Cloud-Verantwortliche äußern sich zu wichtigen Herausforderungen
Zu viele Identitäten, Systeme und Verantwortliche in der Cloud verkomplizieren eine ohnehin schon komplexe Aufgabe.
Mehr als zwei Drittel der Cloud-Entscheidungsträger (68 %) geben an, dass ihre Cloud-Implementierungen – insbesondere Public- und Hybrid-Instanzen – das größte Exposure-Risiko für ihr Unternehmen darstellen. Zudem stellt die Verwaltung des Zugriffs auf diese Systeme eine erhebliche Herausforderung dar.
Dies sind die Ergebnisse einer im Auftrag von Tenable durchgeführten Umfrage unter 262 IT- und Sicherheitsexperten, die die endgültige Entscheidungsbefugnis für die Cloud-Infrastruktur ihres Unternehmens haben. Die Umfrage, die 2023 von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, zeigt vier Schlüsselbereiche auf, von denen Cloud-Entscheidungsträger sagen, dass sie das größte Exposition gegenüber Risiken darstellen:
- Fehlkonfigurationen bei Cloud-Infrastruktur und Cloud-Services, die im gesamten Unternehmen genutzt werden (68 %)
- Schwachstellen in Business-/IT-Software, die im gesamten Unternehmen genutzt wird (62 %)
- Fehlkonfigurationen bei Tools, mit denen das Unternehmen Benutzerberechtigungen und -zugriff verwaltet (60 %)
- Schwachstellen in OT-Software, die im gesamten Unternehmen genutzt wird (46 %)
Wenn es darum geht, die Exposition gegenüber Risiken zu bewerten, stellt die Cloud andere Bereiche der IT-Infrastruktur in den Schatten, was die Besorgnis der Cloud-Entscheider angeht.
In welchem der folgenden Bereiche Ihres Unternehmens ist die Exposition gegenüber Risiken am größten?
| Technologie | % der Befragten |
| Public Cloud-Infrastruktur1 | 29% |
| Multi-Cloud-/Hybrid-Infrastruktur2 | 28% |
| Internet of Things (IoT) | 15% |
| Private Cloud-Infrastruktur | 11% |
| Management-Tools für Cloud-Container | 9% |
| On-Premises-Infrastruktur | 5% |
| Operative Technologien (OT) / industrielle Steuerungssysteme (ICS) / SCADA-Systeme (Supervisory Control and Data Acquisition) | 3% |
1 Public Cloud kann ein einzelner Public Cloud-Anbieter sein, wie Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure
2 Multi-Cloud / Hybrid ist eine Kombination aus zwei oder mehr Public und/oder Private Clouds
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Wo investieren Cloud-Entscheidungsträger im kommenden Jahr?
In den meisten Unternehmen wird derzeit eine Vielzahl von cloudbasierten Infrastruktur- und Unternehmenssystemen eingesetzt, darunter virtuelle Maschinen und Container sowie Customer Relationship Management(CRM)- und Personalverwaltungssysteme.
In Bezug auf die Investitionsbereiche im Zusammenhang mit der Bereitstellung von Technologien in der Cloud nannten die Befragten Serverless-Funktionen, virtuelle Maschinen und Container als die drei wichtigsten Technologien, deren Nutzung sie in den nächsten 12 Monaten ausbauen wollen.
Welche der folgenden Technologien für Cloud-Infrastrukturen setzt Ihr Unternehmen derzeit ein?
| Technologie | Nicht an Cloud interessiert | Interessiert, aber keine Pläne zur Einführung von Cloud-Lösungen | Planen eine Cloud-Bereitstellung in den nächsten 12 Monaten | Haben Cloud-Lösungen implementiert, führen aber keine Erweiterungen/Upgrades durch | Erweitern oder Upgraden die Cloud-Nutzung | Reduzieren oder Entfernen die Cloud-Nutzung |
| Serverless-Funktionen | 8% | 21% | 39% | 24% | 7% | 0% |
| Virtuelle Maschinen | 3% | 14% | 33% | 34% | 13% | 3% |
| Container | 2% | 11% | 32% | 35% | 16% | 3% |
| HR-Management | 2% | 12% | 26% | 40% | 18% | 2% |
| 2% | 5% | 25% | 35% | 26% | 7% | |
| Finanzwesen | 3% | 11% | 25% | 32% | 24% | 6% |
| IT-Service-Management (ITSM) | 0% | 5% | 24% | 34% | 30% | 8% |
| Enterprise Resource Planning (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| Customer Relationship Management (CRM) | 0% | 6% | 14% | 42% | 28% | 10% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Zu viele Daten, zu viele Silos, zu viele Stakeholder
Angesichts des komplexen cloudbasierten Ökosystems in den meisten Unternehmen ist es nicht überraschend, dass Ergebnissee zur Cloud ganz oben auf der Liste der Datenquellen stehen, die von Cloud-Entscheidern zur Bestimmung des Gesamtrisikos verwendet werden. Aber Ergebnisse zur Cloud sind wohl kaum die einzige Quelle. Threat Intelligence Feeds, Veröffentlichungen von Schwachstellen und Ergebnisse von Incident Readiness-Assessments gehören ebenfalls zu den Quellen, auf deren Daten sich Cloud-Entscheidungsträger stützen.
Welche der folgenden Datenquellen nutzt Ihr Unternehmen, um die allgemeine Exposition gegenüber Risiken zu ermitteln?
| Daten | % der Befragten |
| Ergebnisse zur Cloud | 69% |
| Threat-Intelligence-Feeds | 55% |
| Veröffentlichungen von Schwachstellen | 52% |
| Ergebnisse aus Incident Readiness-Assessments | 52% |
| Ergebnisse von Penetrationstests | 47% |
| Erkenntnisse zur externen Angriffsoberfläche | 42% |
| Profile und Berechtigungen von Benutzern | 35% |
| Ergebnisse zu operativer Technologie | 31% |
| Asset-Bestandsaufnahmen | 26% |
Mehrfachnennungen möglich.
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Die Zusammenführung all dieser Daten aus verschiedenen isolierten Systemen ist zeitaufwendig und kompliziert. Organisatorische Silos, mangelnde Datenhygiene und ein Fokus auf reaktive statt präventive Cybersicherheit tragen dazu bei, dass Cloud-Sicherheit zu einer Herausforderung wird. Im Einzelnen:
- Sieben von zehn (70 %) Cloud-Entscheidern zufolge erweisen sich die isolierten Systeme ihres Unternehmens bei der Beschaffung von Benutzerdaten als Hindernis.
- Die Hälfte der Befragten gibt an, dass es ihrem Team an einer effektiven Möglichkeit fehlt, Benutzerdaten in ihre Schwachstellen-Management-Verfahren einzubinden.
- Mehr als die Hälfte (55 %) erklären, dass mangelnde Hygiene sowohl im Umgang mit den Benutzerdaten als auch mit den Schwachstellen-Management-Systemen ihres Unternehmens sie daran hindert, hochwertige Daten zu gewinnen, die ihre Mitarbeiter bei Priorisierungsentscheidungen unterstützen.
- Laut sechs von zehn (58 %) Befragten ist das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.
- Nahezu drei Viertel (74 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde.
Erschwerend kommt hinzu, dass die Verantwortung für die Überwachung von Identitäts- und Zugriffsmanagementsystemen ein Teamsport zu sein scheint, an dem Fachpersonal aus den Bereichen IT- und Sicherheitsbetrieb, Risiko und Compliance sowie Governance beteiligt sind. Bei einer großen Mehrheit der Befragten (67 %) sind drei oder mehr Identitäts- und Zugriffsmanagementsysteme im Einsatz, und an der Verwaltung dieser Systeme sind bis zu fünf verschiedene Arten von Teams beteiligt: IT-Betrieb (77 %), Sicherheitsbetrieb (61 %), Identität und Zugriff (53 %), Risiko und Compliance (36 %) und Governance (32 %).
Wer betreut die in Ihrem Unternehmen eingesetzten Systeme zur Verwaltung von Identitäten und Berechtigungen?
| Team | % der Befragten |
| IT-Betrieb | 77% |
| Sicherheitsbetrieb | 61% |
| Für Identitäten und Zugriff zuständiges Team | 53% |
| Risiko und Compliance | 36% |
| Governance | 32% |
| Mein Unternehmen verfügt nicht über ein System zur Verwaltung von Identitäten und Berechtigungen | 2% |
| Anders | 1% |
Mehrfachnennungen möglich.
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Darüber hinaus haben die meisten der befragten Cloud-Entscheider mehrere Funktionen inne und geben an, dass sie die endgültigen Entscheidungsträger für eine Reihe anderer wichtiger Bereiche sind, darunter DevSecOps, Schwachstellen-Management und sogar das Security Operations Center (SOC).
Ich bin der endgültige Entscheidungsträger für diesen Bereich
| Bereich | % der Befragten |
| DevSecOps | 61% |
| Schwachstellen-Management | 58% |
| Security Operations Center (SOC) | 57% |
| SaaS-Anwendungen/-Tools | 56% |
| IT-Betrieb | 56% |
| Verwaltung von Identitäten und Zugriffsrechten | 53% |
| DevOps | 53% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Und dennoch wird Cybersecurity in den meisten Phasen der Bereitstellung von Technologien oft vernachlässigt.
Wie oft wird das Cybersecurity-Team Ihres Unternehmens in den folgenden Phasen der Bereitstellung eingeschaltet?
| Phase | Nie | Selten | Gelegentlich | Meistens | Immer |
| Bewertung der Architektur | 1% | 10% | 38% | 35% | 15% |
| Scoping | 2% | 16% | 41% | 32% | 9% |
| Angebotsanfrage | 3% | 10% | 31% | 35% | 21% |
| Bewertung des Anbieters / Konzeptnachweis (PoC) | 2% | 10% | 33% | 31% | 24% |
| Configuration and deployment | 0% | 5% | 27% | 42% | 26% |
| Verwaltung von Benutzerberechtigungen und Zugang | 0% | 2% | 23% | 38% | 35% |
| Laufendes Vendor Management und Wartung | 1% | 9% | 27% | 40% | 23% |
| Governance und Exception Management | 1% | 11% | 21% | 45% | 22% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
DevOps ist ein weiterer Bereich, der den Cloud-Entscheidern Sorgen bereitet: Vier von zehn Befragten (42 %) geben an, dass das DevOps-Team ihres Unternehmens der Sicherheit bei der Code-Entwicklung keine Priorität einräumt.
Weitere Informationen zu den Befragten
Die Umfrageteilnehmer sind Entscheidungsträger aus den Bereichen IT (65 %) und Cybersecurity (35 %). Sie sind meist eher Ressortleiter oder Manager als C-Level-Führungskräfte. Sie sind sehr stark an der IT- und Sicherheitsstrategie beteiligt.
Welche der folgenden Aussagen beschreibt Ihre derzeitige Position/Abteilung am besten?
| Position/Abteilung | % der Befragten |
| IT | 65% |
| Cybersecurity / InfoSec | 35% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Welcher Titel beschreibt Ihre Position in Ihrem Unternehmen am besten?
| Titel | % der Befragten |
| Der ranghöchste IT- oder Sicherheits-Entscheidungsträger im Unternehmen (z.B. CIO, CISO, CTO) | 22% |
| Business Information Security Officer (BISO) | 3% |
| VP/Ressortleiter für IT oder Sicherheit | 40% |
| Director/Leiter für IT oder Sicherheit | 35% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Inwieweit sind Sie an der Festlegung, Verwaltung und/oder Umsetzung der folgenden Bereiche der IT/SECURITY-Strategie in Ihrem Unternehmen beteiligt?
| Bereich | Geringfügig involviert | Mäßig involviert | Sehr involviert |
| Budget | 1% | 45% | 53% |
| Leistungsmetriken | 0% | 40% | 59% |
| Geschäftsstrategien | 0% | 48% | 52% |
Grundlage: 262 IT- und Sicherheitsexperten mit endgültiger Entscheidungsbefugnis für die Cloud-Infrastruktur/Architektur ihres Unternehmens
Quelle: Eine 2023 von Forrester Consulting im Auftrag von Tenable durchgeführte Studie
Vier Empfehlungen zur Reduzierung von Cloud-Sicherheitsrisiken
Die Absicherung einer komplexen Cloud-Infrastruktur erfordert die Bewältigung einer Vielzahl von Herausforderungen in Bezug auf Mitarbeiter, Prozesse und Technologien. Hier sind vier Empfehlungen für die ersten Schritte:
- Bauen Sie Silos ab. Entwickeln Sie einen Plan zur Standardisierung der Cloud-Sicherheit in den verschiedenen Geschäftsbereichen, um einen gemeinsamen Bezugspunkt zu schaffen, der von Teams in den Bereichen Sicherheit, IT, DevOps und DevSecOps genutzt werden kann. Können Sie schnell die Beziehungen zwischen Benutzern, Systemen und Assets in Ihrem Unternehmen ermitteln, so dass Sie realistisch deren Exposure identifizieren und behandeln können? Oder bilden Ihre isolierten Systeme eine Barriere, die Sie daran hindert, solche Daten effektiv in Ihre Verfahren für die Cloud-Sicherheit einzubeziehen? Standardisierung kann helfen, Reibungen zwischen IT-, Sicherheits- und Entwicklerteams zu minimieren und eine schnelle Entscheidungsfindung auf der Grundlage präziser Empfehlungen zu gewährleisten, die jeder nachvollziehen kann.
- Stellen Sie Ihre Angriffsfläche visuell dar. Zu wissen, über welche Cloud-Assets Sie verfügen, ist nur der Anfang. Sie benötigen Einblick in die Konfigurationen, digitalen Identitäten und zugehörigen Berechtigungen für jedes Asset in Ihrem Netzwerk. Nur mit einer kontextbezogenen Sicht auf Assets, Konfigurationen und Identitäten können Sie die nötige Transparenz erzielen, um die Art von präzisen Analysen durchzuführen, anhand derer Sicherheitsteams gezielte Empfehlungen zur Reduzierung von Risiken geben können.
- Gehen Sie Multi-Cloud-Herausforderungen an. Jeder der großen Public Cloud-Anbieter – Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure – verwaltet und konfiguriert Cloud-Komponenten auf unterschiedliche Weise, wodurch es zu Inkonsistenzen bei der kontinuierlichen Sicherheitsüberwachung kommt. Konsolidieren Sie die Daten von allen Ihren Public Cloud-Anbietern in einem zentralen Überwachungs- und Verwaltungsbereich. Dies erfordert ein Verständnis der verschiedenen Mechanismen, die im Spiel sind, einschließlich der Infrastruktur des jeweiligen Cloud-Anbieters und des Berechtigungsmodells, und kann Ihnen helfen, die Grundlagen für konsolidierte und präzise Behebungsempfehlungen zu schaffen.
- Suchen Sie nach automatisierten Lösungen. Automatisierte Lösungen für die Cloud-Sicherheit können Ihnen dabei helfen, die Exposition Ihres Unternehmens gegenüber Risiken kontinuierlich zu analysieren und die Ergebnisse auf einfache, verständliche und umsetzbare Weise zu präsentieren, ohne dass Teams über umfassendes technisches Know-how verfügen müssen. Mit automatisierten Sicherheitstools sind Teams in der Lage, Risiken inmitten der Komplexität nachzuvollziehen, zu untersuchen und zu bewältigen. Mit der richtigen automatisierten Lösung erhalten Sie vollständigen Einblick in Ihre Cloud-Assets, -Benutzer und -Konfigurationen, können Daten von allen Public Cloud-Anbietern in einem einheitlichen Überwachungs- und Verwaltungsbereich konsolidieren sowie Risiken anhand ihres Schweregrads priorisieren und beheben. Automatisierung kann für ressourcenarme Sicherheitsteams ein wichtiger Kraftmultiplikator sein.
Bei der Suche nach den richtigen Lösungen für Cloud-Sicherheit sollten sich Unternehmen auf solche konzentrieren, die Komplexität und Risiko reduzieren. Geeignete Lösungen sollten benutzerfreundlich sein und die Cloud-Sicherheit über verschiedene Geschäftsbereiche hinweg standardisieren. Eine solide Lösung fungiert als Ratgeber und liefert Erkenntnisse über Schwachstellen oder Fehlkonfigurationen, die sofortige Aufmerksamkeit erfordern. Außerdem bietet sie eine kontextbezogene Risikopriorisierung und verwertbare Erkenntnisse für fundierte Entscheidungen zur Risikominderung sowie Tools zur Automatisierung und Beschleunigung von Behebungsmaßnahmen.
Verwandte Artikel
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud
- Exposure Management