Datum:
7 Feb 2024
Autor:
PREO AG
On-Premise vs. Cloud
Potenzielle Schwachstellen, die häufig übersehen werden
Nahezu jedes größere Unternehmen beschäftigt sich mit Cloud-Computing und nutzt die Services in unterschiedlicher Ausprägung und Intensität. Die meisten IT-Abteilungen arbeiten bereits seit längerem an umfassenden Cloud-Strategien oder haben diese auf ihrer Agenda. Doch mit dem Einstieg in die Cloud, entweder als hybride Architektur oder Total-Cloud-Lösung, steigen auch die Cloud-spezifischen Sicherheitsrisiken. Aus diesem Grund investieren insbesondere große, global agierende Unternehmen und Cloud-Anbieter weltweit Milliardenbeträge in die Absicherung der Cloud-Infrastrukturen. Wer das Sicherheitsrisiko effektiv minimieren will, sollte neben den großen Risikoszenarien, wie die Verfügbarkeit der physischen Infrastruktur, gezielten Cyberangriffen oder einem Vendor-Lock-in, auch die kleineren indirekten Schwachstellen im Blick behalten.
In diesem Blog-Beitrag schauen wir deshalb auf folgende potenzielle Cloud-Sicherheitsrisiken: Digitale Endgeräte, Multi-Cloud und Schatten-Cloud sowie den Risikofaktor Mensch. Und wir zeigen anhand eines praktischen Beispiels, warum sich Unternehmen nicht nur aus Sicherheitsgründen ganz oder teilweise wieder aus der Cloud verabschieden und stattdessen auf bewährte On-Prem-Lösungen setzen.
Cloud-Sicherheitsrisiko digitale Endgeräte
Sämtliche digitalen Endgeräte, mit denen Nutzer*innen auf Cloud-Services zugreifen, bedürfen der gleichen hohen Sicherheitsstandards wie die Cloud-Infrastruktur selbst, damit diese nicht versehentlich zum Einfallstor werden. Insbesondere in großen Unternehmen oder Organisationen, die standort- und länderübergreifend arbeiten, kann dies zu einer kontinuierlichen Herausforderung werden, die viel Zeit und Ressourcen verschlingt. Allein die Vielzahl der im Umlauf befindlichen Endgeräte, wie PCs, Laptops, Tablets, Smartphones, aber auch Server oder Netzwerk-Drucker, sofern diese mit der Cloud verbunden sind, auf dem aktuell erforderlichen Sicherheitslevel zu halten, gleicht buchstäblich einer Sisyphos-Arbeit. Dies hat immer wieder zur Folge, dass IT-Abteilungen die Gerätesicherheit stark standardisieren und dabei nicht selten unterdimensionieren, weil indirekte Risiken beispielsweise durch Schnittstellenproblematiken nicht ausreichend mit in den Blick genommen werden.
Cloud Sicherheitsrisiken Multi-Cloud und Schatten-Cloud
Während kleinere Unternehmen vielfach nur eine oder weniger Cloud-Services nutzen, entscheiden sich mittelständische Unternehmen oder Konzerne im Rahmen ihrer Cloud-Strategie in der Regel für eine Multi-Cloud-Lösung. Ziel ist es, die Flexibilität, Verfügbarkeit und Sicherheit der benötigten Ressourcen auf einem möglichst konstant hohen Niveau zu halten. So sollen insbesondere zu große und einseitige Abhängigkeiten von einem Cloud-Anbieter, wie bei einem Vendor-Lock-in, vermieden werden. Beliebt ist dabei vor allem die Kombination aus Public-Cloud für standardisierbare und leicht skalierbare Workloads und Privat-Cloud für sensible Daten und Anwendungen. Doch wie bei allen systemischen Schnittstellen, sind diese auch beim Cloud-Computing ein bevorzugtes Angriffsziel und sollten innerhalb der IT-Abteilung im Rahmen des Cloud-Risikomanagements hoch priorisiert werden.
Schwieriger gestaltet es sich da schon mit dem bekannten, aber immer wieder unterschätzten Phänomen der Schatten-Cloud, was in der Regel mit einem weiteren, dem sogenannten Cloud-Sprawl, einhergeht. Die unkontrollierte Ausbreitung von Cloud-Software, beispielsweise auf persönlichen Cloud-Konten von Mitarbeiter*innen oder Abteilungskonten bei mehr oder weniger gut gesicherten öffentlichen Cloud-Anbietern, stellt ein geradezu ideales Einfallstor für Cyberkriminelle dar. In der Regel weiß die interne IT-Abteilung nichts von dieser existierenden Schatten-IT, so dass auch keine spezifischen Sicherheitsvorkehrungen getroffen wurden. Das Risiko ist daher besonders hoch und kann je nach Angriffsszenario schnell die Geschäftsfähigkeit des gesamten Unternehmens bedrohen. Um es wirkungsvoll zu minimieren, ist es wichtig, dass Unternehmen Schatten-IT-Systeme kontinuierlich identifizieren, verwalten und entweder in die offizielle IT-Strategie integrieren oder durch sichere Alternativen ersetzen. Dazu ist es erforderlich, in allen Organisationseinheiten ein Bewusstsein für die bestehenden Sicherheitsrisiken zu schaffen, beispielsweise über regelmäßige Schulungen oder Self-Learning-Angebote.
Cloud-Sicherheitsrisiko Mensch
Am erfolgreichsten sind Cloud-Angriffe in der Regel immer dann, wenn dem Faktor Mensch besondere Bedeutung zukommt. Typische Beispiele sind daher Schwachstellen durch eine fehlerhafte Administration oder Schnittstellenkonfiguration sowie Fehler bei der Anwendung. Ein aktives Cloud-Risikomanagement, von turnusmäßigen Tests bis zu gezielt simulierten Angriffen auf die bestehende IT-Infrastruktur, sorgt dafür, diese Schwachstellen so früh wie möglich aufzudecken und präventiv zu schließen.
Der menschliche Faktor bekommt im Bereich der digitalen Identitäten noch eine weitere sicherheitsrelevante Dimension. Wird diese illegal übernommen oder gestohlen, können auch die damit verbundenen Rollen als User oder Administrator missbraucht werden. Selbst virtuelle Maschinen werden immer mehr zum Nutzer von Cloud-Diensten. Einem aktiven und in die IT-Security-Strategie integrierten Identity and Access Management, kurz IAM, kommt deshalb bei der Minimierung von Cloud-Sicherheitsrisiken eine entsprechende Bedeutung zu.
Zurück aus der Cloud – warum der Mittelständler Swedex wieder auf On-Prem setzt
Dass eine Total-Cloud-Lösung nicht nur eine sicherheitstechnische Herausforderung darstellt, sondern auch eine mitunter schwer kalkulierbare Kostenspirale nach sich ziehen kann, erlebte der Essener Mittelständler Swedex mit rund 300 Mitarbeitenden. Die Konsequenz: Das mittelständische Unternehmen, einer der europaweit führenden Anbieter im Bereich „document presentation“, wollte sowohl den dynamischen Kostenanstieg als auch die Abhängigkeit von einem großen Cloud-Anbieter nicht länger hinnehmen und suchte nach einer eigenständigen und günstigen Alternative. Die Folge: Nach drei Jahren in der Microsoft-Cloud, entschieden sich die Verantwortlichen wieder für den On-Prem-Betrieb. Im Ergebnis ließen sich enorme Einsparungen bei den laufenden Lizenzkosten von rund 100.000 Euro durch die Integration gebrauchter Softwarelizenzen von PREO erzielen. Mehr Infos zu diesem und weiteren Kunden-Cases gibt es hier.
Umfangreiches Angebot an gebrauchten Volumenlizenzen
PREO bietet Unternehmen, Organisationen und öffentlichen Verwaltungen jederzeit eine große Auswahl an gebrauchten Volumenlizenzen aktueller und älterer Programmversionen von Standardsoftware marktführender Hersteller, wie Microsoft oder Adobe. Welcher Bedarf an gebrauchter Software auch immer besteht, mit PREO haben sowohl kleine und mittelständische als auch große Unternehmen alle Vorteile auf ihrer Seite:
- Hohe Einsparungen bei den laufenden Lizenzkosten von bis zu 70 Prozent gegenüber der jeweiligen Neuversion.
- 100 Prozent rechts- und auditsicherer Lizenzerwerb mit höchster Transparenz in allen Abwicklungsschritten inklusive kompletter Dokumentation im PREO-Lizenzportal “Easy Compliance“.
- Langjährige Expertise bei der Integration von gebrauchten Softwarelizenzen in klassische Netzwerkstrukturen oder hybride Lizenzmodelle.
- Bestehende Kapazitäten zum Software-Lizenzmanagement bei großen IT-Infrastrukturprojekten mit tausenden Arbeitsplätzen und länderübergreifenden Standorten.
- Aktiver Beitrag zur Reduzierung des CO2-Fußabdrucks im IT-Bereich durch den Einstieg in eine ressourcenschonende Kreislaufwirtschaft inklusive Verlängerung von Software- und Hardwarezyklen.
- Überzeugende Referenzprojekte für zahlreiche namhafte Unternehmen aus den verschiedensten Branchen.
Übrigens: Brachliegende und nicht mehr benötigte Software kauft PREO gerne zu attraktiven Konditionen an. Unsere Lizenzexpert*innen beraten Sie gerne persönlich und erstellen ein kostenfreies und unverbindliches Angebot.