Finanzinstitute und ihre Kunden haben gute Gründe, sich Sorgen um die Cybersicherheit zu machen. Laut einer Studie des IT-Sicherheitsspezialisten Positive Technologies erlebten Unternehmen in diesem Sektor im Jahr 2023 doppelt so viele einzelne Cybervorfälle wie im Jahr 2022.
Die zunehmende Abhängigkeit dieser Einrichtungen von der Cloud hat ein breites Spektrum an Angriffsmöglichkeiten eröffnet. Das X-Force Cybersicherheitsteam von IBM stellte einen Anstieg von 194% an Cloud-bezogenen Schwachstellen und Gefährdungen im Jahr 2023 gegenüber 2022 fest.
Die Cloud und warum Ihr Unternehmen sie fast sicher nutzt
Bei der Cloud handelt es sich um ein Modell für den bedarfsgerechten Zugriff auf Computerressourcen wie Speicherplatz, Rechenleistung und Software, die über das Internet bereitgestellt werden. Die Cloud ermöglicht es Ihnen und Ihren Kollegen, auf Daten zuzugreifen, die zentral auf einem entfernten Server gespeichert sind und nicht auf einem einzelnen Computer in Ihrem Büro.
Im Jahr 2023 gaben 98% der von der Cloud Security Alliance befragten Finanzdienstleister an, dass sie irgendeine Form von Cloud Computing nutzen. Und nach Angaben des International Banker, mehr als 44% der Finanzdienstleistungsunternehmen hatten im Jahr 2023 Daten in der Cloud, und 52% werden es im Jahr 2024 sein.
Nahezu jede Cloud-Einrichtung umfasst entfernte Datenserver (off-premises oder "off-prem"), die sich nicht am selben Ort befinden wie die Nutzer, die auf die dort gespeicherten Daten zugreifen. Es gibt jedoch drei verschiedene Cloud-Bereitstellungsmodelle, die sich dadurch unterscheiden, wer Zugang zu den Remote-Servern hat und die Kontrolle darüber ausübt:
- Shared Cloud (auch als public cloud bekannt): Bei diesem Bereitstellungsmodell teilen sich mehrere Benutzer entfernte Server, die einem Cloud-Service-Anbieter (CSP) gehören und von ihm betrieben werden. Beispiele für bekannte CSPs sind Amazon, Google und Microsoft. Shared Clouds werden oft als relativ kostengünstige, einfach einzurichtende und schnell skalierbare Optionen für Cloud Computing angesehen.
- Gehostete private Cloud: Hier besitzt und betreibt ein CSP Remote-Server, die ausschließlich von einer einzigen Organisation genutzt werden. Dedizierte Ressourcen bedeuten höhere Kosten, aber die Nutzer haben mehr Kontrolle über die Konfiguration der Ressourcen, um spezifische organisatorische Anforderungen zu erfüllen, z. B. in Bezug auf die Leistungsvorhersagbarkeit und die Einhaltung von Datenvorschriften.
- Private Cloud: Eine private Cloud umfasst eine dedizierte Cloud-Infrastruktur, die sich im Besitz und unter der Kontrolle einer einzelnen Organisation befindet. Während diese Infrastruktur manchmal in den Räumlichkeiten des Unternehmens untergebracht sein kann, ist eine weit verbreitete Praxis die "Colocation" oder das Anmieten von Platz für die Server bei einem Rechenzentrumsanbieter. Diese Anbieter kümmern sich in erster Linie um die physische Sicherheit, die Stromversorgung, die Konnektivität und andere ähnliche Notwendigkeiten, die nichts mit dem Innenleben der Server zu tun haben. Private Clouds sind zwar in der Regel die teuersten Cloud-Computing-Modelle, bieten aber den höchsten Grad an Anpassung an die spezifischen Anforderungen des Unternehmens, die Kontrolle über die Datenspeicherung und den Datenzugriff sowie die Leistung für bestimmte Workloads und Anforderungen.
Es ist auch erwähnenswert, dass so genannte Hybrid-Clouds mindestens zwei der oben genannten Arten von Cloud-Umgebungen kombinieren.
Sicherheitsrisiken in der Cloud
Die wachsende Beliebtheit von Cloud Computing, auf das laut HG Insights im Jahr 2023 schätzungsweise 68% aller externen IT-Ausgaben entfallen werden, hat dazu geführt, dass die Cloud-Sicherheit stärker in den Fokus gerückt ist. Der Gesamtmarkt für Cloud-Sicherheit erreichte im vergangenen Jahr $76 Milliarden US-Dollar, wobei Finanzinstitute die Höchstmarke von $23,4 Milliarden US-Dollar für entsprechende Lösungen ausgaben..
Im Großen und Ganzen hängen die Herausforderungen, die diese Lösungen mit sich bringen, von der Art der Cloud ab, auf die sich das Unternehmen verlässt.
- Gemeinsame Sicherheitsbedenken zur Cloud: Da der CSP die Infrastruktur verwaltet, haben die Nutzer keine vollständige Kontrolle über ihre Sicherheitslage. Die gemeinsame Nutzung von Ressourcen mit anderen Organisationen erhöht das Risiko potenzieller Sicherheitslücken, da sich Angriffe auf eine Domäne auf andere Domänen auswirken können, die auf dieselben Komponenten und denselben Code angewiesen sind.
- Sicherheitsbedenken bei einer gehosteten privaten Cloud: Auch wenn eine dedizierte Umgebung einer Organisation mehr Flexibilität bei der Umsetzung von Sicherheitsmaßnahmen bietet, können Mitarbeiter von CSPs dennoch auf die Dateien der Organisation zugreifen - wenn auch nicht unbedingt entschlüsseln und lesen. Verschlüsselte Dateien können versehentlich oder absichtlich beschädigt werden, so dass der Organisation oft nur begrenzte technische Möglichkeiten zur Verfügung stehen.
- Sicherheitsbedenken bei privaten Clouds: Private Clouds bieten das Nonplusultra an Cloud-Sicherheit - für Organisationen, die wissen, was sie tun. Die Organisation hat die vollständige Kontrolle über ihre Server und muss über das Fachwissen verfügen, um fortschrittliche Mechanismen wie Firewalls, Systeme zur Erkennung von Eindringlingen und Zugangskontrollen einzusetzen. Dieses Fachwissen ist nicht leicht zu bekommen: 80% der von Flexera befragten Unternehmen gaben an, dass mangelndes Fachwissen ihr größtes Cloud-Problem ist. Die Cloud Security Alliance fand heraus, dass nur 29% der befragten Finanzunternehmen angaben, dass ihre Mitarbeiter ein hohes Maß an Wissen über Cloud-Sicherheit haben.
Cloud-Optionen in der Finanzbranche
Nach den Statistiken der Cloud Security Alliance zu urteilen, verlässt sich Ihr Unternehmen wahrscheinlich auf eine hybride Cloud, die von mindestens einem CSP betrieben wird, wobei verschiedene Arten von Daten in unterschiedlichen Umgebungen verarbeitet werden. Von den von der Alliance befragten Finanzdienstleistern,
- 84% gab an, dass sie eine öffentliche Cloud nutzen, um zumindest einige regulierte Daten zu speichern, darunter auch solche, die nach der Allgemeinen Datenschutzverordnung der EU als personenbezogene Daten bezeichnet werden,
- 59% gaben an, dass sie regulierte Bankdaten in Cloud-Diensten speichern oder verarbeiten,
- 28% gaben an, dass mehr als die Hälfte ihrer regulierten Daten in einer öffentlichen Cloud gespeichert sind, und
- 57% meldete die Zusammenarbeit mit mehr als einem CSP.
Ihre Schlussfolgerung? Um Ihren Kunden einen genauen Überblick über die Sicherheit ihrer Daten in Ihrer Cloud geben zu können, müssen Sie wahrscheinlich ein paar Hausaufgaben machen.
Ein guter Ausgangspunkt wäre es, herauszufinden, mit welchen CSPs Sie zusammenarbeiten, welche Arten von Clouds Sie nutzen und auf welchen Ebenen die Rechenzentren liegen, in denen Ihre Cloud-Daten gespeichert sind. Tier 4 ist das Beste, was es gibt.
Umsetzbare Einblicke
- Ihr Unternehmen ist ein Top-Ziel für Cyberangreifer – Erwarten Sie, dass Ihre Kunden Sie fragen, wo ihre Daten gespeichert sind und wie sie gesichert werden.
- Ihr Unternehmen nutzt fast sicher die Cloud – Es gibt drei Hauptarten von Clouds; finden Sie heraus, welche Sie nutzen.
- Cloud-Modelle sind nicht alle gleich sicher – Kennen Sie die grundlegenden Unterschiede in Bezug auf die Sicherheit.
