IT-Sicherheit in der Wolke

Hybrid Cloud: Security-Strategien für Unternehmen

15.09.2016 von René Büst

Die digitale Transformation fordert CEOs und CIOs gleichermaßen. Dabei spielt die Cloud eine wesentliche Rolle. Wir verraten Ihnen, wie Sie die Sicherheit von Cloud-Umgebungen gewährleisten.

Im Rahmen einer Digitalisierungsstrategie nehmen Public-Cloud-Infrastrukturplattformen eine zentrale Rolle ein. Sie bieten die idealen Vorrausetzungen für einen unkomplizierten Zugriff auf IT-Ressourcen zu jeder Zeit, von jedem Ort und das je nach Bedarf. Public Clouds sind die Brutstätte vieler neuer, zum Teil disruptiver Geschäftsmodelle. Sie bieten zahlreiche Chancen, können gut situierte Unternehmen damit aber auch zunehmend in Schwierigkeiten bringen.

Unternehmenslenker und IT-Entscheider sind somit gefordert, eindeutige Akzente in Richtung des digitalen Unternehmens zu setzen. Hierzu gehört das Überdenken des bestehenden Geschäftsmodells und die Anpassung und Neugestaltung sämtlicher Prozessketten. Die IT-Organisation muss sich in der Rolle des Impulsgebers und Enablers sehen und anhand von Technologien die notwendigen Vorrausetzungen für die Transformation und digitale Geschäftsideen schaffen.

Zum Video: Hybrid Cloud: Security-Strategien für Unternehmen

Eine moderne IT-Infrastrukturumgebung ist hybrid

Ein Ergebnis der digitalen Evolution ist die Erkenntnis, dass in den Unternehmen nicht mehr nur eine IT existieren kann. Stattdessen gehen IT-Organisationen dazu über, zwei IT-Welten zu betreiben: die Dynamic-IT und die Static-IT. Dies aus gutem Grund. Zwar suchen IT-Organisationen nach der notwendigen Skalierbarkeit und Flexibilität, um ihre neuartigen Lösungen und Services zu unterstützen. Allerdings spielen die Vermeidung von Datensilos, der Wunsch nach dem Erhalt von Kontrolle und das Thema Sicherheit eine übergeordnete Rolle. Moderne IT-Infrastrukturumgebungen zur Unterstützung einer Digitalisierungsstrategie müssen daher zunächst voneinander losgelöst betrachtet werden.

Dynamic-IT-Infrastrukturen für die Entwicklung und den Betrieb digitaler Geschäftsmodelle und neuartiger Applikationen werden heutzutage bevorzugt auf Public-Cloud-Infrastrukturen implementiert, um unter anderem von deren Skalierbarkeit, Flexibilität und globalen Reichweite zu profitieren. Sie dienen unter anderem als Infrastruktur-Umgebungen für:

Backends für dsa Internet of Things;
E-Commerce-Lösungen;
Hochfrequentierte Web-Seiten;
Big Data Analytics;
Web-Applikationen.

Static-IT-Infrastrukturen beherbergen vorwiegend bestehende Enterprise-Applikationen oder Anwendungen, die auf Grund von rechtlichen Regularien, Datenschutz- und Compliance-Richtlinien oder wegen technischer Beschränkungen weiterhin auf Private Clouds betrieben werden. Hierzu gehören:

Applikationen, die regulierte oder große Daten verarbeiten;
Applikationen, die eine geringe Latenz fordern;
Applikationen mit einer konstanten Auslastung;
Applikationen mit einem hohen Anspruch an Festplatten I / O;
Applikationen, die bestimmte Hardwareanforderungen haben respektive Hardwareabhängigkeit besitzen.

Unterschiede: Private Cloud vs. Public Cloud
Foto: Crisp Research AG, 2016

Dynamic- und Static-IT: Brücke zwischen zwei Welten

Ungeachtet der unterschiedlichen Wirkungskreise von Dynamic-IT und Static-IT, ist es notwendig, beide Welten miteinander zu vereinen, um zum einen die rechtlichen Rahmenbedingungen und notwendigen Schutzmaßnahmen sicherzustellen und gleichzeitig die Innovationsfähigkeit des Unternehmens nicht zu vernachlässigen. Während des Aufbaus einer Hybrid Cloud geht es vor allem darum, die Static-IT - in Form einer Private Cloud - mit den Ressourcen aus der Dynamic-IT - auf Basis einer Public Cloud - flexibel zu erweitern. Mögliche Vorteile einer Hybrid-Cloud-Integration ergeben sich durch:

Schnellere Adaption neuer Technologien;
Agilität durch eine schnellere Bereitstellung weiterer Ressourcen;
Nahtlose Erweiterung der Private-Cloud-Infrastruktur;
Verschiebung von Workloads in die Public Cloud nach Bedarf;
Kontrolle: Daten verbleiben in der Private Cloud, Services aus der Public Cloud greifen lediglich zur Verarbeitung darauf zu.

Die zentrale Herausforderung einer Hybrid Cloud ist die Sicherheit. Die Private und Public Cloud dürfen hierbei keinesfalls lediglich einzeln betrachtet werden. Stattdessen ist ein einheitlicher Sicherheitsrahmen zu schaffen. Das bedeutet, dass auch hier die Integration beider Cloud-Infrastrukturen zum entscheidenden Erfolgsfaktor wird. Eine hybride Sicherheitsstrategie umfasst hierfür unter anderem:

Festlegung einer Cloud-übergreifenden und allgemeingültigen Sicherheitsrichtlinie;
Implementation einer Ende-zu-Ende-Sicherheitsarchitektur;
Schutz der Datenverbindungen;
Absicherung des Datenverkehrs;
Ende-zu-Ende-Verschlüsselung der Daten.

Abgerundet wird diese Sicherheitsstrategie aber schlussendlich durch den richtigen Einsatz entsprechender Sicherheitslösungen. Für einen ganzheitlichen Ansatz ist zwingend darauf zu achten, Toolsets und Services einzusetzen, die sowohl die Private- als auch die Public-Cloud-Infrastruktur ganzheitlich - Ende-zu-Ende - schützen und nicht an den Grenzen der jeweiligen Infrastruktur aufhören.

Wenn Cloud Security dem CISO den Schlaf raubt

Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.

Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.

Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.

User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.

Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.

Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?

IT-Sicherheit in der Hybrid Cloud

Die Sicherheitsstrategie einer hybriden Cloud-Umgebung lässt sich nicht auf Basis eines Silo-Konzepts umsetzen. Stattdessen ist hierfür ein Ende-zu-Ende-Ansatz erforderlich. Das bedeutet: Ganz gleich, ob die eigene Private-Cloud- oder die Public-Cloud-Infrastruktur geschützt werden soll, ist eine zentrale Plattform erforderlich, um eine ganzheitliche Sicherheit zu gewährleisten und einen Infrastruktur-übergreifenden Überblick zu behalten.

Geht es um die Sicherheit in der Hybrid Cloud, gewinnen Security-as-a-Service-Lösungen an Bedeutung.
Foto: dolphfyn - shutterstock.com

Für die Umsetzung hybrider Cloud-Szenarien kommen immer häufiger Security-as-a-Service (SECaaS) Lösungen zum Einsatz. Hierbei werden die Services aus einer Cloud-Umgebung eines Sicherheitsanbieters bereitgestellt und nahtlos in die Private-Cloud- beziehungsweise Public-Cloud-Infrastruktur integriert. Die Sicherheit wird somit als Service bereitgestellt, ohne dass ein Kunde die dafür normalerweise erforderliche Hard- und Software einkaufen muss. Der Vorteil: Unternehmen jeder Größe haben damit Zugriff auf hochentwickelte Sicherheitstechnologien, die normalerweise den Großkonzernen vorbehalten bleiben. Immer mehr Unternehmen setzen Security-as-a-Service-Lösungen bevorzugt ein, um von den folgenden Vorteilen zu profitieren:

Schnelle Bereitstellung: In einem SECaaS-Modell werden die entsprechenden Sicherheitslösungen und die dafür notwendige Hard- und Software von dem Sicherheitsanbieter betrieben und dem Kunden als Service bereitgestellt. Dadurch bestehen für den Kunden im Hinblick auf die Bereitstellung keine langen Vorlaufzeiten mehr und er kann direkt mit der Integration und Konfiguration beginnen.
Geringere Wartungsaufwände: Der SECaaS-Anbieter ist zu 100 Prozent für den Betrieb und die Wartung der Service-Infrastruktur zuständig, über die dem Kunden die Sicherheitslösungen zur Verfügung gestellt werden. Das bedeutet, dass der Kunde sich nicht mehr um die Produkt-Updates oder das Einspielen von Virensignaturen und anderweitigen Aktualisierungen kümmern muss.
Konzentration auf das Wesentliche: Mit dem Einsatz einer SECaaS-Lösung muss sich die IT-Organisation nicht mehr um den Aufbau und die Wartung der Sicherheitsinfrastruktur kümmern und erhält damit mehr Freiheit für die Umsetzung strategisch wichtiger Projekte. Das erhöht die Produktivität der gesamten IT-Organisation.
Geringere Kosten: Mit dem Bezug von SECaaS-Lösungen verlagert sich das Ausgabenverhältnis von Capex (Investitionskosten) zu Opex (Betriebskosten). Das bedeutet, dass ein Kunde nur noch für die Sicherheitslösung bezahlt, die er in Anspruch nimmt (Pay per use). Gleichzeitig ist der Kunde nicht mehr für die Wartung und Produktpflege seiner Sicherheitsinfrastruktur zuständig und profitiert davon, dass potenzielle Angriffe direkt in der Cloud abgefangen werden, bevor diese das Unternehmensnetzwerk erreichen.
Unmittelbarer Schutz: Die Sicherheitsmannschaften von SECaaS-Anbietern arbeiten in einem 24x7-Modell. Das bedeutet, dass Updates und Signaturen auf den Cloud-basierten Sicherheitsplattformen rund um die Uhr aktualisiert werden und dem Kunden damit unmittelbar automatisch zur Verfügung stehen.

Ob kleines Unternehmen, Mittelständler oder globaler Konzern - Unternehmen jeder Größe können es sich heutzutage nicht mehr leisten, zu viel eigene Energie für Sicherheit aufzubringen und damit die Konzentration auf das Kerngeschäft zu schwächen. SECaaS-Lösungen bieten hierfür eine ausgereifte Alternative zu lokal betriebenen Sicherheitsumgebungen, um die Sicherheit von hybriden IT-Infrastrukturen nach Bedarf zu erhöhen, ohne direkt hohe Investitionskosten zu verursachen. Trotzdem profitieren sie unmittelbar von Sicherheitsinnovationen.

Systeme für Hybrid Cloud Management

Accenture Cloud Platform
Die "Accenture Cloud Platform" bietet eine zentrale Sicht auf Nutzungsdaten und Abrechnungsinformationen.

Atos Canopy
IT-Dienstleister Atos vermarktet seine Cloud-Management-Lösung unter der Marke Canopy auch als Teil von Cloud-Transformationsprojekten.

Capgemini
Capgeminis "Cloud-Choice"-Portfolio umfasst auch einen Self-Service-Marktplatz für Benutzer.

CGI Unify360
Das Management-Framework “Unify360 Hybrid Cloud Management” kombiniert kommerzielle Softwareprodukte mit Open-Source-Lösungen.

Cognizant Cloud360
Cognizants Cloud-Management-Plattform "Cloud360" bietet Orchestrierungs- und Governance-Funktionen.

CSC Agility Platform
Die „Agility Platform“ von CSC basiert auf einem Produkt der 2013 zugekauften Softwareschmiede ServiceMesh.

EPAM Cloud Orchestrator
Der EPAM Orchestrator beinhaltet unter anderem einen Cloud Integration Layer.

Fujitsu Cloud Services Management
Fujitsus “Cloud Services Management” verwaltet Public- und Private-Cloud-Ressourcen.

HCL MyCloud
HCL „MyCloud“ lässt sich mit ITSM-, Automation- und Monitoring-Tools verbinden.

HPE Cloud Service Automation
HPE Cloud Service Automation unterstützt sowohl HPEs eigene Private-Cloud-Systeme als auch Public-Cloud-Infrastrukturen von Drittanbietern.

IBM cloudMatrix
Im Rahmen seiner „Brokerage Services“ vertreibt IBM die mit Gravitant übernommene Brokerage-Lösung „cloudMatrix“.

Infosys IMS
Seine Hybrid-Cloud-Lösung Infrastructure Management Services (IMS) offeriert Infosys ausschließlich als Managed Service.

Tata ICMP
Tata Consultancy Services entwickelte seine Integrated Cloud Management Platform (ICMP) in Eigenregie. Sie enthält unter anderem ein Dashboard für die Kostenkontrolle.

Tech Mahindra mPAC
Die „Managed Platform for Adaptive Computing“ (mPAC) von Mahindra verwaltet Public- und Private-Cloud-Services und bietet diverse Abrechnungsfunktionen.

T-Systems CIC
Das Cloud Integration Center (CIC) von T-Systems basiert zu großen Teilen auf Software von Hewlett-Packard Enterprise (HPE).

Unisys CMP
In seiner „Cloud Management Platform“ (CMP) verwendet Unisys unter anderem Komponenten von ServiceNow und Cloudify.

UST Global FogPanel Cloud Hub
Das „FogPanel Cloud Hub“ von UST Global bietet Orchestrierungs-, Brokerage- und Abrechnungsfunktionen.

Wipro BoundaryLess Data Center
„BoundaryLess Data Center“ nennt Wipro sein Framework für die Integration und Verwaltung komplexer IT-Infrastrukturen.

Handlungsempfehlungen für den CIO

Mit der zunehmenden Vernetzung und Digitalisierung sämtlicher Geschäftsprozesse verändert sich ebenfalls der Charakter vollständig abgeschlossener IT-Landschaften hin zu miteinander integrierten und hybriden IT-Infrastruktur-Umgebungen. Dieser Wandel führt insbesondere auf Sicherheitsebene zu neuen Herausforderungen, die CIOs und CISOs im Rahmen ihrer Sicherheitsstrategie berücksichtigen müssen. Hierzu gehören:

Selbstverantwortung übernehmen: Ein maßgeblicher Anteil einer hybriden Cloud-Umgebung besteht aus der Public Cloud. Trotz der weit verbreiteten Annahme übernehmen Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure oder VMware vCloud Air nicht die gesamte Verantwortung für den Cloud-Stack ihrer Kunden. Stattdessen ist Selbstverantwortung gefragt! Das gilt von der Infrastruktur- bis hin zur Applikations-Ebene - sowohl für den Betrieb, als auch die Sicherheit der Cloud-Umgebung.
Ende-zu-Ende Verschlüsselung der Daten: Im Rahmen hybrider Cloud-Umgebungen spielt die Verschlüsselung der Daten und deren Übertragungswege eine wichtige Rolle. Hierbei ist nicht ausschließlich das "Data-at-Rest"-Konzept (reine Verschlüsselung auf Datenträgerebene) in Betracht zu ziehen. Stattdessen sollte ein ganzheitlicher Ansatz verfolgt werden, bei dem sich die Daten auf allen Ebenen ihres Verarbeitungszyklus in einem verschlüsselten Zustand befinden. Hierzu gehört der Schutz auf Client- und (virtueller) Server-Ebene innerhalb der On-Premise-Infrastruktur, über die Datenverbindungen bis hin zu den virtuellen Systemen auf der Public-Cloud-Infrastruktur.
Implementierung einer Ende-zu-Ende Sicherheitsarchitektur: Systeme, Plattformen, Services und Applikationen werden heute nicht mehr nur innerhalb der eigenen IT-Infrastruktur betrieben. Folglich muss der Schutz dieser Ressourcen ganzheitlich über alle verwendeten IT-Umgebungen hinweg erfolgen und dabei sowohl physikalische und virtuelle, als auch Cloud-basierte Architekturen berücksichtigen. Das schließt alle selbst betriebenen Systeme ein und auch diejenigen, die auf Infrastrukturen von Public-Cloud-Anbietern ausgelagert sind. Schlussendlich dürfen Hybrid- und Multi-Infrastruktur-Szenarien unter keinen Umständen vernachlässigt werden. Die Sicherheitskonzepte dürfen nicht an den Grenzen einer Infrastruktur oder Architektur enden, sondern müssen vom Backend bis zum Endgerät des Nutzers reichen.

Cloud-Services haben einen bedeutenden Einfluss auf die digitale Evolution von Unternehmen. Die Vernetzung mit Partnern, Lieferanten und Kunden anhand von nahtlos integrierten Prozessen auf Basis von Hybrid- und Public-Cloud-Umgebungen sind heute ein Muss, um auf die sich ständig verändernden Marktbedingungen reagieren zu können. Diese Veränderungen bringen neue Bedrohungsszenarien mit sich, die Unternehmen im Rahmen Ihrer Sicherheitsstrategie auf allen Ebenen ganzheitlich berücksichtigen sollten. Dabei sollten sie ein Silo-Denken unter allen Umständen vermeiden. (fm)

Die Top-12-Sicherheitsrisiken in der Cloud

Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.

Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.

Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.

Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.

Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.

Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.

Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.

Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.

Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.

Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.

DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.

Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.