Regulierung der Lieferkette

Warten Sie nicht auf die Einhaltung von Vorschriften der Anbieter, um für Ihre Cloud-Sicherheit zu sorgen.

Druckfreundlich, PDF & E-Mail

Nach den aufsehenerregenden SolarWinds- und Kaseya-Angriffen des vergangenen Jahres ist die Supply-Chain-Security nun wieder in den Mittelpunkt des Interesses gerückt. Und das ist auch gut so, denn unsere erweiterten Unternehmensökosysteme aus externen Anbietern digitaler und physischer Produkte sind heute größer denn je, und bringen sowohl Wettbewerbsvorteile als auch Cyber-Risiken mit sich. Diese Risiken will die britische Regierung, wie vor Kurzem enthüllt wurde, begrenzen – notfalls durch verschiedene Arten der „Intervention“.

Eine gut umsetzbare Verordnung könnte dazu beitragen, Cyber-Risiken auf Anbieterseite einzudämmen, indem Best-Practice-Standards in der Community aus Cloud-Service- und Managed-Service-Anbietern (CSP/MSP) durchgesetzt werden. Wichtig ist jedoch zu bedenken, dass der Großteil des Risikos in Public-Cloud-IaaS-Umgebungen vom Kunden selbst getragen wird.

CSPs sind geschäftskritische Anbieter

Es sollte niemanden überraschen, dass die Ausgaben für Public Clouds Prognosen zufolge in diesem Jahr um 18 % wachsen sollen und 2022 um 19 % auf weltweit über 362 Mrd. USD. Die Pandemie hat die digitale Transformation in einigen Unternehmen um mehrere Jahre beschleunigt und ihnen ermöglicht, agiler zu werden, sich an schnell ändernde Kundenanforderungen anzupassen und ihre Geschäftsprozesse zu optimieren. Daher werden die CSPs, die Ihre IT-Infrastruktur bereitstellen, zunehmend zu geschäftskritischen digitalen Anbietern.

Doch wer mit externen Anbietern arbeitet, ist auch immer gewissen Risiken ausgesetzt. So geht zum Beispiel aus einem Anfang des Jahres veröffentlichten Bericht hervor, dass Cloud-basierte Benutzerkonten im Laufe des Jahres 2020 von über drei Millionen Angriffen betroffen waren. Tatsächlich sind Cyberkriminelle heute zunehmend darauf aus, Lücken in den Schutzvorkehrungen von Cloud-Infrastruktur aufzuspüren, durch die sie Zugriff auf Web-Applikationen erhalten könnten. Laut einer Studie sind solche Angriffe auf Web-Applikationen im 1. Halbjahr 2020 im Vergleich zum Vorjahr um 800 % gestiegen. Einige Cyberkriminelle sind zudem richtige Experten im Kompromittieren von Datenspeichern mit hochgradig regulierten persönlichen identifizierbaren Informationen (PII), Geschäftsgeheimnissen und geistigem Eigentum.

Das Risiko, dem Unternehmen ausgesetzt sind, wird noch einmal verstärkt durch komplexe Rahmenbedingungen und einen Mangel an Transparenz – wovon es in der Cloud reichlich gibt. Rund 92 % der Unternehmen verfolgen heute eine Multi-Cloud-Strategie und 80 % eine Hybrid-Cloud-Strategie. Dadurch werden die internen Security-Kompetenzen bis an die Grenzen belastet und es entsteht ein zusätzlicher Verwaltungsaufwand, der zu Lücken in den Schutzvorkehrungen führen kann. Tatsächlich wird die Herausforderung der Transparenz in einigen Fällen von den CSPs selbst verschärft, so der behördliche Bericht, in dem Folgendes beschrieben wird:

„Viele der Befragten gaben an, dass sie keine fundierten Beschaffungsentscheidungen treffen können, da es immer schwieriger wird, die erforderlichen Cybersecurity-Garantien von Anbietern zu erhalten, die sich weigern, Informationen über ihre Cybersecurity-Maßnahmen oder die von ihnen eingehaltenen Standards bereitzustellen. Das stellt eine Reihe von geschäftlichen und betrieblichen Herausforderungen für Kunden dar, die letztendlich das Risiko von Cybersecurity-Vorfällen tragen.“

Wird es neue Regelungen geben?

Auch aus diesem Grund ist ein staatliches Eingreifen wahrscheinlich. Mögliche Schritte sind:

  • Bessere Beratung und Anleitung
  • Verbesserung des Zugangs zu qualifizierten Mitarbeitern sowie zu den richtigen Produkten und Dienstleistungen zur Risikoverwaltung
  • Zusammenarbeit mit „einflussreichen Marktakteuren“, um dem Risikomanagement in der Lieferkette über alle Branchen hinweg Priorität einzuräumen

Unter den Wirtschaftsakteuren gilt allerdings der Regulierungsansatz offenbar als beliebteste Lösung. Die Regierung hat Planvorschläge vorgestellt, nach denen CSPs Best-Practice-Frameworks einhalten sollen, um die grundlegende Sicherheit zu erhöhen – obwohl dies für die drei wichtigsten globalen Akteure wohl eher nicht relevant ist.

Jeder sollte Verantwortung übernehmen

Eine Regulierung der Security-Standards ist sicherlich ein erstrebenswertes Ziel. Aber sie wird nicht alle Security-Probleme Ihrer Cloud-Anbieter lösen. Immerhin besagt das Modell der geteilten Verantwortung, dass CSPs nur für die Sicherung ihrer untergeordneten Infrastrukturen verantwortlich sind, nicht aber für die darauf laufenden Systeme. Das bedeutet, dass Kunden ihre Daten, Anwendungen, Betriebssysteme und so weiter selbst schützen müssen. Wie die Regierung in ihrem Bericht feststellte, besteht „bei bestimmten Kunden immer noch die falsche Vorstellung, dass sie durch den Kauf von Cloud- oder Managed-Services das Cybersecurity-Risiko bequem auslagern können.“

Tatsächlich hat Gartner in der Vergangenheit vorausgesagt, dass bis zum Jahr 2020 95 % der Security-Vorfälle in der Cloud vom Kunden verschuldet sein werden.

Cloud-Fehlkonfigurationen sind ein gutes Beispiel dafür, was passieren kann, wenn Unternehmen ihre Rolle im Modell vergessen. Eine IBM-Studie aus dem vergangenen Jahr ergab, dass über 85 % der 8,5 Milliarden gestohlenen Datensätze, die 2019 gemeldet wurden, auf falsch konfigurierte Cloud-Server und andere Konfigurationsfehler zurückzuführen waren. Dies ist besonders besorgniserregend, da Cyberkriminelle immer geschickter darin werden, ungeschützte Systeme zu finden und schnell auszunutzen.

Ein intelligenter Security-Ansatz

Wesentlich ist somit, dass Unternehmen bei der Sicherung ihrer Lieferketten, einschließlich der Cloud-Infrastruktur, proaktiv vorgehen müssen, wenn sie Cyberrisiken ernsthaft minimieren möchten. Die folgenden Schritte geben dafür eine grobe Richtung vor:

  • Durchführung einer rigorosen Bestandsaufnahme der Cloud-Assets
  • Klassifizierung dieser Assets und Datenströme nach Risiko
  • Einsatz von Security-Kontrollen einschließlich:
  • Cloud-Security-Statusmanagement zur Warnung bei und Behebung von Fehlkonfigurationen
  • Cloud-kompatible Web Application Firewalls
  • Cloud-Firewalls
  • SD-WAN und VPNs zur Sicherung des Branch-to-Cloud-Datenverkehrs
  • Erwägen Sie, die Prinzipien des Zero-Trust-Ansatzes umzusetzen, um das Cloud-Risiko weiter zu mindern.

Ihre CSPs gehören zu Ihren wichtigsten Partnern. Leider können Sie nicht einfach davon ausgehen, dass sie all Ihre Assets für Sie schützen werden. Transparenz, Kontrolle und eine kontinuierliche Überwachung Ihrerseits sind das A und O dieser Zusammenarbeit.

Nach oben scrollen
Twittern
Teilen
Teilen