Cloud Threat Protection erfolgreich umsetzen: Selbstschutz ist gefragt

Autor/Redakteur: Daniel Wolf, Regional Director DACH bei Skyhigh Networks/gg

Wer Cloud-Dienste nutzt, benötigt dringend passende Sicherheitslösungen. Aber auch deren richtiger Einsatz will gelernt sein. Die großen Anbieter von Cloud-Diensten, etwa Salesforce, Box, Microsoft und Amazon, investieren viel, um die jeweilige Anwendung sowie die zugrundeliegende Infrastruktur abzusichern. Sie schützen ihre Systeme vor Eindringlingen und Angriffen. Dennoch: 100-prozentigen Schutz garantieren sie nicht. Sie setzen auf das sogenannte Shared-Responsibility-Modell. Darin ist der Anwender ebenso verantwortlich, seinen Cloud-Einsatz einschließlich seiner Daten selbst abzusichern. Dazu gehört es beispielsweise festzulegen, wie der Cloud-Dienst genutzt werden darf, wer Zugriff zu den Daten hat und wer was mit wem teilt.

Unternehmen stellen jedoch häufig fest, dass ihre Sicherheitslösungen aus der On-Premises-Infrastruktur nicht ausreichen, um Bedrohungen in Cloud-Umgebungen lückenlos aufzuspüren. Das liegt unter anderem daran, dass Lösungen für Security Information and Event Management (SIEM) beispielsweise auf heuristischen Regeln basieren und sich ohne menschliches Zutun nicht weiterentwickeln. Das Nutzerverhalten verändert sich dagegen mit der Zeit, zusätzliche Cloud-Dienste werden eingesetzt und neue Angriffsmuster tauchen auf.

Ohne einen speziellen Cloud-Schutz setzen sich Unternehmen deshalb einer Vielzahl von Gefahren aus. Böswillige oder unvorsichtige Mitarbeiter können Daten von einem genehmigten Cloud-Dienst herunter- und in einen nicht genehmigten, unsicheren Filesharing-Dienst wieder hochladen. Ohne die richtigen Maßnahmen können Angestellte Daten auch auf ihre privaten Geräte herunterladen oder an Dritte weiterleiten, wodurch sie letztendlich nicht mehr unter der Kontrolle des Unternehmens stehen. Eine weitere Gefahr für Firmendaten entsteht, wenn Nutzer mit Administratoren-Rechten die Sicherheitseinstellungen der Cloud-Dienste abschwächen. Befindet sich Malware auf einem Computer, kann sie gestohlene Daten über einen nicht überwachten Cloud-Service aus dem Unternehmen herausschmuggeln.

Wirkungsvolle Lösungen für Cloud Threat Protection benötigen zentrale Eigenschaften. Dazu gehören in erster Linie User and Entity Behavior Analytics (UEBA) – also Analysen des Nutzerverhaltens – sowie Algorithmen für maschinelles Lernen. Damit können sie Verhaltensmodelle für Cloud-Nutzer entwickeln und ungewöhnliche Vorgänge, die auf eine Bedrohung hindeuten, erkennen. Dazu sollten sie über einzelne Cloud-Dienste hinweg Bedrohungen einsehen können, selbstlernend sein, sich also ohne menschliche Vorgaben weiterentwickeln und Nutzungsdaten auf ein mathematisches Modell herunterbrechen können. Sie müssen zudem Nutzer nach ihren Verhaltensweisen gruppieren und Aufmerksamkeit auf ausgeprägtes Nutzungsverhalten zu bestimmten Zeiten aufgegliedert nach Uhrzeit, Tag, Woche und Monat legen können.

Das Potenzial voll ausschöpfen

Aber auch die beste Lösung für Cloud Threat Protection kann nur funktionieren, wenn Unternehmen sie richtig einsetzen. Ohne Erfahrungswerte lassen sich detaillierte Regeln mit Schwellen, deren Kontext unbekannt ist, manuell nur sehr schwierig festlegen. Daher sollte zunächst eine selbstlernende Software auf eigene Faust das Nutzerverhalten analysieren und automatisiert Bedrohungen erkennen. Später lässt sich das System verbessern und verfeinern, indem man ihm Feedback gibt und so die Zahl an Fehlalarmen verringert.

Darüber hinaus können einzelne, scheinbar unbedeutende Unregelmäßigkeiten in Kombination auf eine mehrdimensionale Gefahr hinweisen. Wenn sich etwa ein Nutzer von einer neuen IP-Adresse aus einloggt, mehr Daten als sonst herunterlädt oder die Sicherheitseinstellungen in einer Anwendung ändert, dann sind das unabhängig voneinander keine ungewöhnlichen Vorgänge. Treten sie jedoch alle auf einmal auf, deuten sie auf einen Sicherheitsvorfall hin.