Wer Vertriebssoftware aus der Cloud bezieht, kommt um sicherheitstechnische Aspekte nicht herum. In diesem Artikel beleuchten wir vier Sicherheitslösungen, die Unternehmen bei der Nutzung der Cloud bedenken sollten.
Um wettbewerbsfähig zu bleiben, setzen viele Unternehmen auf datenbasierte Geschäftsmodelle. Das bedeutet, dass die Menge an Daten, die täglich produziert und verarbeitet wird, exponentiell ansteigt. Allein bis 2025, so prognostiziert es Microsoft, wird die Menge produzierter Daten 175 Zettabytes betragen. Ein Zettabyte ist eine Milliarde Terabyte.
Cloud Computing macht die Verarbeitung dieser Datenmengen erst möglich. Doch die Cloud beziehungsweise cloudbasierte Systeme stellen auch ein potenzielles Risiko für die Nutzerinnen und Nutzer dar.
So kommt etwa die Studie „Wirtschaftsschutz in der digitalen Welt“ des Bitkom e.V. aus dem Jahr 2019 zu folgenden Ergebnissen:
– 88 Prozent der befragten Unternehmen waren 2019 von Datendiebstahl, Industriespionage oder Sabotage betroffen; 2015 waren es noch 79 Prozent.
– 21 Prozent waren vom Diebstahl sensibler digitaler Daten und Informationen betroffen
– 26 Prozent der gestohlenen Daten waren Finanzdaten; 23 Prozent Kundendaten
Für die Umfrage wurden 1.070 Unternehmen ab zehn Mitarbeitern in Deutschland befragt.
Bei der Sicherheit von Vertriebssoftware in der Cloud geht es einerseits darum, die Einhaltung gesetzlicher Vorschriften und Regeln sicherzustellen. Auf europäischer Ebene ist das zum Beispiel die Datenschutz-Grundverordnung (DSGVO).
Andererseits beinhaltet IT-Sicherheit in der Cloud, dass Informationen (Daten), Anwendungen und Infrastrukturen geschützt werden, die mit der Nutzung von Cloud-Computing verbunden sind.
Im Folgenden werden drei wesentliche Aspekte der IT-Sicherheit für den Einsatz von moderner Vertriebssoftware aus der Cloud beleuchtet.
Schutz mobiler Endgeräte mittels Endpunkt-Sicherheit
Gerade die Arbeit im Homeoffice beziehungsweise Remote-Arbeit, bei der über private mobile Endgeräte (Bring Your Own Device, BYOD), wie Smartphone, Laptop oder Tablet auf Unternehmensdaten und -anwendungen zugegriffen wird, birgt ein großes Einfallstor für Angriffe aus dem Cyberspace.
Wie Trend Micro und Kaspersky bestätigen, ist die Zahl der Angriffe aufs Homeoffice seit Mitte März 2020 massiv gestiegen. Die größten Sicherheitsrisiken liegen dabei in ungesicherten Heimnetzwerken und ungeschützten Zugängen zum Unternehmensintranet.
Risikoszenarien für Remote-Arbeit gibt es viele. So können mobile Endgeräte gestohlen werden oder verloren gehen, und Cyberkriminelle können die Netzwerk- und Kommunikationsverbindungen der Beschäftigten hacken.
Knackpunkt sind die Daten, die bei einer Verbindung mit dem Internet über Schnittstellen wie Bluetooth, GSM, USB, GPS oder NFC ausgetauscht werden. Für den Schutz mobiler Endgeräte empfehlen Experten zum Beispiel folgende Punkte:
1. Unternehmen sollten keine veraltete Hardware verwenden, da bei diesen oft Sicherheits- und Verwaltungskontrollen fehlen. Wenn Unternehmen mobile Endgeräte zur Verfügung stellen oder Mitarbeiterinnen und Mitarbeiter ihre eigenen nutzen, sollten diese eine Richtlinienverwaltung und den regelmäßigen Erhalt von Sicherheitsupdates unterstützen.
2. Erstellen von Sicherheitsrichtlinien, wenn die eigenen mobilen Endgeräte der Nutzerinnen und Nutzer (BYOD) verwendet werden. Stellen Unternehmen mobile Endgeräte selbst zur Verfügung, sollten mit einem Mobile Device Management (MDM), allen Nutzerinnen und Nutzern nur eingeschränkte Nutzungsrechte eingeräumt werden. So ist eine Kontrolle aller eingesetzten mobilen Endgeräte gewährleistet.
3. Einschränkung der Installation von Apps und Software beziehungsweise Klarheit darüber, welche Programme und Apps auf den mobilen Endgeräten installiert werden dürfen. Dies gilt auch uns insbesondere für eine BYOD-Strategie. Wird zum Beispiel ein mobiles Endgerät für berufliche und private Zwecke verwendet, gibt es passende Anwendungen, die auf dem Endgerät zwei Profile (beruflich und privat) einrichten. So ist sichergestellt, dass private Apps nicht für berufliche Zwecke und beruflich genutzte Apps nicht für private Zwecke verwendet werden.
Sicheres Anmelden mit Multi-Faktor-Authentifizierung
Bei der Multi-Faktor-Authentifizierung (MFA) geht es darum, die Identität einer Nutzerin oder eines Nutzers bei der Anmeldung an ein System (zum Beispiel Firmennetzwerk) nachzuweisen und somit den Zugang zum System und seinen Ressourcen zu gewährleisten.
Bekannt ist der übliche Anmeldeprozess durch die Eingabe eines Benutzernamens und eines Passworts. Beim MFA-Verfahren erfordert der Nachweis der Identität zwei oder mehrere separate Schritte, in der bestimmte Anmeldeinformationen angegeben oder bestimmte Bedingungen erfüllt werden müssen.
Zum Einsatz kommt MFA immer häufiger bei Cloud-Services. Dabei wird den Benutzerinnen und Benutzern nach der Eingabe des Benutzernamens und des Passworts zum Beispiel ein Verifizierungscode per SMS oder E-Mail gesendet. Die Eingabe dieser eindeutigen Werte entspricht dann dem zusätzlichen Authentifizierungsschritt.
Niemandem vertrauen mit dem Sicherheitskonzept „Zero Trust“
Worum es sich bei dem „Zero-Trust“-Modell handelt, lässt sich bereits am Begriff erkennen. Die Philosophie hinter diesem Sicherheitskonzept:
Vertraue keiner Nutzerin und keinem Nutzer oder keinem Gerät innerhalb und außerhalb des eigenen Netzwerks!
In der Praxis bedeutet das:
Jedweder Datenverkehr muss geprüft werden und alle Anwenderinnen und Anwender müssen sich authentifizieren. Mit diesem Sicherheitskonzept soll das Risiko für Firmennetze und -anwendungen minimiert werden; es geht um den Ausschluss externer Bedrohungen sowie interner Gefahrenpotenziale.
Der Unterschied zu herkömmlichen Sicherheitskonzepten liegt darin, dass diese bloß externen Datenverkehr als gefährlich einstuften, während sie den internen Anwenderinnen und Anwendern sowie Services vertrauten.
„Zero Trust“ funktioniert in der Praxis so:
– Alle Benutzerinnen und Benutzer sowie Anwendungen müssen sich authentifizieren.
– Der Datenverkehr muss grundsätzlich verschlüsselt werden; die Verschlüsselung erfolgt bei der Speicherung und Übertragung von Daten auf Netzwerk- und Anwendungsebene.
– Alle IT-Assets müssen inventarisiert und benötigte Zugriffsrechte auf Anwendungen oder Geräte genau definiert werden.
– Innerhalb des eigenen Netzwerks und auch an den Netzwerkgrenzen müssen Systeme vorgehalten werden, die den Datenverkehr analysieren, zulassen oder verbieten und sämtliche Aktionen in Log-Dateien aufzeichnen.
Umfassende Gefahrenabwehr mit Unified Threat Management
Bei einem Unified Thread Management werden mehrere Sicherheitsfunktionen in einer Sicherheitslösung vereint. Von Endpunkt-Sicherheit über Datenschutzrichtlinien bis zur automatisierten Untersuchung und Abwehr von Cyberangriffen können Unternehmen mit Threat Management alle IT-Gefahren managen.
Wichtig beim Threat Management ist es, dass alle im Unternehmen verwendeten Sicherheitslösungen zur Prävention von Cyberattacken miteinander kommunizieren und Signale austauschen.
Dafür ein einfaches Beispiel:
Ein Angriff, der mittels eines bösartigen E-Mail-Anhangs gestartet wird, kann Schaden auf dem Endgerät anrichten, auf dem er geöffnet wird. Mit Hilfe künstlicher Intelligenz und Machine Learning sind bestimmte Tools in der Lage, diesen Angriff zu erkennen und abzuwehren.
Der Sicherheitssoftware, die den Posteingang und die E-Mail-Server absichert, wird diese Gefahr gemeldet. Damit lässt sich verhindern, dass E-Mails mit demselben Anhang bei einem weiteren Angriffsversuch überhaupt zugestellt werden.
BERECHNEN SIE JETZT DEN ROI VON QYMATIX PREDICTIVE SALES SOFTWARE
Drei wichtige Aspekte der IT-Sicherheit – Fazit
Wer Software und Services aus der Cloud nutzt, kommt um sicherheitstechnische Aspekte nicht herum.
Diese Notwendigkeit ist schon deshalb einleuchtend, weil Unternehmen durch diesen Schritt die Kontrolle über firmeninterne Daten und Informationen an den Betreiber der Cloud weitergeben.