich häufig nur schwer quantifizieren. Laut einem aktuellen Forbes-Bericht zum Stand der Cloud-Einführung und -Sicherheit hatten 49 % der Teilnehmer einer Umfrage angegeben, ihre Unternehmen würden die Cloud-Implementierung aufgrund fehlender Cyber-Sicherheits kompetenzen verzögern.9

Ausblick

Es zeigt sich, dass die Entwicklung und Implementierung unserer Cloud-Sicherheits-strategien noch lange nicht abgeschlossen ist. Das freie Feedback zu Cloud- und Sicherheitsstrategien der Umfrageteilnehmer weist darauf hin, dass einige wichtige Bereiche angesprochen werden müssen:

• Die Umfrageteilnehmer erwarten mehr systemeigene Kontrollen, die von Anbietern bereitgestellt werden. In dieser Richtung sind bereits Entwicklungen zu sehen.

• Sicherheitsexperten suchen immer noch nach Kontrollen, die sie zwischen ihren lokalen und Cloud-Umgebungen integrieren können.

• Die Nutzung der „Schatten-Cloud“ wurde mehrfach genannt, da eine Reihe von Unternehmen Schwierigkeiten hat, sie in ihren Umgebungen zu kontrollieren.

• Es ist immer noch kein Gleichgewicht zwischen lokalen und Cloud-Bereitstellungen erreicht, da es bei Unternehmen noch Unklarheiten bezüglich der Daten-eigentümerschaft gibt und nicht allen bewusst ist, dass klar definiert werden muss, welche Daten ausschließlich lokal verwendet werden dürfen. Nicht alle Anwendungen und Daten sind für die Nutzung in der öffentlichen Cloud geeignet.

• Sicherheit spielt bei Governance-Entscheidungen, insbesondere bei Mehrfach-Cloud-Bereitstellungen, noch keine große Rolle.

8 https://downloads.cloudsecurityalliance.org/assets/board/CSA-GEAB-State-of-Cloud-Security-2016.pdf9 www.forbes.com/sites/louiscolumbus/2017/04/23/2017-state-of-cloud-adoption-and-security

[Für den Zugriff auf die gesamte Umfrage ist eine Registrierung erforderlich.]

ERKENNTNIS:

Cloud-Dienstanbieter und

Unternehmen spielen jeweils

eine wichtige Rolle bei der

Überwindung fehlender Cyber-

Sicherheitskompetenzen und

der Verbesserung des Standes

der Dinge bei der Cloud-

Sicherheit.


Fazit

Die diesjährige Umfrage brachte einige interessante Erkenntnisse: Unternehmen wechseln immer noch in die Cloud – und mit hohem Tempo. Sicherheitsteams sind mit der Transparenz ihrer Cloud-Dienstanbieter noch immer unzufrieden. Auch die Überwachung und Entfernung von Cloud-Benutzerkonten ist außerordentlich schwierig.

Wir haben jedoch festgestellt, dass Cloud- und SecaaS-Angebote über bessere Kontrollen verfügen. Zudem setzen heute mehr Unternehmen mehrstufige Authentifizierung, Malware-Schutz, Schwachstellen-Scans und andere standardmäßige Kontroll funktionen in der Cloud ein. Die Nutzung von APIs in Cloud-basierten Sicherheits maßnahmen nimmt zu. Es gibt jedoch noch immer einen erheblichen Mangel bei Cloud-Sicherheitskompetenzen.

Insgesamt verbessert sich die Cloud-Sicherheit jedoch, wenn auch mit langsamem Tempo. Und so lange Cloud-Anbieter nicht offener und in Bezug auf Sicherheitsdaten sowie -kontrollen entgegenkommender werden, wird dieser Prozess weiterhin nur langsam vonstattengehen. Im Grunde ist dies die gleiche Schlussfolgerung, zu der wir schon im vergangenen Jahr gelangten.

Die Peripherie verändert sich erheblich, immer mehr Daten werden jetzt in Cloud-Umgebungen gespeichert, und es sind stark datenorientierte Veränderungen notwendig, beispielsweise Confidential Computing für Microsoft Azure oder AWS Macie für Daten-Tagging und -Klassifizierung. Doch selbst diese Funktionen müssen durch mehr Cloud-eigene Sicherheitskontrollen und aktualisierte Prozesse unterstützt werden.

Mit zunehmender Innovation bei Cloud-Dienstanbietern wachsen auch die Vorteile der Cloud. Fortschritt und Akzeptanz bei Cloud-internen Kontrollen und Diensten bleiben jedoch auch weiterhin hinter dem Implementierungstempo zurück.


Anhang A: Teilnehmer der diesjährigen Umfrage

In diesem Jahr wie auch in den vergangenen Jahren erhielten wir qualifizierte Antworten von Experten aus zahlreichen Branchen, in erster Linie aus dem Technologie-, Cyber-Sicherheits- und Banken- sowie Finanzsektor. Behörden (in den Jahren 2015 und 2016 eine der drei wichtigsten Branchen) fiel auf den vierten Platz zurück (siehe Abbildung 11).

In welcher Branche ist Ihr Unternehmen in erster Linie tätig?

Vers

iche

rung

Fina

nz- u

nd B

ankw

esen

Tech

nolo

gie

Fert

igun

g

Einz

elha

ndel

Vers

orgu

ngs-

unte

rneh

men

Behö

rden

Cybe

r-Si

cher

heit

And

ere

Tele

kom

mun

ikat

ion/

ISP

Med

ien

Ges

undh

eits

wes

en

Gem

einn

ützi

geO

rgan

isat

ion/

Vere

in

Bild

ungs

einr

icht

unge

n

20 %

16 %

12 %

8 %

4 %

0 %

Abbildung 11. Umfrageteilnehmer nach Branche

Die an der Umfrage teilnehmenden Unternehmen setzten sich relativ gleichmäßig aus Unternehmen mit bis zu 2.000 und solchen mit mehr Mitarbeitern zusammen. Größere Unternehmen wiederum setzten sich relativ gleichmäßig aus den Bereichen mit 5.001 bis 15.000 und solchen mit mehr als 15.000 Mitarbeitern zusammen. Unternehmen mit weniger als 100 Mitarbeitern machten 17 % der Umfrageteilnehmer aus, während Unternehmen mit 100 bis 1.000 Mitarbeitern einen Anteil von 23 % hatten.

Die bei weitem größte Gruppe der Befragten waren Sicherheitsadministratoren/-analysten (22 %). Doch bei den Antworten waren mehr Rollen vertreten als in vorherigen Jahren, darunter Entwickler, Leiter von Geschäftsbereichen und Compliance-/Risiko-Manager, die heute viel stärker in allgemeine Sicherheitsabläufe involviert sind als noch vor einigen Jahren (siehe Abbildung 12 auf der nächsten Seite).


Anhang A: Teilnehmer an der diesjährigen Umfrage (FORTSETZUNG)

Welche Rolle haben Sie in Ihrem Unternehmen in erster Linie (als Mitarbeiter oder Auftragnehmer)?

Syst

emad

min

istr

ator

/Sy

stem

anal

yst

Sich

erhe

itsar

chite

kt

Sich

erhe

itsad

min

istr

ator

/Si

cher

heits

anal

yst

CSO

/CIS

O/V

P fü

r Sic

herh

eit

Com

plia

nce-

Vera

ntw

ortli

cher

/Ri

siko

man

ager

Ges

chäf

tsbe

reic

hsle

iter

Unt

erne

hmen

sarc

hite

kt

Sich

erhe

itsm

anag

er/

Sich

erhe

itsdi

rekt

or

IT-M

anag

er/IT

-Lei

ter

CIO

/CTO

/VP

für T

echn

olog

ie

Entw

ickl

er

Net

zwer

kadm

inis

trat

or

CEO

/CFO

/CO

O

Audi

tor

And

ere

25 %

20 %

15 %

10 %

5 %

0 %

Abbildung 12. Von Umfrageteilnehmern genannte Rollen

Die meisten Unternehmen (65 %) hatten ihren Hauptsitz in den USA, 14 % in Europa, 8 % in Kanada und 4 % in Asien. Die Umfrageteilnehmer stammten auch aus Unternehmen, die etwas internationaler aufgestellt waren.


Informationen zum Autor

Sponsor

SANS Institute dankt dem Sponsor dieser Umfrage:

Dave Shackleford ist Gründer sowie Chefberater von Voodoo Security und außerdem als SANS-Analyst, Referent und Autor von Schulungskursen, Technischer Leiter bei GIAC sowie Vorstandsmitglied beim SANS Technology Institute tätig. Im Laufe seiner Karriere hat er bereits hunderte Unternehmen in den Bereichen Sicherheit, Vorschriften-Compliance sowie Netzwerk-Architektur und -Entwicklung beraten. Zudem verfügt Dave Shackleford als VMware vExpert über umfangreiche Erfahrung bei der Entwicklung und Konfiguration sicherer virtualisierter Infrastrukturen. Zu seinen früheren Karrierestationen zählen die Position des Chief Security Officer (CSO) bei Configuresoft und des Chief Technology Officer (CTO) beim Center for Internet Security. Derzeit gehört er zum Leitungsteam der Atlanta-Gruppe der Cloud Security Alliance.

Cloud-Sicherheit: Schutzmaßnahmen unter der Lupe · DESffSANS INSTITUTE 1 Cloud-Sicherheit:...

Documents

Transcript of Cloud-Sicherheit: Schutzmaßnahmen unter der Lupe · DESffSANS INSTITUTE 1 Cloud-Sicherheit:...