Anzeige

Cloud Panoramablick

Die Mehrheit deutscher IT-Leiter assoziieren den Umstieg auf Cloud Computing mit einem automatisch ansteigenden Sicherheitsniveau – dies ergab eine Umfrage, die das Cyber-Sicherheitsunternehmen McAfee im Oktober 2019 durchführte. Doch: Wer ist eigentlich für die Sicherheit in der Cloud verantwortlich?

Liegt sie wirklich gänzlich bei den Providern? Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, hat die Antworten und erklärt, worum es sich beim „360° Shared Responsibility Model“ handelt und warum sowohl Unternehmen als auch Cloud-Nutzer einen gewissen Grad an Sicherheitsverantwortung übernehmen müssen.

Eine Gartner-Prognose für 2023 spricht Bände: 99 Prozent aller Sicherheitslücken im Rahmen der Cloud-Nutzung entstehen auf Seiten der Kunden. Damit es nicht dazu kommt, sorgt das von Nigel Hawthorn, Experte für Datensicherheit bei McAfee entwickelte „360° Shared Responsibility Model“ für eine Aufteilung der Verantwortung in Sachen Cloud-Sicherheit. Dadurch erhalten alle Akteure, die Cloud-Technologie nutzen, eine bestimmte Rolle im Sicherheitsgeflecht – von den Providern über die Kunden bis zum Endnutzer. Diese Rollenverteilung soll für einen Rundumschutz der Cloud und sämtlicher Dienste und Daten sorgen, damit sich Unternehmen die Vorzüge der Cloud-IT in vollem Umfang zunutze machen können.

Wo gehobelt wird, fallen auch Späne: So sicher ist die Cloud

Cloud Computing ist mittlerweile zu einer gewinnbringenden Alternative (oder Ergänzung) zu traditionellen On-Premises in der Unternehmens-IT avanciert. Der McAfee-Umfrage zufolge präsentieren 90 Prozent der befragten IT-Leiter ihr Unternehmen als „Cloud-first“. Durch einen solchen cloud-fokussierten Ansatz verzeichnen Betriebe eine höhere Mitarbeiterproduktivität, gesteigerte Effizienz und eine engere Zusammenarbeit im Team. Darüber hinaus zeigen sie sich offener der Expansion in neue Märkte und können ihre Produkteinführungszeit reduzieren.

Dass die befragten IT-Leiter die Migration mit einem höheren Sicherheitsgrad verbinden, ist nicht verwunderlich: Cloud Service Provider (CSP) bieten vorab eine gewisse Sicherheitsgrundlage ihrer Cloud-Infrastruktur an. Diese schließt unter anderem den Schutz der Rechenzentren, der Server-Hardware, der Netzwerk-Konnektivität sowie die Absicherung vor cyberkriminellen Einflüssen von außen (beispielsweise in Form von DDoS-Attacken) mit ein. Doch deckt diese Grundsicherheit nicht alle Elemente und Komponenten in der Cloud ab. Bleiben diese Schwachstellen unbeaufsichtigt, steigt das Risiko von Sicherheits- und Compliance-Verstößen. 

Immerhin befinden sich im Unternehmensnetzwerk – irrelevant, ob Cloud oder On-Prem – ein Großteil der unternehmenskritischen und sensiblen Daten. Laut dem McAfee Cloud Adoption and Risk Report machen 21 Prozent den Anteil aller Inhalte dieser Kategorien in der Cloud aus. Und auch die aktuelle Umfrage bestätigt: Die Mehrheit der IT-Leiter geht davon aus, dass sich mindestens die Hälfte der sensiblen Daten und Dokumente im Cloud-Netzwerk ihres Unternehmens befindet. 96 Prozent beabsichtigen sogar, zukünftig noch mehr dieser Daten in die Cloud zu verlagern. Cyber-Kriminelle und Saboteure wissen das und kennen die Schlupflöcher im Netzwerk, durch die sie sich Zugang verschaffen können. Diese reichen von infizierten E-Mail-Anhängen bis hin zur lückenhaften Schatten-IT, die unter dem Radar der IT-Abteilung fällt und somit nicht entsprechend abgesichert werden kann.

Shared Responsibility: Leitfaden für umfassende Sicherheit

Da Provider für diese und weitere Aspekte keine umfassende Sicherheit gewährleisten können, müssen Kunden und Nutzer selbst die Verantwortung über den Schutz ihrer IT-Landschaft übernehmen. Um dies erfolgreich umsetzen zu können, funktioniert das Shared-Responsibility-Modell als Leitfaden und verschafft Unternehmen einen Überblick über die Zuordnung der drei Hauptakteure zu den verschiedenen Verantwortlichkeitsbereichen.

Cloud Service Provider

Der Schutz sowohl sämtlicher physischer Komponenten des Netzwerks sowie der Hosting-Infrastruktur liegt in der Verantwortung der Provider. Internationale Standards – wie ISO 27001 und SOC 2 – schreiben vor, dass Provider Server, Verkabelungen oder Datenspeicher vor Schäden, die durch äußere Einwirkungen oder gefährliche Eingriffe Dritter bedingt sind, besonders schützen müssen. Können Provider nicht für eine einwandfreie und sichere Kommunikation zwischen einzelnen Cloud-Diensten sorgen, steigt das Risiko, schädlichen Angriffen anheimzufallen, die die Infrastruktur lahmlegen.

Kunden

Wenn es um die sichere Funktionalität einzelner Anwendungen geht, sind die Übergänge fließend: Provider und Kunden teilen sich hier – je nach Servicemodell – die Verantwortung auf. Sobald es auf die Ebene des Identity und Access Managements (IAM) übergeht, muss primär der Kunde für Sicherheit sorgen. Wer besitzt welche Privilegien, um bestimmte Cloud-Dienste oder Daten herunterzuladen, zu editieren, in die Cloud zu laden und zu versenden? Hierbei helfen Tools, mit denen die IT-Abteilung Nutzeridentitäten sowie Nutzungsbefugnisse vergeben und identifizieren können. Außerdem müssen Unternehmen mit den richtigen Monitoring- und Geräteverwaltungslösungen dafür sorgen, dass sämtliche Zugänge zum Unternehmensnetzwerk – vor allem aus dem privaten Haushalt – abgesichert werden. 

Endnutzer

Endnutzer – also die Mitarbeiter – und ihr Arbeitgeber teilen sich die Verantwortung im Rahmen der Device- und Datensicherheit. Da Mitarbeiter die Daten aus der Cloud auf ihre PCs und Mobile Devices herunterladen, um mit ihnen zu arbeiten, und sich dadurch ein gewisses Gefahrenpotenzial bildet, muss ihren Geräten eine ebenso hohe Aufmerksamkeit zukommen. Darüber hinaus tragen einzelne Mitarbeiter die Verantwortung darüber, aufmerksam mit Daten umzugehen und sie nicht an unautorisierten Orten zu verbreiten.

Fazit

Das „360° Shared Responsibility Model“ deckt sämtliche Cloud-Dienste ab und etabliert ein höheres Sicherheitsbewusstsein auf allen Ebenen der Cloud-Nutzung. Jeder, der mit Cloud-Technologie arbeitet, trägt einen gewissen Teil an Verantwortung, damit sich alle Akteure in der Cloud sicher fühlen können. Sobald auch nur eine Partei nicht mehr ihrer Verantwortung nachgeht, entstehen gefährliche Lücken. Mit der „geteilten Verantwortung“ soll dem Entstehen solcher Schwachstellen vorgebeugt werden.

Rolf Haas, Enterprise Technology Specialist EMEA
Rolf Haas
Enterprise Technology Specialist EMEA, Intel Security
Rolf Haas ist Enterprise Technology Specialist EMEA bei Intel Security und bringt über 22 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen sowie alle Bereiche der IT Security, wie Malware, IPS, Firewall und Verschlüsselung.

Artikel zu diesem Thema

Cloud Gewitter
Mär 13, 2020

Versteckt in der Wolke: Cloud-basierte Cyberbedrohungen

Der Cloud-Security-Spezialist Netskope analysiert in seinem neuen Cloud and Threat Report…
Public Cloud
Jan 30, 2020

Die meisten Unternehmen speichern sensible Daten in der Public Cloud

McAfee veröffentlicht eine neue Studie mit dem Titel „Enterprise Supernova: The Data…
Cloud Bedrohung
Aug 21, 2019

Erkennung von Cyber-Bedrohungen in der Cloud

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf…

Weitere Artikel

Cyber-Lockdown

Ein Jahr im Cyber-Lockdown. Was haben wir gelernt?

Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Phishing

Nutzer sind besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

KnowBe4, Anbieter der Plattform für Security Awareness Training und Phishing-Simulationen, gab die Ergebnisse seiner Phishing-Untersuchungen für das 1. Quartal 2021 bekannt.
Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.