RomanenkoAlexey - Fotolia

Angriff auf die Cloud-Infrastruktur: Was tun?

Immer mehr Unternehmen nutzen die Public Cloud. Doch was geschieht, wenn sie gehackt wird? Unternehmen sollten mit dem Provider eine Strategie entwickeln, um richtig zu reagieren.

Die Cloud wird auch in Deutschland zunehmend Normalität. Doch insbesondere Unternehmen müssen hier sensible Daten vor Attacken aller Art schützen. Die Gesamtstrategie für die Bewältigung von Angriffen auf die Cloud-Infrastruktur ist dabei unabhängig davon, ob die Daten in einer Private Cloud oder einer Public Cloud gespeichert werden. In jedem Fall gibt es zwei wichtige Schritte beim Umgang mit einem Vorfall.

Der erste Schritt besteht darin, die Bedrohung zu erkennen und sie möglichst einzudämmen. Dies erfordert eine sofortige Reaktion, damit alle weiteren Daten effektiv geschützt werden. Im zweiten Schritt ist zu analysieren, welches Ausmaß der Hack hatte, welche und wie viele Daten verloren gegangen und welche Auswirkungen zu erwarten sind.

Darauf basierend muss das Unternehmen sicherstellen, dass es sich an das korrekte Berichtsprotokoll hält und einen Wiederherstellungsprozess einleiten kann. Dies gilt nicht nur für Hacks, sondern auch für alle Vorfälle, bei denen Daten gefährdet sind – etwa dem Brand eines Rechenzentrums.

Wer muss benachrichtigt werden?

Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 werden sich die Anforderungen an die Meldepflicht für kompromittierte Daten ändern. So muss ein „Daten-Controller“ – also ein Unternehmen, das kundenbezogene Daten nutzt und verarbeitet – einen Verstoß innerhalb von 72 Stunden dem dafür zuständigen Kommissar melden. „Datenverarbeiter“ – Dienstleister, die Datenerfassungs-Tools für andere Unternehmen bereitstellen – müssen ihre Kunden sofort benachrichtigen, wobei der Verantwortliche dort wiederum 72 Stunden Zeit hat, um darauf zu reagieren.

Wichtig ist aber nicht nur die Art des Unternehmens, bei dem der Vorfall aufgetreten ist, sondern auch die Art der kompromittierten Daten. Wenn es sich zum Beispiel um Finanzinformationen handelt, muss das Unternehmen auch die entsprechenden Finanzinstitute benachrichtigen.

Wie lässt sich das System bereinigen?

Die Wiederherstellung der Daten nach einem Vorfall muss so schnell wie möglich erfolgen. Andernfalls kann dies negative Auswirkungen auf das operative Geschäft und damit auf den Ruf des Unternehmens bei Partnern und Kunden haben. Wenn ein Unternehmen festgestellt hat, welche Daten betroffen waren und wie wichtig diese sind, besteht der nächste Schritt in der möglichst weitgehenden Bereinigung des Systems. Dies kann zum Beispiel die Änderung der Benutzerkonten erfordern oder auch den Austausch veralteter Hardware.

Hier ist eine gute Beziehung zum Cloud-Provider entscheidend, da er Kunden bei diesen Aktivitäten begleiten kann. Wer bereits vorab mit dem Sicherheitsanbieter entsprechende Reaktionsschritte festgelegt hat, kann sogar direkt mit der Bewältigung von Advanced Persistent Threats (APT) starten.

Was zeichnet eine gute Strategie aus?

Schon bei der Einführung einer Sicherheitsstrategie ist zu berücksichtigen, dass sich Bedrohungen ständig weiterentwickeln. In der Vergangenheit richteten sich Sicherheitsprozesse auf die Abwehr von „bösen“ Angreifern aus. Es zeigte sich jedoch, dass sich damit Angriffe nicht vollständig stoppen lassen.

Entsprechend hat sich die Haltung inzwischen geändert. Heute müssen Sicherheitsmaßnahmen ständig weiterentwickelt und auf ihre Funktionsfähigkeit geprüft werden. Selbst die zuständigen Behörden haben ihre Empfehlungen für Firmen entsprechend geändert. Sie enthalten nun den Prozess der konstanten Weiterentwicklung.

Wer ist im Unternehmen daran beteiligt?

Während der Chief Security Officer (CSO) mit Unterstützung des Sicherheitsanbieters den Incident Response leitet, sollten die Entscheidungen rund um den Vorfall unternehmensweit getroffen werden. Die Stakeholder benötigen dabei Richtlinien durch den Chief Information Security Officer, die Rechtsabteilung und die Geschäftsführung, da sie die Budgets zur Analyse von Datenvorfällen genehmigen muss. Zudem sendet der Chief Privacy Officer die entsprechenden Mitteilungen im Namen des Unternehmens an den zuständigen EU-Kommissar oder andere Branchenorganisationen.

Welche Rolle spielt der Public Cloud Provider?

Cloud-Service-Provider und -Partner, die auf den Bedarf zugeschnittene Angebote im Bereich Managed Security und Managed Compliance bereitstellen, können bei einem Sicherheitsvorfall die wertvollsten Helfer sein. Gleichzeitig tragen sie so dazu bei, den Fachkräftemangel im Bereich Cloud-Sicherheit und Datenschutz abfedern.

Denn laut einer Studie von Rackspace und der London School of Economics and Political Science (LSE) ist für die Hälfte der IT-Entscheider das Einstellen der richtigen Fachkräfte schwierig, die ihnen beim Management der Cloud helfen könnten. Dabei gehört Cloud Security mit 40 Prozent zu der gemäß den IT-Entscheidern am schwierigsten zu findenden Fähigkeit.

Alex Fürst, Rackspace

„Ein Unternehmen sollte niemals von einem Vorfall überrascht sein und in Panik geraten. Entsprechend muss es sich auf alle möglichen Bedrohungen vorbereiten.“

 Alex Fürst, Rackspace

Eine gute Beziehung zu einem Anbieter unterstützt alle Phasen von der Abwehr über die Analyse bis zur Wiederherstellung. Dazu sollten Unternehmen regelmäßig mit ihren Partnern über die bestehenden Prozesse sprechen, damit sie jederzeit handlungsfähig sind. Dies kann zum Beispiel das Herunterladen eines Netzwerk-Ports oder das Klonen von Maschinen zur eingehenden Prüfung von Logs umfassen. So lässt sich besser verstehen, was mit den Daten geschehen ist, um für den nächsten Angriff zu lernen.

Auch eine enge Verbindung mit den Anbietern ist wichtig. Denn falls ein Unternehmen den Provider nicht über einen Vorfall informiert, kann dieser den Service aussetzen. Das führt zu Ausfallzeiten und damit zu weiteren Schäden für das Unternehmen.

Wie lassen sich künftige Vorfälle vermeiden?

Ein Unternehmen sollte niemals von einem Vorfall überrascht sein und in Panik geraten. Entsprechend muss es sich auf alle möglichen Bedrohungen vorbereiten. Dazu sollte es sicherstellen, dass die nötigen Tools und der externe Support bereitstehen, sowie die notwendigen Prozesse entwickeln und einüben, bevor ein Vorfall eintritt. Dazu gehört auch die Dokumentation der Verfahren, um aus einem Angriff zu lernen und die Prozesse weiterzuentwickeln.

Eine Möglichkeit bildet dafür das ständige Ausführen von Tools zur Entdeckung von Bedrohungen. Damit können Unternehmen bereits Angriffsversuche erkennen. Daraus resultierende Erkenntnisse sollten sie nutzen, um sich auf weitere Bedrohungen vorzubereiten. Wer dies vernachlässigt, wird schnell ins Hintertreffen geraten und den Cyberkriminellen hinterherlaufen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können Unternehmen Cloud-Dienste sicher nutzen

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Cloud-Sicherheit: Unternehmensdaten schützen

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close