Anzeige

Cloud Security

Es scheint fast so, als würde kaum ein Tag vergehen, an dem nicht über Datenlecks in der Cloud berichtet wird. Und doch scheint keiner dieser Vorfälle als Weckruf zu dienen und zu einem generellen Umdenken bei der Cloud-Nutzung und Cloud-Sicherheit zu führen.

Sowohl die Anzahl als auch das Ausmaß der Datenlecks nehmen weiter zu, ebenso wie die potenziellen Auswirkungen auf die Betroffenen. Dies gilt für die Unternehmen, die Daten abfließen lassen, genauso wie für diejenigen, deren (zumeist persönliche) Daten in die falschen Hände geraten. 

„Undichte“ AWS S3-Buckets sind wahrscheinlich der häufigste Tatort für ungesicherte Daten in der Cloud. So entdeckten im September Sicherheitsforscher von CyberNews einen ungesicherten Bucket des US-amerikanischen Online-Marketingunternehmens View Media mit fast 39 Millionen Benutzer-Datensätzen, einschließlich ihrer vollständigen Namen, E-Mail- und Straßenadressen, Telefonnummern und Postleitzahlen. Im August fanden Sicherheitsexperten von vpnMentor einen ungesicherten Bucket mit mehr als 5,5 Millionen Datensätzen aus den Beständen unterschiedlichster Unternehmen und Organisationen wie Versicherungsbetrieben, Universitäten oder Hotels. Auch hierbei handelte es sich um personenbezogene Daten. Im Juli… Diese Liste könnte endlos weitergeführt werden, kann aber die grundlegende Frage nicht beantworten: Warum kommt es immer wieder zu solchen Vorfällen?

Das Modell der geteilten Verantwortung

Der Top Threats-Report der Cloud Security Alliance zeigt, dass vielen Sicherheitsverantwortlichen die Risiken durchaus bewusst sind. Die befragten Security-Experten nennen hier Datenverstöße, Fehlkonfiguration der Cloud-Infrastruktur und fehlende Cloud-Sicherheitsarchitektur und -strategie als die drei größten Risiken bei der Cloud-Nutzung. Wenn man also davon ausgeht, dass die Risiken von Cloud-Bedrohungen verstanden werden, es aber dennoch immer wieder zu Verstößen kommt, kann man zu dem Schluss kommen, dass zu viele Unternehmen das Modell der geteilten Verantwortung nicht wirklich kennen oder noch immer nicht vollständig verstanden haben. Die „geteilte Verantwortung“ legt fest, wo die Verantwortung des Cloud-Service-Providers endet (Sicherheit der Cloud) und wo die Verantwortung des Kunden, also des Unternehmens, beginnt (Sicherheit in der Cloud). Eine kleine Präposition macht hier einen riesigen Unterschied.

Eigentlich ist dieses Prinzip recht einfach: Der Cloud-Anbieter ist für seine Infrastruktur, seine Betriebssysteme u.ä. verantwortlich, während der Kunde für die Aktivitäten in der Cloud sowie die gespeicherten Daten die Verantwortung trägt. Dennoch ignorieren zahlreiche Unternehmen ebendiese Pflichten. Eine Untersuchung des Ponemon-Instituts zeigte kürzlich, dass nur knapp ein Drittel (32 %) der Unternehmen glauben, dass der Schutz von Daten in der Cloud in ihrer eigenen Verantwortung liegt. Erschwerend kommt hinzu, dass sich auch hier Wertschöpfungsketten mit Drittanbietern finden, welche im Bereich der Datenverarbeitung oder -analyse eingesetzt werden. Häufig sind es diese Dienstleister, welche alle notwendigen Maßnahmen zur Sicherung der Daten "in" der Cloud durchsetzen sollten. Leider gibt es zu oft eine Kette impliziten Vertrauens, die unangebracht ist und verheerende Folgen hat. Etwa im Falle des Datenunternehmens Attunity, das unter anderem Daten von Ford und Netflix in öffentlich zugänglichen S3-Buckets gespeichert hatte. Verstöße dieser Art zeigen, dass auch in der Cloud-Security-Strategie die Sicherheit der Lieferkette ein Kernelement sein sollte.

Einfache Probleme einfach lösen

Wie in allen Bereichen, spielt auch bei der Bewältigung von Sicherheitsproblemen in der Cloud die Sensibilisierung und Schulung der Mitarbeiter eine große Rolle. Allerdings gibt es auch zahlreiche Tools, die die Überwachung der Cloud-Nutzung automatisieren und die Benutzer bei der Schulung unterstützen können. Zudem sind diese Tools im Allgemeinen auch ziemlich unkompliziert. So sind vordefinierte Regeln wie „Stellen Sie sicher, dass S3 Bucket nicht öffentlich zugänglich ist“ möglich, oder einfache Regeln, die alarmieren, wenn der TCP 9200-Port exponiert wird. Auf diese Weise können schnell Abhilfemaßnahmen eingeleitet und so verhindert werden, dass Datensätze geplündert werden. Diese einfache Konfiguration hätte zahlreiche Datenschutzverletzungen verhindert, was zeigt, dass die Lösungen manchmal einfacher sind, als es das ursprüngliche Problem suggeriert.

Trotz der Geschwindigkeit, mit der Unternehmen jetzt auf die Cloud umsteigen, konzentrieren sie sich in ihrer Sicherheitsstrategie nach wie vor hauptsächlich auf den Perimeter vor Ort. Dabei wird die einfache Tatsache übersehen, dass Fehlkonfigurationen in der Cloud die eigenen sensiblen Daten für Milliarden Menschen zugänglich machen können. Jahrelang haben wir auf die Gefahren von Post-It-Notizen mit Passwörtern auf den Monitoren der Mitarbeiter hingewiesen. Dies ist bestimmt nach wie vor noch ein Problem, aber es verblasst etwas angesichts der potenziellen Exposition ganzer Datensätze, die in ungeschützten Buckets für Jedermann weltweit zugänglich sind. Unternehmen müssen im Cloud-Zeitalter ihre Sicherheitsstrategie neu ausrichten und der Cloud anpassen. Sie müssen verstehen, dass sie die Verantwortung für die Sicherheit der Daten tragen und entsprechend die Sicherheitsmaßnahmen hieran – endlich – ausrichten.

Thomas Ehrlich, Country Manager DACH
Thomas Ehrlich
Country Manager DACH, Netskope

Artikel zu diesem Thema

Cloud Panoramablick
Mai 25, 2020

Shared Responsibility: Der Panoramablick auf eine sichere Cloud

Die Mehrheit deutscher IT-Leiter assoziieren den Umstieg auf Cloud Computing mit einem…
Cloud Bedrohung
Aug 21, 2019

Erkennung von Cyber-Bedrohungen in der Cloud

Cloud-Umgebungen verändern grundlegende Annahmen über die Erkennung und Reaktion auf…
Hacker Cloud
Jul 03, 2019

Einblicke in das Verhalten von Hackern in Cloud-Umgebungen

Virtualisierte Cloud-Umgebungen, die von Cloud-Service-Providern (CSPs) unterstützt…

Weitere Artikel

Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.
Cybersecurity

So gestaltet sich mehrstufiger IT-Schutz

Arbeitet man in einem kleinen Unternehmen wird eine wichtige Sache oft vergessen: Computersicherheit. Da der Fokus mehr darauf liegt, Aufträge zu bekommen und zu erfüllen, rückt das Thema IT-Schutz eher in den Hintergrund.
Insider-Threats

Insider-Threats durch übermäßige Berechtigungen

Das Knacken des Codes, das Besiegen eines Endgegners oder das Entdecken eines verlorenen Schlüssels – all das sind Möglichkeiten, in Videospielen aufzusteigen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.