Thought Leadership
Es scheint fast so, als würde kaum ein Tag vergehen, an dem nicht über Datenlecks in der Cloud berichtet wird. Und doch scheint keiner dieser Vorfälle als Weckruf zu dienen und zu einem generellen Umdenken bei der Cloud-Nutzung und Cloud-Sicherheit zu führen.
Sowohl die Anzahl als auch das Ausmaß der Datenlecks nehmen weiter zu, ebenso wie die potenziellen Auswirkungen auf die Betroffenen. Dies gilt für die Unternehmen, die Daten abfließen lassen, genauso wie für diejenigen, deren (zumeist persönliche) Daten in die falschen Hände geraten.
„Undichte“ AWS S3-Buckets sind wahrscheinlich der häufigste Tatort für ungesicherte Daten in der Cloud. So entdeckten im September Sicherheitsforscher von CyberNews einen ungesicherten Bucket des US-amerikanischen Online-Marketingunternehmens View Media mit fast 39 Millionen Benutzer-Datensätzen, einschließlich ihrer vollständigen Namen, E-Mail- und Straßenadressen, Telefonnummern und Postleitzahlen. Im August fanden Sicherheitsexperten von vpnMentor einen ungesicherten Bucket mit mehr als 5,5 Millionen Datensätzen aus den Beständen unterschiedlichster Unternehmen und Organisationen wie Versicherungsbetrieben, Universitäten oder Hotels. Auch hierbei handelte es sich um personenbezogene Daten. Im Juli… Diese Liste könnte endlos weitergeführt werden, kann aber die grundlegende Frage nicht beantworten: Warum kommt es immer wieder zu solchen Vorfällen?
Das Modell der geteilten Verantwortung
Der Top Threats-Report der Cloud Security Alliance zeigt, dass vielen Sicherheitsverantwortlichen die Risiken durchaus bewusst sind. Die befragten Security-Experten nennen hier Datenverstöße, Fehlkonfiguration der Cloud-Infrastruktur und fehlende Cloud-Sicherheitsarchitektur und -strategie als die drei größten Risiken bei der Cloud-Nutzung. Wenn man also davon ausgeht, dass die Risiken von Cloud-Bedrohungen verstanden werden, es aber dennoch immer wieder zu Verstößen kommt, kann man zu dem Schluss kommen, dass zu viele Unternehmen das Modell der geteilten Verantwortung nicht wirklich kennen oder noch immer nicht vollständig verstanden haben. Die „geteilte Verantwortung“ legt fest, wo die Verantwortung des Cloud-Service-Providers endet (Sicherheit der Cloud) und wo die Verantwortung des Kunden, also des Unternehmens, beginnt (Sicherheit in der Cloud). Eine kleine Präposition macht hier einen riesigen Unterschied.
Eigentlich ist dieses Prinzip recht einfach: Der Cloud-Anbieter ist für seine Infrastruktur, seine Betriebssysteme u.ä. verantwortlich, während der Kunde für die Aktivitäten in der Cloud sowie die gespeicherten Daten die Verantwortung trägt. Dennoch ignorieren zahlreiche Unternehmen ebendiese Pflichten. Eine Untersuchung des Ponemon-Instituts zeigte kürzlich, dass nur knapp ein Drittel (32 %) der Unternehmen glauben, dass der Schutz von Daten in der Cloud in ihrer eigenen Verantwortung liegt. Erschwerend kommt hinzu, dass sich auch hier Wertschöpfungsketten mit Drittanbietern finden, welche im Bereich der Datenverarbeitung oder -analyse eingesetzt werden. Häufig sind es diese Dienstleister, welche alle notwendigen Maßnahmen zur Sicherung der Daten “in” der Cloud durchsetzen sollten. Leider gibt es zu oft eine Kette impliziten Vertrauens, die unangebracht ist und verheerende Folgen hat. Etwa im Falle des Datenunternehmens Attunity, das unter anderem Daten von Ford und Netflix in öffentlich zugänglichen S3-Buckets gespeichert hatte. Verstöße dieser Art zeigen, dass auch in der Cloud-Security-Strategie die Sicherheit der Lieferkette ein Kernelement sein sollte.
Einfache Probleme einfach lösen
Wie in allen Bereichen, spielt auch bei der Bewältigung von Sicherheitsproblemen in der Cloud die Sensibilisierung und Schulung der Mitarbeiter eine große Rolle. Allerdings gibt es auch zahlreiche Tools, die die Überwachung der Cloud-Nutzung automatisieren und die Benutzer bei der Schulung unterstützen können. Zudem sind diese Tools im Allgemeinen auch ziemlich unkompliziert. So sind vordefinierte Regeln wie „Stellen Sie sicher, dass S3 Bucket nicht öffentlich zugänglich ist“ möglich, oder einfache Regeln, die alarmieren, wenn der TCP 9200-Port exponiert wird. Auf diese Weise können schnell Abhilfemaßnahmen eingeleitet und so verhindert werden, dass Datensätze geplündert werden. Diese einfache Konfiguration hätte zahlreiche Datenschutzverletzungen verhindert, was zeigt, dass die Lösungen manchmal einfacher sind, als es das ursprüngliche Problem suggeriert.
Trotz der Geschwindigkeit, mit der Unternehmen jetzt auf die Cloud umsteigen, konzentrieren sie sich in ihrer Sicherheitsstrategie nach wie vor hauptsächlich auf den Perimeter vor Ort. Dabei wird die einfache Tatsache übersehen, dass Fehlkonfigurationen in der Cloud die eigenen sensiblen Daten für Milliarden Menschen zugänglich machen können. Jahrelang haben wir auf die Gefahren von Post-It-Notizen mit Passwörtern auf den Monitoren der Mitarbeiter hingewiesen. Dies ist bestimmt nach wie vor noch ein Problem, aber es verblasst etwas angesichts der potenziellen Exposition ganzer Datensätze, die in ungeschützten Buckets für Jedermann weltweit zugänglich sind. Unternehmen müssen im Cloud-Zeitalter ihre Sicherheitsstrategie neu ausrichten und der Cloud anpassen. Sie müssen verstehen, dass sie die Verantwortung für die Sicherheit der Daten tragen und entsprechend die Sicherheitsmaßnahmen hieran – endlich – ausrichten.
