Compliance und Risiko
Mehr Transformation, weniger Sicherheit
Das Ergebnis einer Trend-Micro-Umfrage ist ernüchternd: 82 Prozent der deutschen Unternehmen haben zwar ihre Cloud-Migration intensiviert, doch fast keines versteht dabei seine Verantwortung für die Sicherheit.
von Trend Micro
Die digitale Transformation hat während des letzten Jahres Fahrt aufgenommen, das ist Tatsache. Die Unternehmensberatung McKinsey stellt fest, dass Unternehmen, die ihre digitale Strategie auf „Ein- bis Dreijahres-Phasen“ eingerichtet hatten, nun auf Schritte in nur Tagen oder Wochen übergehen. Trend Micro wollte herausfinden, ob die Beschleunigung der Migration in die Cloud auch mit dem erforderlichen Sicherheitsbewusstsein einhergeht. Das Ergebnis einer diesbezüglichen Umfrage ist ernüchternd: 82 Prozent der deutschen Unternehmen haben zwar ihre Cloud-Migration intensiviert, doch fast keines versteht dabei seine Verantwortung für die Sicherheit.
Im Auftrag von Trend Micro befragte Sapio Research im Oktober 2020 insgesamt 2565 Entscheidungsträger in 28 Ländern (davon 100 in Deutschland) aus verschiedenen Branchen und von Unternehmen aller Größenordnungen mit Schwerpunkt auf Großunternehmen.
82% der deutschen Befragten (88% weltweit) bestätigten, dass ihr Unternehmen die Geschwindigkeit der IT-Modernisierung während des letzten Jahres erhöht hat – verständlich, angesichts des enormen Wandels zu Remote-Arbeitsumgebungen, der Notwendigkeit, Geschäftsprozesse zu verschlanken und neue, innovative Möglichkeiten für die Kundenkommunikation zu finden. Dabei scheinen die befragten Unternehmen in Deutschland durchaus zuversichtlich zu sein, was die Cybersicherheit in der Cloud angeht:
- 44 Prozent geben an, dass die Beschleunigung der Cloud-Migration ihren Fokus auf Security-Best-Practices verstärkt hat (51 Prozent weltweit).
- 85 Prozent sind überzeugt, dass sie die Sicherheit ihrer Remote-Arbeitsumgebung vollständig oder größtenteils unter Kontrolle haben (87 Prozent weltweit).
- 84 Prozent glauben, dass sie vollständig oder größtenteils die Kontrolle über die Sicherheit ihres zukünftigen hybriden Arbeitsplatzes haben werden (83 Prozent weltweit).
Gefährliche Zuversicht
Andererseits scheint bei den Unternehmen große Verwirrung darüber zu herrschen, wie effektiv die Cloud-Sicherheitsstrategie ist. Fast die Hälfte der Befragten (41% in Deutschland und 45% weltweit) geben zu, die Sicherheit als ein „sehr signifikantes“ oder „signifikantes“ Hindernis für die Cloud-Einführung zu sehen. Die drei größten alltäglichen Probleme beim Schutz von Cloud Workloads sind die Sicherung des Datenverkehrs (45 Prozent), das Festlegen konsistenter Richtlinien (35 Prozent) und eine fehlende Integration mit On-Premise-Sicherheitslösungen (29 Prozent).
Bei der Migration zu Cloud-basierten Sicherheitstools werden Mitarbeiterschulung (43 Prozent), Datenschutz (42 Prozent), und Compliance (37 Prozent) von ihnen als die drei wesentlichen Hindernisse wahrgenommen.
Die Umfrage zeigt auch, dass es immer noch einige Missverständnisse rund um das Shared Responsibility Model gibt. Dieses beschreibt, für welche Bereiche der Sicherheit der Cloud Service Provider zuständig ist, und wo der Kunde übernehmen muss. Da beunruhigt die Überzeugung von 89 Prozent (92 Prozent weltweit) der Befragten, die einerseits angaben, das Modell zu verstehen und sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst zu sein. Andererseits doch glauben fast alle (99 Prozent in Deutschland, 97 Prozent weltweit), dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten bietet.
Tatsächlich aber ist es der Kunde, der Verantwortung für den Schutz seiner Daten und Anwendungen in der Cloud übernehmen muss. Die Cloud Security Alliance erklärt: „Indem Sie die Kontrolle über Informationen und Daten behalten, bestimmen Sie selbst, wie und wann Ihre Daten verwendet werden. Ihr Provider hat keinerlei Einblick in Ihre Daten, und der gesamte Datenzugriff wird von Ihnen by-Design kontrolliert.“
Vielleicht liegt es an diesem Missverständnis, dass weltweit nur 55 Prozent zusätzliche Tools von Drittanbietern verwenden, um ihre Cloud-Umgebungen zu sichern. Dies deutet darauf hin, dass es erhebliche Abdeckungslücken geben könnte.
Eine Strategie festlegen
Wie können Unternehmen also einen sicheren Weg einschlagen und die Vorteile der Cloud nutzen, ohne das Cyber-Risiko zu erhöhen? Der richtige Anbieter kann eine wichtige Rolle spielen: Er kann das Patchen automatisieren und Richtlinien an jede VM, jeden Container und jeden Endpunkt weitergeben, um die Sicherheit und Compliance zu optimieren. Virtuelle Patching-Funktionen können auch dazu beitragen, eine der größten operativen Herausforderungen von IT-Leitern in Bezug auf die Sicherheit von Workloads zu bewältigen – das Abschirmen anfälliger Systeme vor bekannten und unbekannten Bedrohungen, bis ein offizieller Patch bereitgestellt werden kann.
Zu den Sicherheitslösungen für Cloud-Umgebungen, die von den befragten Unternehmen in Deutschland als am wichtigsten eingestuft wurden, gehören Tools für Netzwerkschutz (50 Prozent), Cloud Access Security Broker (CASB, 15 Prozent) und Cloud Security Posture Management (12 Prozent).