+49 40 42 93 28 - 0 info@preo-ag.com
  1. Startseite
  2. Blog
  3. Cloud Sicherheitsrisiken Uebersehene Schwachstellen

Datum: 

7 Feb 2024

Autor: 

PREO AG

On-Premise vs. Cloud

Potenzielle Schwachstellen, die häufig übersehen werden

Nahezu jedes größere Unternehmen beschäftigt sich mit Cloud-Computing und nutzt die Services in unterschiedlicher Ausprägung und Intensität. Die meisten IT-Abteilungen arbeiten bereits seit längerem an umfassenden Cloud-Strategien oder haben diese auf ihrer Agenda. Doch mit dem Einstieg in die Cloud, entweder als hybride Architektur oder Total-Cloud-Lösung, steigen auch die Cloud-spezifischen Sicherheitsrisiken. Aus diesem Grund investieren insbesondere große, global agierende Unternehmen und Cloud-Anbieter weltweit Milliardenbeträge in die Absicherung der Cloud-Infrastrukturen. Wer das Sicherheitsrisiko effektiv minimieren will, sollte neben den großen Risikoszenarien, wie die Verfügbarkeit der physischen Infrastruktur, gezielten Cyberangriffen oder einem Vendor-Lock-in, auch die kleineren indirekten Schwachstellen im Blick behalten.


In diesem Blog-Beitrag schauen wir deshalb auf folgende potenzielle Cloud-Sicherheitsrisiken: Digitale Endgeräte, Multi-Cloud und Schatten-Cloud sowie den Risikofaktor Mensch. Und wir zeigen anhand eines praktischen Beispiels, warum sich Unternehmen nicht nur aus Sicherheitsgründen ganz oder teilweise wieder aus der Cloud verabschieden und stattdessen auf bewährte On-Prem-Lösungen setzen.


Cloud-Sicherheitsrisiko digitale Endgeräte

Sämtliche digitalen Endgeräte, mit denen Nutzer*innen auf Cloud-Services zugreifen, bedürfen der gleichen hohen Sicherheitsstandards wie die Cloud-Infrastruktur selbst, damit diese nicht versehentlich zum Einfallstor werden. Insbesondere in großen Unternehmen oder Organisationen, die standort- und länderübergreifend arbeiten, kann dies zu einer kontinuierlichen Herausforderung werden, die viel Zeit und Ressourcen verschlingt. Allein die Vielzahl der im Umlauf befindlichen Endgeräte, wie PCs, Laptops, Tablets, Smartphones, aber auch Server oder Netzwerk-Drucker, sofern diese mit der Cloud verbunden sind, auf dem aktuell erforderlichen Sicherheitslevel zu halten, gleicht buchstäblich einer Sisyphos-Arbeit. Dies hat immer wieder zur Folge, dass IT-Abteilungen die Gerätesicherheit stark standardisieren und dabei nicht selten unterdimensionieren, weil indirekte Risiken beispielsweise durch Schnittstellenproblematiken nicht ausreichend mit in den Blick genommen werden.


Cloud Sicherheitsrisiken Multi-Cloud und Schatten-Cloud

Während kleinere Unternehmen vielfach nur eine oder weniger Cloud-Services nutzen, entscheiden sich mittelständische Unternehmen oder Konzerne im Rahmen ihrer Cloud-Strategie in der Regel für eine Multi-Cloud-Lösung. Ziel ist es, die Flexibilität, Verfügbarkeit und Sicherheit der benötigten Ressourcen auf einem möglichst konstant hohen Niveau zu halten. So sollen insbesondere zu große und einseitige Abhängigkeiten von einem Cloud-Anbieter, wie bei einem Vendor-Lock-in, vermieden werden. Beliebt ist dabei vor allem die Kombination aus Public-Cloud für standardisierbare und leicht skalierbare Workloads und Privat-Cloud für sensible Daten und Anwendungen. Doch wie bei allen systemischen Schnittstellen, sind diese auch beim Cloud-Computing ein bevorzugtes Angriffsziel und sollten innerhalb der IT-Abteilung im Rahmen des Cloud-Risikomanagements hoch priorisiert werden.

Schwieriger gestaltet es sich da schon mit dem bekannten, aber immer wieder unterschätzten Phänomen der Schatten-Cloud, was in der Regel mit einem weiteren, dem sogenannten Cloud-Sprawl, einhergeht. Die unkontrollierte Ausbreitung von Cloud-Software, beispielsweise auf persönlichen Cloud-Konten von Mitarbeiter*innen oder Abteilungskonten bei mehr oder weniger gut gesicherten öffentlichen Cloud-Anbietern, stellt ein geradezu ideales Einfallstor für Cyberkriminelle dar. In der Regel weiß die interne IT-Abteilung nichts von dieser existierenden Schatten-IT, so dass auch keine spezifischen Sicherheitsvorkehrungen getroffen wurden. Das Risiko ist daher besonders hoch und kann je nach Angriffsszenario schnell die Geschäftsfähigkeit des gesamten Unternehmens bedrohen. Um es wirkungsvoll zu minimieren, ist es wichtig, dass Unternehmen Schatten-IT-Systeme kontinuierlich identifizieren, verwalten und entweder in die offizielle IT-Strategie integrieren oder durch sichere Alternativen ersetzen. Dazu ist es erforderlich, in allen Organisationseinheiten ein Bewusstsein für die bestehenden Sicherheitsrisiken zu schaffen, beispielsweise über regelmäßige Schulungen oder  Self-Learning-Angebote.

Cloud-Sicherheitsrisiko Mensch

Am erfolgreichsten sind Cloud-Angriffe in der Regel immer dann, wenn dem Faktor Mensch besondere Bedeutung zukommt. Typische Beispiele sind daher Schwachstellen durch eine fehlerhafte Administration oder Schnittstellenkonfiguration sowie Fehler bei der Anwendung. Ein aktives Cloud-Risikomanagement, von turnusmäßigen Tests bis zu gezielt simulierten Angriffen auf die bestehende IT-Infrastruktur, sorgt dafür, diese Schwachstellen so früh wie möglich aufzudecken und präventiv zu schließen.


Der menschliche Faktor bekommt im Bereich der digitalen Identitäten noch eine weitere sicherheitsrelevante Dimension. Wird diese illegal übernommen oder gestohlen, können auch die damit verbundenen Rollen als User oder Administrator missbraucht werden. Selbst virtuelle Maschinen werden immer mehr zum Nutzer von Cloud-Diensten. Einem aktiven und in die IT-Security-Strategie integrierten Identity and Access Management, kurz IAM, kommt deshalb bei der Minimierung von Cloud-Sicherheitsrisiken eine entsprechende Bedeutung zu.

Zurück aus der Cloud – warum der Mittelständler Swedex wieder auf On-Prem setzt

Dass eine Total-Cloud-Lösung nicht nur eine sicherheitstechnische Herausforderung darstellt, sondern auch eine mitunter schwer kalkulierbare Kostenspirale nach sich ziehen kann, erlebte der Essener Mittelständler Swedex mit rund 300 Mitarbeitenden. Die Konsequenz: Das mittelständische Unternehmen, einer der europaweit führenden Anbieter im Bereich „document presentation“, wollte sowohl den dynamischen Kostenanstieg als auch die Abhängigkeit von einem großen Cloud-Anbieter nicht länger hinnehmen und suchte nach einer eigenständigen und günstigen Alternative. Die Folge: Nach drei Jahren in der Microsoft-Cloud, entschieden sich die Verantwortlichen wieder für den On-Prem-Betrieb. Im Ergebnis ließen sich enorme Einsparungen bei den laufenden Lizenzkosten von rund 100.000 Euro durch die Integration gebrauchter Softwarelizenzen von PREO erzielen. Mehr Infos zu diesem und weiteren Kunden-Cases gibt es hier.


Umfangreiches Angebot an gebrauchten Volumenlizenzen 

PREO bietet Unternehmen, Organisationen und öffentlichen Verwaltungen jederzeit eine große Auswahl an gebrauchten Volumenlizenzen aktueller und älterer Programmversionen von Standardsoftware marktführender Hersteller, wie Microsoft oder Adobe. Welcher Bedarf an gebrauchter Software auch immer besteht, mit PREO haben sowohl kleine und mittelständische als auch große Unternehmen alle Vorteile auf ihrer Seite:


  • Hohe Einsparungen bei den laufenden Lizenzkosten von bis zu 70 Prozent gegenüber der jeweiligen Neuversion.
       
  • 100 Prozent rechts- und auditsicherer Lizenzerwerb mit höchster Transparenz in allen Abwicklungsschritten inklusive kompletter Dokumentation im PREO-Lizenzportal “Easy Compliance“.

  • Langjährige Expertise bei der Integration von gebrauchten Softwarelizenzen in klassische Netzwerkstrukturen oder hybride Lizenzmodelle.

  • Bestehende Kapazitäten zum Software-Lizenzmanagement bei großen IT-Infrastrukturprojekten mit tausenden Arbeitsplätzen und länderübergreifenden Standorten.

  • Aktiver Beitrag zur Reduzierung des CO2-Fußabdrucks im IT-Bereich durch den Einstieg in eine ressourcenschonende Kreislaufwirtschaft inklusive Verlängerung von Software- und Hardwarezyklen.

  • Überzeugende Referenzprojekte für zahlreiche namhafte Unternehmen aus den verschiedensten Branchen.

Übrigens: Brachliegende und nicht mehr benötigte Software kauft PREO gerne zu attraktiven Konditionen an. Unsere Lizenzexpert*innen beraten Sie gerne persönlich und erstellen ein kostenfreies und unverbindliches Angebot.

Jetzt kostenfrei anfragenZwei Pfeile

Presse und Marketing

Presse und Marketing Nina Steffens

Sie haben Fragen zu Materialien, Presseveröffentlichungen oder Messeveranstaltungen?
Wenden Sie sich gerne an

Nina Steffens
Corporate Communication Manager

P +49 151 24066668
M n.steffens@preo-ag.com

AKTUELLE RECHTSLAGE

Rechtslage gebrauchter Softwarelizenzen

Alles zur Rechtslage rund um das Thema "Handel mit gebrauchter Software"

Wie ist die aktuelle Rechtsprechung? Woher stammen rechtskonforme Lizenzen? Was ist beim Kauf von gebrauchter Software zu beachten? Dies und viele weitere Informationen beantworten wir Ihnen auf unserer Seite "Rechtslage".

Zur Rechtslage Zwei Pfeile

SOFTWARE SICHER KAUFEN

Zum Gebrauchtsoftware-Kauf bei PREO

Was muss beim Kauf gebrauchter Software beachtet werden?

Brauchen Sie Informationen zum Kauf von gebrauchten Softwarelizenzen, Lizenzaudits oder über die Zusammenarbeit mit PREO? Antworten finden Sie auf unserer Seite "Gebrauchte Software kaufen".

Zum Gebrauchtsoftware-Kauf Zwei Pfeile

PRODUKTÜBERSICHT

Produktübersicht gebrauchter Softwarelizenzen

Sie benötigen bestimmte Software für Ihr Unternehmen oder Projekt?

Durchstöbern Sie unser Produktportfolio und finden Sie die passenden Lizenzen. Wählen Sie einfach die gewünschte Gebrauchtsoftware aus und fügen diese mit einem Klick Ihrer Anfrageliste hinzu.

Zur Produktübersicht Zwei PfeileZwei Pfeile