it&t business - Public-Cloud-Security heißt geteilte Verantwortung

E-Mail vor Sonnenaufgang, Meeting nach Feierabend: Die „endlose Arbeitszeit“ nimmt zu 18. 06. 2025

Laut dem aktuellen Microsoft Work Trend Index Special Report verschwimmen die Grenzen zwischen Arbeitszeit und Freizeit zusehends. Immer mehr Berufstätige beginnen ihren Arbeitstag vor 6 Uhr morgens und setzen ihn bis spät in die Nacht fort.

Bitdefender übernimmt Mesh Security 18. 06. 2025

Bitdefender hat die Übernahme von Mesh Security angekündigt, einem Spezialisten für moderne E-Mail-Sicherheitslösungen. Mit dem Zukauf erweitert der Cybersicherheitsanbieter seine Plattform GravityZone und stärkt seine XDR- und MDR-Angebote – insbesondere für Managed Service Provider (MSPs).

IceWarp bringt individuelle KI-Lösungen für volle Datenkontrolle 18. 06. 2025

ceWarp plant den Einsatz privater Sprachmodelle, die ausschließlich auf unternehmenseigenen Daten basieren. Damit will das tschechische Softwareunternehmen Kunden entgegenkommen, die Wert auf vollständige Datenhoheit legen – und sich bewusst gegen öffentliche KI-Dienste entscheiden.

UN ruft zur globalen Zusammenarbeit in virtuellen Welten auf 17. 06. 2025

Auf dem zweiten UN Virtual Worlds Day haben 18 UN-Organisationen gemeinsam einen globalen Aufruf gestartet, das transformative Potenzial künstlicher Intelligenz und virtueller Welten für soziale Entwicklung zu nutzen. Zwölf Prioritäten sollen den digitalen Fortschritt weltweit gerechter gestalten – im Fokus: Kooperation, Standards und Teilhabe.

VivaTech 2025 im Zeichen von KI und globaler Vernetzung 16. 06. 2025

Mit 180.000 Besuchern, über 14.000 Start-ups und einem starken KI-Schwerpunkt markierte die VivaTech 2025 in Paris ihre zentrale Rolle für Europas Tech-Branche. Unternehmen, Investoren und Innovatoren aus 171 Nationen trafen sich, um Zukunftstechnologien zu präsentieren – mit klarer Botschaft: Die Transformation durch Künstliche Intelligenz ist in vollem Gange.

MP2 IT-Solutions als Impulsgeber beim 15. Österreichischen Gesundheitswirtschaftskongress 14. 06. 2025

Der 15. Österreichische Gesundheitswirtschaftskongress (ÖGWK) versammelte am 12. und 13. Juni Entscheidungsträger:innen aus Medizin, Forschung, Wirtschaft und Politik in Wien, um gemeinsam über die Zukunft des heimischen Gesundheitswesens zu diskutieren. MP2 IT-Solutions war einmal mehr als Veranstaltungspartner mit an Bord und unterstrich mit einer eigenen Fachsession seine Rolle als aktiver Impulsgeber für digitale Innovationen im Gesundheitsbereich.

MHP bringt Automobilzulieferer in die Catena-X-Datenwelt 13. 06. 2025

Mit dem Start des Readiness Booster Programms der Volkswagen Group und der offiziellen Zertifizierung als Enablement Service Provider ist MHP nun einer der zentralen Lösungsanbieter für das Catena-X-Ökosystem. Lieferanten profitieren von einer umfassenden Beratung, einer bewährten Technologieplattform und einem sicheren Einstieg in die Welt der industriellen Datenräume.

Ericsson und Supermicro bündeln Kräfte für integrierte Edge-KI-Lösungen 11. 06. 2025

Die beiden Tech-Unternehmen Ericsson und Supermicro haben eine strategische Kooperation angekündigt. Ziel ist die Entwicklung vorkonfigurierter KI-Edge-Lösungen mit integrierter 5G-Konnektivität für Unternehmen verschiedener Branchen.

Portworx Report 2025 zeigt Abkehr von VMware und steigende Relevanz von Kubernetes 10. 06. 2025

Eine aktuelle Umfrage von Portworx by Pure Storage zeigt: Die Mehrheit der Unternehmen strebt eine Reduktion ihrer VMware-Nutzung an – 33 Prozent wollen ganz aussteigen. Cloud-native Plattformen gewinnen rasant an Bedeutung, insbesondere für die Verwaltung virtueller Maschinen. Steigende Lizenzkosten und Modernisierungsdruck treiben die Veränderung.

Palo Alto Networks legt neue Studie zur Nutzung generativer KI vor 09. 06. 2025

Generative KI ist 2025 fixer Bestandteil unternehmerischer IT-Strategien – und stellt Sicherheitsverantwortliche zugleich vor wachsende Herausforderungen. Eine aktuelle Analyse von Palo Alto Networks zeigt deutliche Zuwächse bei Nutzung und Risikovorfällen.

E-Commerce verzeichnet laut Fastly doppelt so viele Cyberangriffe 09. 06. 2025

Laut dem aktuellen Threat Insights Report von Fastly hat sich der Anteil der Angriffe auf den Onlinehandel im Jahresvergleich verdoppelt. Zugleich dominiert automatisierter Bot-Verkehr zunehmend das Netz – mit erheblichen Folgen für Unternehmen.

Wie KI-Agenten Geschäftsprozesse selbstständig steuern 05. 06. 2025

Mit Agentic AI erreichen Automatisierungsstrategien eine neue Stufe: Lufthansa Industry Solutions zeigt in einem aktuellen Whitepaper, wie intelligente KI-Agenten eigenständig agieren und Unternehmen dabei unterstützen, Arbeitszeit zurückzugewinnen und Prozesse effizienter zu gestalten.

Asseco Solutions eröffnet neues Head Office in Linz 04. 06. 2025

Mit der Eröffnung eines neuen Österreich-Standorts in Linz setzt der ERP-Spezialist Asseco Solutions auf moderne Arbeitskonzepte. Der neue Unternehmenssitz soll kollaborative Arbeitsformen, flexible Nutzung und persönliche Weiterentwicklung ermöglichen – und bietet Platz für künftiges Wachstum.

CEO-Fraud-Bande erbeutet 8,7 Millionen Euro – Ermittler sichern Teilbetrag in Österreich 02. 06. 2025

Ein niederländisches Unternehmen fiel einer raffiniert inszenierten CEO-Fraud-Masche zum Opfer – samt Deepfake-Videos und gefälschten Protokollen. Die Täter schleusten knapp neun Millionen Euro über Konten in mehreren Ländern. Dank internationaler Zusammenarbeit konnten in Österreich rund 1,5 Millionen Euro sichergestellt werden.

Michael Otto wird Geschäftsführer bei SIRUM 02. 06. 2025

Seit Juni 2025 verstärkt Michael Otto die Geschäftsführung der SIRUM GmbH. Mit seiner langjährigen Branchenerfahrung soll er die Weiterentwicklung der SIRUM Logistics Suite sowie die Transformation des Unternehmens begleiten.

NetApp AIPod unterstützt NVIDIA AI Data Platform für agentenbasierte KI-Anwendungen 30. 05. 2025

NetApp integriert seine AIPod-Lösung in das Referenzdesign der NVIDIA AI Data Platform, um Unternehmen beim Aufbau sicherer, kontrollierter und skalierbarer Datenpipelines für KI-Anwendungen zu unterstützen. Im Fokus stehen dabei sowohl agentenbasierte KI-Modelle als auch Verfahren wie Retrieval-Augmented Generation (RAG) und Inferenzprozesse, die durch die Kombination aus NetApp ONTAP und NVIDIA-Technologien beschleunigt werden sollen.

Giesecke+Devrient und Daon kooperieren bei sicheren Identitätslösungen 30. 05. 2025

Giesecke+Devrient und Daon haben eine globale Partnerschaft geschlossen, um gemeinsam Lösungen für digitale Identitätsprüfung und Authentifizierung bereitzustellen. Die Zusammenarbeit zielt auf Privat- und öffentliche Sektoren und setzt auf biometrische Sicherheit und regulatorische Konformität.

PIABO GEO bringt Marken in Antworten generativer KI 29. 05. 2025

Mit dem neuen Angebot PIABO GEO adressiert die Agentur PIABO Communications die veränderten Anforderungen an digitale Sichtbarkeit. Ziel ist es, Unternehmen in den Antworten generativer KI-Systeme wie ChatGPT, Gemini oder Perplexity als vertrauenswürdige Quellen zu positionieren.

ENTERPRISE #CLOUD COMPUTING #SECURITY

Consol

Public-Cloud-Security heißt geteilte Verantwortung 22.03.2021

Große Unternehmen haben den Weg längst eingeschlagen, aber auch immer mehr kleine und mittelständische Firmen nutzen Cloud-Angebote. Vorbehalte bestehen nach wie vor in puncto Sicherheit. Dabei wird oft ein wesentlicher Punkt vergessen: Sicherheit ist nicht nur eine Sache des Providers, es gilt vielmehr das Prinzip der Shared Responsibility, erklärt Lukas Höfer.

Foto: Consol Der Autor Lukas Höfer ist Cloud Solutions Architect bei Consol Software in München Das Thema Sicherheit ist weiterhin auf Platz eins, wenn es um Kritikpunkte an der Nutzung von Public-Cloud-Angeboten geht. Dabei werden gerne Beispiele angeführt, bei denen Fotos von Prominenten, Passwörter oder sogar Kontodaten gestohlen wurden. Von einem technischen Standpunkt aus scheint es bei der Cloud-Nutzung prinzipiell riskant zu sein, mehrere virtuelle Server auf einem realen physischen Server zu betreiben. Schließlich teilt ein Unternehmen dann Ressourcen mit anderen Unternehmen, die theoretisch aus ihrer „virtualisierten Isolation“ ausbrechen und so Services unterbrechen oder Daten stehlen könnten. Und schließlich stellt sich die Frage, was mit den Daten überhaupt passiert, wenn etwa eine ausländische Regierungsbehörde diese vom Cloud-Provider einfordert.

Bei der Beantwortung dieser Fragen muss zwischen der Sicherheit der bereitgestellten Cloud-Infrastruktur selbst und der Sicherheit bei der Cloud-Nutzung unterschieden werden. Letztere bezieht sich auf diejenigen Teile, die der Nutzer selbst konfigurieren kann und auch muss. Im Cloud-Bereich spricht man von einem Shared-Responsibility-Modell, also einem Prinzip der gemeinsamen Verantwortung von Cloud-Provider und Cloud-Anwender.

Foto: Consol Je nach gewähltem Cloud-Modell tragen auch die Unternehmen selbst die Verantwortung für die Sicherheit ihrer Applikationen und Daten Sicherheit der Cloud

Public-Cloud-Provider sind die wohl am häufigsten von Cyber-Attacken betroffenen Unternehmen. Allein durch ihre Größe stellen sie für Angreifer ein lukratives Ziel dar. Infolgedessen sind aber gerade die Sicherheitsmaßnahmen der großen Cloud-Provider besonders stringent. Zudem werden sie durch eine Vielzahl global agierender Unternehmen gewissermaßen zu höchsten Standards gezwungen. Diese beginnen bereits bei der physischen Sicherheit der Rechenzentren, die mit modernsten Verfahren und oft sogar mit Panzersperren ausgestattet sind. Die Möglichkeit, dass ein Einbrecher hier das Backup der Daten stiehlt, ist nahezu ausgeschlossen. Auch hinsichtlich Brandabschnitten und redundanter Infrastruktur kann eine Private kaum mit einer Public-Cloud konkurrieren. Es ist also nicht verwunderlich, dass die führenden Public-Cloud-Anbieter wesentlich mehr Sicherheitszertifizierungen besitzen als viele regionale Dienstleister.

Hinsichtlich der Frage nach potenziell möglichen Angriffen auf die Virtualisierungsschicht ist aus heutiger Sicht festzuhalten: 2018 wurden zwei Methoden bekannt, wie aus geteilten Prozessoren fremde Daten abgegriffen werden können. Hierbei können komplexe Algorithmen im Prozessor ausgenutzt werden, um theoretisch auf fremde virtuelle Server auf dem gleichen physischen Server zuzugreifen. Auf diese enorme potenzielle Bedrohung wurde relativ schnell reagiert und die Sicherheitslücken wurden bestmöglich geschlossen. Inzwischen sind weitere sehr ähnliche Methoden bekannt. Obwohl ein derartiger Angriff nicht nur in der Public-Cloud, sondern in jeder virtualisierten Umgebung auftreten kann, sind keine Fälle bekannt geworden, in denen diese Lücke tatsächlich ausgenutzt werden konnte. Wer trotzdem eine zusätzliche Absicherung anstrebt, kann auch in der Public-Cloud dedizierte Hosts anmieten. Hierbei ist vom Cloud-Provider garantiert, dass nur Server eines einzigen Anwenders auf den physischen Servern laufen. Angriffe über eine Virtualisierungsschicht sind damit ausgeschlossen.

Wichtig ist auch, dass Regierungsbehörden nicht problemlos auf die Daten von Nutzern und Unternehmen aus der Public-Cloud zugreifen können und dürfen. Für amerikanische Unternehmen gilt hier der sogenannte Cloud Act. In ihm ist klar festgelegt, dass nur im Rahmen der Strafverfolgung und auch nur gerichtlich abgesicherte Daten von Cloud-Providern an die Regierung übergeben werden müssen und das auch nur dann, wenn es nicht den regional gültigen Gesetzen widerspricht, also zum Beispiel den deutschen. Wer seine Daten trotzdem zusätzlich schützen möchte, kann Verschlüsselungsmaßnahmen ergreifen und die Daten damit selbst nach einer Herausgabe oder einem Diebstahl für Dritte unbrauchbar machen. An dieser Stelle kommt dann der Punkt Sicherheit bei der Cloud-Nutzung ins Spiel.

Sicherheit bei der Cloud-Nutzung

Bei den bekannten Sicherheitsvorfällen, bei denen Fotos, Passwörter oder Kontodaten gestohlen wurden, handelt es sich um leicht durchzuführende Hacking-Angriffe. Leicht deshalb, weil die einfachste Schwachstelle im System genutzt wurde, die Sorglosigkeit des Nutzers. In allen bisher aufgetretenen Fällen konnten relativ einfach Passwörter erraten oder anderweitig entwendet werden. Der Fehler liegt hier ganz klar bei den Nutzern selbst und nicht beim Cloud-Provider. Die Gefahrenabwehr ist hier also Aufgabe der Cloud-Anwender.

Ihr Verantwortungsbereich umfasst unter anderem folgendes: die Einhaltung von Passwort-Best-Practices, die Identitäts- und Zugriffsverwaltung, die korrekte Verwaltung der Plattform und selbstverständlich die Sicherheit der selbst entwickelten Applikationen. Auch die Verschlüsselung der Daten in Bewegung (Data in Motion) oder am Speicherort (Data at Rest) muss vom Anwender durchgeführt werden.

Zu beachten ist auch, dass die Zertifizierungen der Cloud-Provider nur bis an die Grenze ihrer eigenen Verantwortung reichen. Will ein Unternehmen beispielsweise Platform-as-a-Service nutzen und DSGVO-konform sein, muss es sich selbstständig um die Speicherorte und die Speicherdauer der Daten kümmern. Allerdings bieten die führenden Provider Consulting, exzellente Tools und Informationsmaterialien an, um dem Nutzer die Konfiguration und kontinuierliche Gewährleistung der Sicherheit und Compliance deutlich zu erleichtern.

Exemplarisch zeigt sich die Aufgabenteilung zwischen Cloud-Anbieter und -Nutzer beim Anwendungsfall Infrastructure-as-a-Service (IaaS). Dem Provider obliegt die Sicherung von Server, Storage, Netzwerk und Virtualisierung. Und in den Verantwortungsbereich des Anwenders fallen die restlichen IaaS-Schichten wie Betriebssystem, Middleware, Runtime, Applikationen und Daten.

Cloud-Security-Tipps

Um die Sicherheit in der Cloud zu gewährleisten, benötigt gerade ein kleines oder mittleres Unternehmen in komplexen Projekten in der Regel eine Unterstützung durch Experten. Doch wer klein anfängt und iterativ vorgeht, kann die wichtigsten Kniffe auch schnell selbst lernen, vor allem, weil in der Cloud viele Komponenten aus dem klassischen IT-Betrieb anzutreffen sind, etwa Netzwerke, Firewalls oder Speicher. Allerdings muss ein Unternehmen berücksichtigen, dass eine Public-Cloud global verfügbar ist, also auch die potenzielle Angriffsfläche größer ist. Es ist also nicht mehr damit getan, wie früher ein Netzwerk nach außen abzuschotten, vielmehr muss der Sicherheitsfokus nun auf die Nutzer und deren Berechtigungen gelegt werden.

Unternehmen sollten als Basis-Schutzmaßnahme für alle Cloud-Modelle eine Mehr-Faktor-Authentifizierung verwenden, die zum Beispiel aus einem starken Passwort und zum Beispiel einem mobilen Gerät besteht, über das eine zweite Identifikation erfolgt. Eine Mehr-Faktor-Authentifizierung erhöht die Sicherheit beträchtlich.

Darüber hinaus sollte ein Unternehmen ein Least-Privilege-Konzept umsetzen, das heißt, es sollte Mitarbeitern nur Zugriffsrechte erteilen, die sie für ihre Tätigkeit auch tatsächlich benötigen. Wird ein Account trotz aller Vorsichtsmaßnahmen kompromittiert, erhält ein Cyber-Krimineller dadurch nur Zugriff auf einen kleinen, klar umgrenzten Bereich der Unternehmens-IT.

Insgesamt gibt es zwischen Cloud-Security und „normaler“ IT-Security keine grundlegenden Unterschiede, mit einer Ausnahme: es gilt das Shared-Responsibility-Prinzip. Der Cloud-Provider ist zwar für die Sicherheit verantwortlich, aber nur für die Serviceschichten, die er seinen Kunden anbietet. Für die restlichen Schichten trägt der Kunde die Verantwortung. Erkennen Unternehmen die Notwendigkeiten, die aus dem Prinzip der Shared Responsibility resultieren, ist ein entscheidender Schritt zu einer hohen Public-Cloud-Security getan.