Datenschutz in der Cloud spielend einfach

Software as a Service, Storage as a Service und viele andere as a Service-Modelle sind für Unternehmen eine prima Sache mit diversen Vorteilen. Junge, verteilte und agile Unternehmen etwa binden sich weniger interne IT und aufwendige Administration ans Bein und etablierte Unternehmen reduzieren den Aufwand im hauseigenen Rechenzentrum. IT, Computing und vor allem Anwendungen kommen quasi wie Strom aus der Steckdose. Möglich macht dies vornehmlich die Cloud. Die Parallele hat allerdings einen kleinen Hacken: Während Strom in den meisten Fällen ausschließlich aus der Steckdose entnommen wird, ist es bei der Cloud häufig eine bi-direktionale Beziehung. Man erhält den gebuchten Dienst – ganz ähnlich wie beim Strom – allerdings gibt man gleichzeitig etwas in die Cloud, nämlich wertvolle und sensitive Daten. Und nachdem beispielsweise das EU Cyber-Resilienz-Gesetz und die verschärfte Geschäftsführerhaftung in Kraft getreten sind, ist es für Unternehmen an der Zeit, eine vielleicht zu laxe Handhabung von Daten in der Cloud neu zu überdenken – beispielsweise mit einer datenzentrischen Verschlüsselung.

Weiterlesen

Firewall für die Azure-Cloud von Palo Alto Networks

Die mit Machine Learning (ML) ausgestattete Next-Generation-Firewall von Palo Alto (NGFW) steht jetzt auch als ISV-Dienst für Microsoft Azure zur Verfügung. Der Azure-native Service nennt sich “Cloud NGFW for Azure” und ist vollständig verwaltet. Zum Leistungsumfang der Sicherheitslösung gehören Features wie DNS-Security, Advanced URL Filtering, WildFire und Advanced Threat Prevention. Die ML-Funktionen dienen im Betrieb dazu Zero-Day-Bedrohungen sowie unbekannte und bekannte Angriffe zu unterbinden und so dafür zu sorgen, dass die Anwender ihre Applikationen schnell und sicher auf Azure migrieren können.

Weiterlesen

Automatisierte Benachrichtigungen für S3-Buckets

Viele AWS-Kunden nutzen für den Austausch von Dateien ihrer ereignisgesteuerten und entkoppelten Anwendungen den Amazon Simple Storage Service (Amazon S3). Bei neuen Ereignissen müssen sie üblicherweise schnell mit der Verarbeitung der verfügbaren Dateien beginnen. Hier erfahren Sie, wie Sie zeitnahe Benachrichtigungen erhalten, wenn S3-Objekte erstellt oder überschrieben werden.

Weiterlesen

Hyperscaler im Check – wer kann was und wer braucht was?

In den letzten Jahren hat sich die Public Cloud als zentraler Bestandteil der IT-Infrastruktur in Unternehmen etabliert. Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud bieten ihren Kunden hier eine Vielzahl von Diensten an und kämpfen um die Marktmacht. Doch nicht alle Lösungen sind für Unternehmen gleich gut geeignet. Entscheidend für die Wahl des Anbieters bleibt die eigene Fähigkeit zur adäquaten Nutzung. Darüber hinaus muss er natürlich zu den jeweiligen Anforderungen und Anwendungsfällen passen.

Weiterlesen

Cloud-Dienste sicher nutzen – ISO/IEC 27001:2022

Ob Private oder Public, ob IaaS, PaaS oder SaaS: Cloud-Strukturen und -Dienste bestimmen weite Teile der heutigen IKT-Landschaften von Unternehmen, Organisationen oder Behörden. Einer Statista-Studie zufolge nutzten 2022 bereits 84 Prozent aller deutschen Unternehmen Cloud-Dienste. Weitere 13 Prozent planen oder diskutieren deren Einsatz. Cloud Computing ist längst Realität – und verändert grundlegend die Art und Weise, wie IT-Dienste erbracht und genutzt werden. Die Risiken, die mit der zunehmenden Nutzung einhergehen, sind jedoch vielfältig. Laut des Jahresberichts 2022 der Cloud Security Alliance (CSA) gehören unter anderem ein unzureichendes Identity & Access Management sowie Fehlkonfigurationen oder die versehentliche Offenlegung von Cloud-Daten durch eigene Mitarbeiter zu den größten Bedrohungen. Das Control 5.23 „Informationssicherheit für die Nutzung von Cloud-Diensten“ aus dem neuen Anhang A der aktualisierten ISO/IEC 27001:2022 thematisiert generische Anforderungen zur Minimierung dieser Risiken. Doch was umfasst diese neue Informationssicherheitsmaßnahme im Detail und welche Aspekte müssen für die erfolgreiche Einbindung in ein ISMS (Informationssicherheitsmanagementsystem) beachtet werden?

Weiterlesen

Cloud-Risiken werden immer noch unterschätzt

Der kürzlich erfolgte Angriff auf ein großes Ridesharing-Unternehmen, bei dem sich die Angreifer Zugang zu den Daten der SaaS-Anwendungen und der Cloud-Infrastruktur des Unternehmens verschaffen konnten, war nicht der erste und wird auch sicherlich nicht der letzte Angriff dieser Art sein. Angreifer haben es immer wieder mit denselben Techniken auf immer das gleiche Ziel abgesehen: wertvolle Daten. Sie scannen die Umgebung nach Schwachstellen: Dateien, die nicht geschützt sind, Konten mit schwachen Passwörtern und Passwörter, die im Klartext gespeichert sind. Bei diesem jüngsten Vorfall fanden die Angreifer ein Kennwort, mit dem sie sich Zugang zu dem System verschaffen konnten. Dies ermöglichte ihnen Zugriff auf weitere Daten in einer noch größeren Infrastruktur.

Weiterlesen

Die NIS-2 Direktive als Startschuss für eine Security-Initiative im Unternehmen

Seit einigen Wochen ist die neue Richtlinie NIS-2 zur Netz- und Informationssicherheit in Kraft und löst die Version NIS-1 ab. Mit ihr sollen sich Unternehmen und Organisationen in der Europäischen Union besser auf die hohe IT-Gefährdungslage einstellen. Doch nicht jedes Unternehmen ist davon betroffen und viele haben noch nicht einmal mit der Umsetzung begonnen. Doch da gemäß nationalem Recht die Umsetzung spätestens im Oktober 2024 erfolgt sein muss, ist jetzt die Zeit gekommen, mit dem Projekt zu beginnen.

Weiterlesen