Datum:
18 Nov 2024
Autor:
PREO AG
On-Premise vs. Cloud
Darum setzen viele Unternehmen auf hybride Architekturen und On-Prem-Lösungen
Die weltweiten Entwicklungen im Cloud-Computing sind enorm. Kein erfolgreiches Unternehmen wird sich den aktuellen Trends auf Dauer entziehen können. Insbesondere vom Megatrend der Künstlichen Intelligenz getriebene Softwarelösungen und ihre scheinbar unbegrenzten Einsatzfelder sorgen für eine immer größere Komplexität im Management von Cloud-Anbietern und -Services.
Eine der Konsequenzen: Selbst IT-Verantwortliche oder Software-Asset-Manager*innen von kleineren und mittelständischen Unternehmen ab 100 Mitarbeitenden haben in der Regel mehrere Anbieter mit unterschiedlichen SaaS-Produkten zu managen. Bei größeren Unternehmen oder Konzernen vervielfachen sich die Zahlen und Herausforderungen. Dabei sollten sie neben der dynamischen Lizenzkosten-Entwicklung vor allem die mit komplexen Cloud-Landschaften verbundenen Sicherheitsrisiken im Blick behalten. Je mehr Software-Anwendungen innerhalb einer Organisation, wie Quellcodes, sensible Unternehmensdaten, Produktions- und Bestellprozesse, Chats und Meetings in der Cloud stattfinden, desto größer sind auch die damit verbundenen Risiken. Darüber hinaus stellen die unterschiedlichen Sicherheitsstandards einzelner SaaS-Anbieter für die jeweiligen Anwendungen, wie Berechtigungsmodelle, Ereignisprotokollformate und lokale Benutzer-Repositorien, das Risikomanagement vor zusätzliche Herausforderungen.
Da sich bei der aktuellen Dynamik die Sicherheitsrisiken ebenso schnell verändern wie die Cloud-Umgebungen der Unternehmen, gehen wir in diesem Blog-Beitrag auf die wesentlichen ein. Und wir zeigen anhand eines praktischen Beispiels, warum nach wie vor viele Unternehmen sowohl aus Sicherheits- als auch Kostengründen den kompletten Gang in die Cloud scheuen und stattdessen hybride Architekturen oder sogar komplette On-Premise-Lösungen bevorzugen.
Die großen Sicherheitsrisiken im Überblick
Sicherheitsrisiko 1: Identitäten
Der Mensch hat eine physische Identität und unendlich viele digitale. Das zeigt sich besonders in komplexen Cloud-Umgebungen, in denen jede neue Anwendung auch neue Benutzeridentitäten schafft. Getrieben durch die großen Cloud-Anbieter, wie Amazon, Microsoft oder Google verschwimmen zudem private und geschäftliche Identitäten immer stärker. So dürften beispielsweise viele Mitarbeitende in Unternehmen alleine Microsoft 365 sowohl privat als auch geschäftlich mit unterschiedlichen Identitäten, Rechten und Sicherheitsniveaus im Einsatz haben. Hinzu kommt für Unternehmen die Problematik unbekannter Identitäten durch das Schatten-Cloud-Phänomen, weil Software-Lösungen für nahezu jedermann zu jeder Zeit auch ohne die interne IT verfügbar sind und damit aus dem Blick verloren werden. So wird es für Sicherheitsverantwortliche immer schwieriger, den Überblick zu behalten und die Zugänge zu Unternehmensdaten effektiv zu schützen.
Wichtige Maßnahmen zur Risikominimierung sind daher vor allem ein sicherheitszentriertes Software-Asset-Management, die Einführung der Multi-Faktor-Authentifizierung (MFA), strenge Passwortvorgaben im Rahmen der Compliance-Richtlinien, das Einsetzen von Systemen zur Dokumentation von Anmeldeversuchen und Zugriffen sowie ein identitätsbasierter On- und Off-Boardingprozess, insbesondere in Organisationseinheiten, die viel mit externer Unterstützung oder Remote-Arbeitsplätzen arbeiten.
Sicherheitsrisiko 2: Systemische Schwachstellen und Konfigurationsfehler
Systemische Schwachstellen auf Anbieterseite, wie Bugs, Zero Days oder Code-Fehler, sind natürlich schwer zu kontrollieren. Hier bleibt in der Regel nur darauf zu achten, dass Fehler umgehend behoben und Patches bereitgestellt werden. Regelmäßige Audits helfen darüber hinaus, ungewöhnliches Nutzerverhalten zu identifizieren, um mögliche Fehler frühzeitiger zu erkennen. Deutlich effektiver hingegen lässt sich das Risiko einer fehlerhaften Konfiguration von Cloud-Services oder Cloud-Infrastrukturen minimieren, die ungewollte Sicherheitslücken eröffnen. Dazu gehören beispielsweise ungesicherte Datenbanken, öffentlich zugängliche Speichercontainer oder falsch konfigurierte Netzwerksicherheitsgruppen.
Für eine effektive Risikominimierung ist es entscheidend, jederzeit einen aktuellen Überblick zu haben, wer über welche Wege und in welchem Umfang auf eine Cloud-Anwendung zugreifen kann. Dazu sollten regelmäßige Sicherheitsaudits durchgeführt und verantwortliche Mitarbeitende zu neuesten Sicherheitsstandards geschult werden.
Einen großen Hebel zur Fehlervermeidung bieten definierte Konfigurationsstandards auf Basis bekannter Sicherheitsrisiken und bestehender Best-Practices. Auf dieser Basis lassen sich dann auch komplexe Multi-Cloud-Umgebungen mit Hilfe von sogenannten Cloud Security Posture Management-Tools (CSPM-Tools) überwachen und Fehlkonfigurationen, Anwendungsschwachstellen oder Compliance-Verstöße automatisiert aufspüren und sogar direkt beheben. Laut dem IT-Research-Unternehmen Gartner können durch ein bedarfsgerecht abgestimmtes CSPM Sicherheitsvorfälle durch Fehlkonfigurationen in der Cloud um bis zu 80 Prozent reduziert werden.
Sicherheitsrisiko 3: Cloud-Applikationen
Cloud-Anwendungen von Drittanbietern können schnell zu Angriffsvektoren werden, wenn sie nicht ausreichend sicherheitsgeprüft sind. Die jeweiligen Anwendungen interagieren in der Regel miteinander, um bestehende Arbeitsprozesse zu vereinfachen. Da bei Drittanbieter-Apps immer wieder das Sicherheitsrisiko unterschätzt wird, räumen User diesen oftmals zu große Rechte ein, ohne dass die IT davon etwas mitbekommt. So entstehen bei bestehenden Sicherheitslücken effektive Einfallstore für Cyberkriminelle, die die gesamte Cloud-Umgebung nicht nur gefährden, sondern auch komplett lahmlegen können.
Regelmäßige Sicherheitsüberprüfungen und Updates von bestehenden und bekannten Anwendungen sind ebenso wichtig für die Risikominimierung, wie eine Auswahlprüfung nach vorgegebenen Sicherheits- und Zertifizierungsstandards, beispielsweise der DIN ISO 27001. Unter dem Strich empfiehlt es sich, die Auswahl und Zugriffsberechtigungen so zu handhaben, wie bei einzelnen Geräten oder Nutzerkonten.
Sicherheitsrisiko 4: Verfügbarkeit
Ein existenzieller Risikofaktor ist die Verfügbarkeit von Cloud-Services, sobald für den täglichen Geschäftsbetrieb erforderliche Anwendungen, Workflows oder Produktionsprozesse dort ablaufen. Die Bedrohungsszenarien sind allerdings sehr unterschiedlich, von der technischen Bereitstellung der Hard- und Softwareressourcen auf Anbieterseite, Hardware-Verbindungen, wie beispielsweise Glasfaserkabel, DDoS-Angriffen von Cyberkriminellen bis zu menschlichem Versagen.
Zu den wichtigsten Maßnahmen der Risikominimierung gehören unter anderem die Entwicklung von Desaster-Recovery- und Notfallplänen, der Einsatz von redundanten Systemen, die Verteilung von Cloud-Services auf mehrere geografisch verteilte Rechenzentren, tägliche Backup-Zyklen sowie geeignete DDoS-Schutzmaßnahmen, die Angriffe frühzeitig erkennen und damit verhindern, dass die systemische Verfügbarkeit beeinträchtigt werden.
Weitere potenzielle Schwachstellen, die gerne mal übersehen werden
Neben den großen Risiken im Cloud-Computing sollten Unternehmen im Rahmen einer ganzheitlichen Sicherheitsstrategie darauf achten, dass auch auf den ersten Blick weniger bedeutsame Risikofaktoren nicht zum Einfallstor für Cyberkriminelle werden. Dazu zählen unter anderem digitale Endgeräte, Multi-Cloud und Schatten-Cloud sowie der Mensch mit seinem oft zu sorglosen Verhalten in der digitalen Arbeitswelt, wie dieser Blog-Beitrag zeigt.
Sicherheitsrisiken im Cloud Computing befördern hybride Architekturen und On-Premise-Lösungen
Vielen IT-Verantwortlichen, insbesondere in Branchen mit hohen Standards im Bereich Compliance und Datenschutz, wie beispielsweise Energie, Gesundheit, Verkehr und Logistik oder Entsorgung, aber auch im Bereich der öffentlichen Verwaltungen, sind die Risiken von Total-Cloud-Lösungen nach wie vor zu hoch. Stattdessen erfreuen sich hybride Cloud-Architekturen oder auch komplette On-Premise-Lösungen nach wie vor großer Beliebtheit. Hierdurch lassen sich zumindest für Teilbereiche die Sicherheitsrisiken im Cloud Computing reduzieren. Darüber hinaus eröffnet sich in diesen Szenarien die Möglichkeit, durch die bedarfsgerechte Integration gebrauchter Software die laufenden Lizenzkosten nachhaltig zu senken, wie das folgende Beispiel der LMT Group zeigt:
Das Unternehmen aus dem Spezialmaschinenbau mit 2.200 Seats wollte die dafür benötigten Lizenzen bedarfsgerecht beschaffen. Dabei ging es weltweit um 10 IT-Standorte. Die Lösung kombinierte unter anderem einen Office 365 E1-Plan mit gebrauchten Lizenzen von PREO für Office 2016 und Windows 2016 Server-CAL. Es ergab sich die Funktionalität eines E3-Plans, jedoch ohne Office ProPlus.
Ergebnis: Ohne Einbußen bei der Produktivität erzielte das Unternehmen eine Ersparnis im hohen sechsstelligen Bereich. Die komplette Investition amortisierte sich dadurch bereits im zweiten Jahr. Das klingt interessant? Den gesamten Kunden-Case finden Sie hier.
Überzeugende Vorteile – Gebrauchtsoftware von PREO für den On-Prem-Betrieb
Wir sind einer der Pioniere im europäischen Handel mit gebrauchten Softwarelizenzen und bieten Unternehmen, Organisationen und öffentlichen Verwaltungen jederzeit eine große Auswahl an gebrauchten Volumenlizenzen für Server, Betriebssysteme oder Anwendungssoftware, vor allem von Microsoft oder Adobe, mit denen sie ihre Lizenzkosten nachhaltig optimieren und gleich mehrfach profitieren können:
- Hohe Einsparungen bei den laufenden Lizenzkosten von bis zu 70 Prozent gegenüber der jeweiligen Neuversion.
- 100 Prozent rechts- und auditsicherer Lizenzerwerb mit höchster Transparenz in allen Abwicklungsschritten inklusive kompletter Dokumentation im PREO-Lizenzportal “Easy Compliance“.
- Langjährige Expertise bei der Integration von gebrauchten Softwarelizenzen in klassische Netzwerkstrukturen oder hybride Lizenzmodelle.
- Mehr Nachhaltigkeit im IT-Bereich durch die Förderung einer aktiven Kreislaufwirtschaft und die Senkung des unternehmerischen CO2-Fußabdrucks. Apropos Nachhaltigkeit: PREO ist als erster Händler für Gebrauchtsoftware mit einer Scorecard bei EcoVadis, dem weltweit größten Anbieter von Nachhaltigkeitsratings, gelistet.
- Detaillierte Marktkenntnisse und umfangreiche Erfahrungen durch den auditsicheren Transfer von über dreieinhalb Million gebrauchter Softwarelizenzen.
- Bestehende Kapazitäten zum Software-Lizenzmanagement bei großen IT-Infrastrukturprojekten mit tausenden Arbeitsplätzen und länderübergreifenden Standorten.
- Überzeugende Referenzprojekte für zahlreiche mittelständische und große Unternehmen aus den verschiedensten Branchen.