Trend 1: Identity Management in einer hybriden Multi Cloud-Umgebung

Die wenigsten Unternehmen setzen ausschließlich auf einen einzigen Cloud-Provider. Meist nutzen sie eine hybride Multi Cloud-Umgebung, die neben Public und Private Cloud-Instanzen auch eine im eigenen Rechenzentrum betriebene On-Premises-Infrastruktur umfasst. Damit die Cybersicherheit bei dieser Mischung nicht auf der Strecke bleibt, steht ein Multi Cloud-übergreifendes Identity Management (IdM) ganz oben auf der Agenda vieler CISOs. Dieses bietet eine ganze Reihe an Vorteilen:

Flexibilität

Ein IdM für die Multi Cloud erlaubt es Unternehmen, das Verwalten von Identitäten zwischen verschiedenen Cloud-Plattformen und On-Premises-Infrastrukturen flexibel zu koordinieren. So können sie schnell auf neue Geschäftsanforderungen oder sich ändernde Cloud-Strategien reagieren.

Effizienz

Durch das zentrale Management von Benutzerkonten und Zugriffsrechten mehrerer Cloud-Plattformen und On-Premises-Infrastrukturen sparen Unternehmen wertvolle Ressourcen. Vor allem der Personalaufwand sinkt, da Administratoren nicht jedes Benutzerkonto einzeln auf jeder Plattform verwalten müssen.

Sicherheit

Eine einheitliche Security Governance für sämtliche Cloud-Umgebungen und On-Premises-Strukturen erhöht die IT-Sicherheit als Ganzes. Darüber hinaus kann die Konsolidierung der Identitätsverwaltung dazu beitragen, Risiken zu minimieren und die Compliance mit einheitlichen Sicherheitsstandards und -vorschriften zu verbessern.

Kostenersparnis

Die Konsolidierung der Identitätsverwaltung über ein einheitliches IdM bedeutet mitunter auch weniger Kostenaufwand für die Cloud-Sicherheit insgesamt. Dieser reduziert sich vor allem aufgrund des niedrigeren Ressourcenbedarfs bei der Verwaltung von Benutzerkonten und Zugriffsrechten. Ein weiterer Faktor ist die durch die Cloud ermöglichte bedarfsorientierte Kostenstruktur.

Trend 2: IT- und OT-Security treffen sich in der Cloud

Immer mehr Produktionsunternehmen migrieren und betreiben ihre fertigungsnahen IT-Systeme wie das MES in der Cloud. Die Integration dieser Lösungen in die Operational Technology (OT)-Welt birgt – falsch angepackt – gleich mehrere Risiken, die CI(S)Os hinsichtlich der Cloud-Sicherheit auf dem Schirm haben müssen.

Komplexität

Mit der Integration Cloud-basierter Manufacturing-Lösungen steigt die Komplexität der gesamten OT-Umgebung. Durch die Vernetzung zahlreicher Systeme und Geräte entstehen vielfältige potenzielle Angriffsvektoren. Deshalb benötigen IT-Verantwortliche ein ganzheitliches Cloud Security-Konzept.

Vertraulichkeit

Die Nutzung und Verarbeitung sensibler Informationen, z. B. zu Produktionsprozessen, geistigem Eigentum und personenbezogenen Daten, sind wesentlicher Bestandteil der in der Fertigung eingesetzten OT-Systeme. Bei der Integration von Manufacturing-Lösungen aus der Cloud müssen Unternehmen sicherstellen, dass diese Informationen im Sinne der Datensicherheit angemessen geschützt sind.

Interoperabilität

OT-Systeme in der Fertigungsindustrie umfassen häufig proprietäre Technologien und Protokolle, die sich möglicherweise nicht nahtlos mit Cloud-Lösungen und anderen Technologien integrieren lassen. Dies kann dazu führen, dass Schwachstellen und damit Einfallstore für Angreifer entstehen.

Cloud-basierte Sicherheitsrisiken durch Drittanbieter

Cloud-basierte Manufacturing-Lösungen umfassen häufig Softwarekomponenten von Drittanbietern. Damit diese fertigungsnahen Systeme möglichst risikoarm mit der OT integriert werden können, müssen IT-Verantwortliche gewährleisten, dass die Sicherheitsstandards dieser Anbieter ausreichend hoch sind.

Netzwerksicherheit

Insbesondere wenn sie über öffentliche Netzwerke mit OT-Systemen verbunden sind, birgt die Integration von Cloud-Lösungen für Manufacturing ein hohes Risiko für die Netzwerksicherheit. Um unbefugte Zugriffe zu verhindern, benötigen CI(S)Os ein Konzept für Cloud Security, das alle möglichen Schwachstellen erkennt und schließt.

Trend 3: EDR – Schutz für immer mehr Endpunkte

In der Cloud fließen viele prozesskritische Daten zusammen, und sie ist darüber hinaus auch die zentrale Kommunikationsplattform in digitalen Unternehmen. Damit das permanente Einpflegen und Abrufen von Informationen funktioniert, sind viele „Endpunkte“ mit ihr verbunden – von mobilen Geräten über PCs bis hin zu IoT-Devices. Um zu verhindern, dass Cyberkriminelle diese Vielzahl an „Endpunkten“ als Einfallstore für Attacken nutzen können, die beispielsweise einen Datenverlust nach sich ziehen, müssen Unternehmen effektive Maßnahmen für Endpoint Detection and Response (EDR) umsetzen. Die wichtigsten Vorteile entsprechender EDR-Lösungen sind:

Erweiterte Bedrohungserkennung

EDR-Tools scannen nicht nur Dateien, sondern überwachen im Sinne von Zero Trust auch sicherheitsrelevante Vorgänge auf den Endgeräten und leiten im Falle eines verdächtigen Ereignisses oder bei auffälligem Verhalten gezielte Gegenmaßnahmen ein. Sie können komplexe Bedrohungen und auch Zero-Day-Angriffe erkennen und darauf reagieren, um beispielsweise Datenverlust zu verhindern.

Frühes Erkennen von Bedrohungen

Dank einer fortlaufenden Kontrolle aller Endpunktaktivitäten werden potenzielle Bedrohungen zeitnah erkannt. Das ermöglicht es, sie schon in einem frühen Stadium zu beseitigen, bevor sie sich zu einem handfesten Problem für die Cloud Security im Speziellen und die IT-Security im Allgemeinen entwickeln können.

Schnellere Reaktion auf Bedrohungen

Zeit ist ein entscheidender Faktor: Hat die EDR-Lösung eine mögliche Bedrohung wie etwa Malware oder Ransomware identifiziert, leitet sie unverzüglich Gegenmaßnahmen ein. Entweder direkt und automatisch, beispielsweise durch das Verhindern einer Ausführung der Schadsoftware, oder in Form eines Alerts an die zuständigen Sicherheitsanalysten.

Verbesserte Analyse

Die Arten von Bedrohungen für die Cloud-Sicherheit sind so verschieden wie die Strategien der Angreifer. Um Gefahren besser erkennen zu können, ermöglichen gute EDR-Tools eine detailliertere Analyse von Bedrohungen, indem sie Ereignisprotokolle und andere Sicherheitsdaten sammeln und auswerten. Dadurch können Sicherheitsanalysten schneller herausfinden, wie sich eine Bedrohung eingeschlichen hat und welche weiteren Schritte erforderlich sind.

Trend 4: Rundumschutz durch ein SOC

In Cloud-basierten IT-Umgebungen laufen in jeder Sekunde unzählige sicherheitsrelevante Prozesse ab. Um sie alle gründlich und rund um die Uhr zu überwachen und Konzepte wie Zero Trust effektiv umsetzen zu können, setzen immer mehr Unternehmen auf ein 24/7 betriebenes Security Operations Center (SOC), das als Sicherheitsüberwachungs- und Reaktionszentrum speziell auf die Erkennung, Analyse und Reaktion auf Sicherheitsbedrohungen ausgerichtet ist. Für die Einrichtung eines solchen SOC sprechen gleich mehrere gute Gründe:

Verbesserte Erkennung und Reaktion

Mit einem SOC lassen sich Sicherheitsbedrohungen in Echtzeit erkennen. Die fortschrittlichen Überwachungs- und Analysetechnologien ermöglichen in Kombination mit den Experten vor Ort eine schnelle Identifikation – und anschließend eine zeitnahe, adäquate Reaktion.

Bessere Koordination

Je mehr Abteilungen Berührungspunkte mit (Cloud) Security haben, desto schwieriger ist es, ihre einzelnen Erkenntnisse zu einem einheitlichen Bild der Bedrohungslage zusammenzuführen. Ein SOC ermöglicht als zentrale Stelle einen einfacheren Austausch von Informationen und eine bessere Koordination von Entscheidungen.

Proaktive Bedrohungserkennung

Ein SOC unterstützt Unternehmen dabei, Bedrohungen proaktiv zu erkennen. Durch kontinuierliche Überwachung und Analyse von Sicherheitsdaten lassen sich Risiken identifizieren, bevor sie sich manifestieren und ernsthaften Schaden anrichten.

Effektivere Bedrohungsabwehr

Wer ein SOC betreibt, erhöht die Schlagkraft seiner Maßnahmen für die Cloud-Sicherheit. Möglich wird das durch die Integration und Konfiguration von Technologien wie Firewalls, Intrusion Detection bzw. Prevention Systems (IDS/IPS) und Tools für Sicherheitsinformationen und Ereignismanagement (SIEM). Alle diese Lösungen isolieren Bedrohungen zeitnah und beseitigen sie anschließend.

Höhere Effizienz

Der Betrieb eines SOC wirkt sich positiv auf die Effizienz der gesamten Cloud Security-Infrastruktur aus, denn er ermöglicht eine umfassende Automatisierung von Sicherheitsprozessen und -aufgaben. So können sich IT-Teams auf strategische und wertschöpfende Aufgaben konzentrieren.

Trend 5: Managed Cloud Security kommt im produzierenden Mittelstand an

Effektive Cloud Security setzt eine umfassende und ganzheitliche Sicherheitsarchitektur voraus. Bei der Entwicklung, Umsetzung und vor allem beim Betrieb eines entsprechenden Konzepts empfiehlt sich die Wahl eines geeigneten Managed Security Service Provider (MSSP). So profitieren IT-Verantwortliche von mehreren Vorteilen:

Technologische Expertise

Ein guter MSSP verfügt über ein breites Portfolio an Services für Cloud Security, die auf umfangreichen Fachkenntnissen und Erfahrungen in der Cybersicherheit fußen. So kann er Unternehmen bei der Identifizierung und Überwachung von Bedrohungen helfen, Security-Tools entsprechend konfigurieren, Cloud-Sicherheitsrisiken minimieren und Bedrohungen schnell beseitigen.

Ausreichende Ressourcen

Die meisten mittelständischen Unternehmen verfügen nicht über genügend Personal, um eine umfassende interne IT-Sicherheitsinfrastruktur aufzubauen und zu betreiben. Wer Managed (Cloud) Security Services an einen Dienstleister auslagert, profitiert von einer Vielzahl an Fachexperten und höchstem Know-how – für einen effektiven Schutz der Systeme.

Kosteneffizienz

Das Outsourcing von (Cloud) Security Services ist mitunter kosteneffizienter als der Aufbau und der Betrieb einer internen Sicherheitsinfrastruktur. Statt in den Kauf und die Wartung von Sicherheitsausrüstung und -software, die Einstellung und Schulung von Sicherheitspersonal sowie die Überwachung und Analyse von Bedrohungen zu investieren, lässt sich das Sicherheitsbudget für die Dienste eines MSSP genauer planen.

Sichere Compliance

Gerade mittelständische Unternehmen müssen eine ganze Reihe an Sicherheitsregulierungen und -standards einhalten, in der Automobilindustrie z. B. TISAX. Teil des Leistungspakets eines MSSP ist es, sich darum zu kümmern, dass diese Compliance-Vorgaben eingehalten und somit die Haftungsrisiken reduziert werden.

Skalierbarkeit

Für den produzierenden Mittelstand ist es normal, auf sich schnell verändernde Ausgangsbedingungen zu reagieren. Wer einen MSSP engagiert, profitiert von einer skalierbaren (Cloud)Security-Infrastruktur, die sich neuen Begebenheiten ebenfalls schnell anpassen lässt.

Umfassende Cloud Security mit dem richtigen Partner umsetzen

Unternehmen des produzierenden Mittelstands arbeiten entlang der digitalen Wertschöpfungskette häufig mit zahlreichen Lieferanten und anderen Dienstleistern zusammen. Das erhöht die Gefährdung, Ziel eines Cyberangriffs zu werden. Gleichzeitig macht es ihnen nicht zuletzt der chronische Fachkräftemangel so gut wie unmöglich, ganzheitliche Cloud-Sicherheitskonzepte umzusetzen und den Betrieb eines schlagkräftigen SOC zu stemmen. Eine gute Lösung bietet die Zusammenarbeit mit einem technologisch versierten Managed Security Service Provider, der sich mit den branchenspezifischen Anforderungen auskennt und Bedrohungen schnell erkennt sowie zeitnah eliminiert.

Wenn Sie sich weiter über das Thema Cyber- und Datensicherheit informieren möchten oder bereits auf der Suche nach einem geeigneten Partner für Cloud Security sind, dann kontaktieren Sie uns und wir vereinbaren einen unverbindlichen Beratungstermin.

Cyber Security: Definition und Schutzbereiche

Auf die Frage „Was ist Cyber Security?“ gibt es keine universelle Antwort. Cybersicherheit umfasst viele verschiedene Ebenen und Maßnahmen, deshalb ist es schwierig, eine allgemeingültige Definition des Begriffs zu formulieren. Bei Syntax verstehen wir unter Cyber Security oder Cybersicherheit den praktischen Schutz verschiedener IT-Bereiche vor Cyberangriffen, Diebstahl und Zerstörung. Zu diesen insgesamt sieben Schutzbereichen zählen:

• Hardware und Standorte von Rechenzentren über Serverräume und Fertigungsanlagen bis hin zu Bürogebäuden.
• Netzwerke und Infrastruktur, beispielsweise Netzwerkleitungen, Server und Infrastrukturen für Backups, Virtualisierung, Storage, Büro-IT und Fertigungssteuerung sowie -sicherheit.
• Endpunkte, etwa PCs oder mobile Endgeräte wie Smartphones und Tablets.
• Cloud-Infrastruktur, beginnend bei der sicheren Konfiguration über einen geschützten Zugang für Endanwender bis hin zu einer gesicherten Cloud-Anbindung an Edge Devices, On-Premises-Systeme oder andere Cloud-Plattformen (Multi-Cloud).
• Anwendungen und Software, insbesondere Applikationen für Endanwender, ERP, Middleware, Datenbanken und SaaS.
• Digitale Identitäten, inklusive Zugriffsmanagement, (Multifaktor-)Authentifizierung sowie die Verwaltung und Überwachung von Benutzeridentitäten über verschiedene Betriebsumgebungen wie Cloud, On-Premises oder einzelne Anwendungen hinweg.
• Daten, vom sicheren Speichern und Backups bis hin zum Schutz vor unerlaubtem Zugriff.

Cyber Security: Typische Bedrohungen und Angriffsstrategien

Von staatlichen Institutionen über kriminelle Gruppen bis hin zu Einzelpersonen: Die Zahl der verschiedenen Akteure, die Cyberattacken durchführen, ist so breit gefächert wie ihre Motive, etwa finanzieller Gewinn, Rache, politische und strategische Ziele oder einfach der Spaß an der Herausforderung. Übersichtlicher sind hingegen die am häufigsten genutzten Angriffsstrategien, die mit entsprechenden Maßnahmen für Cyber Security verhindert werden sollen:

Malware & Ransomware

Malware ist Schadsoftware, die entwickelt wurde, um in einem Computersystem Schaden anzurichten oder unerwünschte Aktionen in einem Netzwerk auszuführen. Ins System gelangt sie beispielsweise durch das Öffnen von E-Mail-Anhängen, das Besuchen von infizierten Websites oder das Herunterladen von freier Software aus dem Internet. Eine spezielle Art der Malware ist Ransomware, die, einmal installiert, wichtige Daten verschlüsselt und unverwendbar macht. Gerade in Unternehmen kann das im Hinblick auf Profit und Image großen Schaden anrichten, etwa wenn geschäftskritische Finanzdaten, personenbezogene Informationen, Daten aus Forschung & Entwicklung oder Steuerungssysteme in der Produktion betroffen sind. Die Angreifer verlangen dann ein Lösegeld, um die Daten wieder zu entschlüsseln – eine Garantie, dass das nach der Zahlung auch tatsächlich geschieht, gibt es allerdings nicht.

Social Engineering

Bei Social-Engineering-Attacken sollen autorisierte Nutzer dazu gebracht werden, vertrauliche Informationen preiszugeben oder unerwünschte Aktionen auszuführen. Sie finden weniger auf technologischer, sondern eher auf psychologischer Ebene statt. Kontinuierliche Mitarbeiterschulungen sind hier ein probates Mittel, um die Cybersicherheit zu erhöhen. Bekanntestes Beispiel für solche Angriffsstrategien ist Phishing, wo mit gefälschten E-Mails oder Websites persönliche oder finanzielle Daten erbeutet werden sollen. Darüber hinaus nutzen Cyberkriminelle auch Baiting, um sich über vermeintlich attraktive Angebote wie einem kostenlosen Download einer interessanten Software Zugriff auf einen Rechner im firmeneigenen Netzwerk zu verschaffen. Ein weiteres beliebtes Szenario ist Pretexting, bei dem sich der Angreifer fälschlicherweise als jemand anderes ausgibt, beispielsweise als Angestellter einer Bank oder einer Regierungsbehörde, um an vertrauliche Informationen zu gelangen.

Denial of Service

Bei Denial-of-Service-Attacken (DoS) steht nicht das Abgreifen oder Verschlüsseln von Daten im Vordergrund. Ziel ist hier, die Verfügbarkeit des Systems oder Netzwerks mit einer gezielten Flut von Anfragen zu überlasten und so den Zugriff von „legitimen“ Endbenutzer zu verhindern. Eine spezielle, koordinierte Variante dieser Angriffsstrategie ist eine Distributed-Denial-of-Service-Attacke (DDoS). Hier erfolgt die vorsätzliche Überlastung des Systems über mehrere Computer oder Netzwerke. DDoS-Angriffe werden oft über Botnetze ausgeführt, die aus Hunderten oder Tausenden von infizierten Computern bestehen.

Supply Chain Attacks

Im Bereich Cyber Security versteht man unter Supply Chain Attacks gezielte Cyberangriffe auf Schwachpunkte in der (digitalen) Lieferkette eines Unternehmens mit der Absicht, in dessen internes Netzwerk einzudringen. Dabei gibt es verschiedene mögliche Einfalltore, über die der unbefugte Zugriff erfolgen kann. Ein beliebtes Ziel sind beispielsweise die Netzwerke von Lieferanten, die an das IT-System des eigentlichen Ziels angebunden sind und sich so als „Steigbügelhalter“ für die Infiltration nutzen lassen. Gleiches gilt für Cloud-Dienste, mit denen digital abgebildete Supply Chains oft gesteuert werden: Gelingt es dem Angreifer, Schutzmaßnahmen zu umgehen, kann er verheerenden Schaden anrichten.

Beispielszenario 1: Phishing via E-Mail

Ein Mitarbeiter eines Konzerns erhält eine E-Mail von einer vermeintlichen Kollegin aus der Buchhaltung. Sie bittet ihn, die angehängte Rechnung gemäß des intern implementierten Controlling-Prozesses zu prüfen und freizugeben, damit die Bezahlung an den Dienstleister erfolgen kann. Der Empfänger hatte bisher noch keinen Kontakt zu dieser Kollegin, was aufgrund der Unternehmensgröße auch nicht ungewöhnlich ist. Darüber hinaus trägt die Absenderadresse die Firmen-Domain, und die Signatur entspricht den Vorgaben der Corporate Identity.

Was der Mitarbeiter nicht ahnt: Die Mail ist eine professionell erstellte Fälschung eines Angreifers, der eine Schadsoftware angehängt hat. Sobald der Empfänger den Anhang öffnet, wird eine Ransomware oder eine andere Malware ausgeführt, die dem Hacker erlaubt, in das unternehmensweite IT-System einzudringen und beispielsweise wichtige Daten abzugreifen. Dieser Zugriff erfolgt meistens zeitnah, das heißt, selbst wenn früh erkannt wird, dass die Mail nicht von einer Kollegin verfasst wurde, ist es oft bereits zu spät.

Beispielszenario 2: Man-in-the-Middle-Angriff auf einen mit MFA-gesicherten Service

Bei diesem Beispiel hat sich der Angreifer via Phishing bereits die Login-Daten (Mailadresse und Passwort) eines Mitarbeiters für einen Cloud-Dienst verschafft. Sein Problem ist die Mehrfaktor-Autorisierung, bei der die Anmeldung mit den Credentials im Zuge des Zugriffsmanagements nochmals per App bestätigt werden muss. Die Strategie des Hackers ist relativ simpel: Er loggt sich – vorzugsweise außerhalb der gewöhnlichen Arbeitszeiten – unter dem Account ein und löst damit Authentifizierungsnachrichten aus, die automatisch vom Authenticator erstellt werden. Der Endbenutzer kennt das Prozedere, schöpft entsprechend keinen Verdacht und bestätigt den vermeintlich eigenen Login.

So erhält der Angreifer vollen Zugriff auf das Cloud-Konto, inklusiver aller Berechtigungen. Der legitime Nutzer bekommt davon nichts mit, denn die einmal erfolgte Autorisierung ist oft für mehrere Tage gültig. Ist die Überprüfung positiv erfolgt, lässt sich die mit dem verschlüsselten Token „abgesicherte“ Session über einen Proxy-Server nutzen. So kann der Hacker jetzt alle dem Konto verknüpften Ressourcen und Informationen nutzen.

Umfassender Schutz mit individuellen Cyber Security Services

Auch wenn gängige Strategien für Cyberangriffe bestimmten wiederkehrenden Mustern folgen: Die Bedrohungen und das Risiko für die Unternehmens-IT sind vielfältig und komplex. Um Attacken erfolgreich abzuwehren und Risiken zu minimieren, brauchen Verantwortliche für Informationssicherheit ein individuelles Konzept. Versierte Partner für Cyber Security Services wie Syntax bieten ihren Kunden deshalb keine Lösung von der Stange, sondern eine auf das Unternehmen zugeschnittene Strategie. Diese umfasst neben infrastrukturellen Aspekten wie Cloud-Sicherheit auch Mitarbeiterschulungen gegen erfolgreiches Social Engineering, Cloud-basierte Services wie Disaster Recovery und den Betrieb eines eigenen Security Operations Centers (SOC), um Hard- und Software 24/7 zu überwachen. Sie benötigen Unterstützung beim Entwickeln und Umsetzen eines maßgeschneiderten Cyber Security-Konzepts? Dann kontaktieren Sie unsere Experten und vereinbaren Sie gleich einen Termin.