Cloud-Security

Cloud-Dienste gefährden die gesamte IT

von - 03.01.2017
Cloud Security auf Tastatur
Foto: Tashatuvango / Shutterstock.com
Mehr und mehr Unternehmen setzen im Zuge der Digitalisierung auf die Cloud, an geeigneten Sicherheitsmaßnahmen fehlt es jedoch oft. Diese Praxis kann die gesamte Firmen-IT gefährden.
Cloud-Dienste sind im Unternehmensumfeld ein äußerst beliebtes Kostensenkungsvehikel – und nicht nur das: Public Clouds wie Microsoft Azure, Amazon AWS und Google Cloud Platform haben sich sowohl als Erweiterung der eigenen Infrastruktur des Unternehmens wie auch als Ersatz für das unternehmenseigene Datencenter vielerorts bewährt.
Sicherheitsbedenken scheinen die Unternehmen dabei nicht allzu sehr umzutreiben. In einer aktuellen Studie der Cloud Security Alliance (CSA) äußerten 65 Prozent der befragten IT-Führungskräfte die Meinung, die Cloud sei genauso sicher oder sogar sicherer als ihre eigene On-Premise-Software. Eine Versicherungspolice für Cybersicherheitsvorfälle hatte weniger als jedes vierte der befragten Unternehmen unterschrieben.
Christofer Hoff
Cybersicherheitsexperte
„Wer in Sachen Cyber­sicherheit ohnehin schon versagt, dürfte eine überaus angenehme Überraschung erleben, wenn er in die Cloud wechseln sollte, denn hier wird sich für ihn rein gar nichts ändern.“
Interessanterweise würden genauso viele Unternehmen eigenen Aussagen zufolge Lösegeldforderungen bereitwillig nachkommen – halten Cyberattacken also nicht für aus­geschlossen. Ungeachtet des offenbar recht großen Vertrauens bringen öffentliche Clouds hinsichtlich der Cybersecurity eine ganze Reihe von Herausforderungen mit sich.

Sicherheitserfordernisse

Ein Cloud-Anbieter stellt seinen Benutzern nicht nur grafische Administrationswerkzeuge bereit, sondern exponiert vor allem die eigenen APIs, um die Nutzung seiner Infrastruktur-, Plattform- und Software-Dienste Code-gesteuert zu ermöglichen.
Die meisten Cloud-Verwundbarkeiten lassen sich auf den leichtsinnigen Umgang mit diesen Cloud-APIs zurückführen – eine Herausforderung, die sich bei unternehmenseigenen Rechenzentren und On-Premise-Umgebungen in diesem Umfang nicht stellt.
Die Cybersicherheitsrisiken einer öffentlichen Cloud lassen sich zwei Bereichen zuordnen:
• Unberechtigte Zugriffe auf exponierte API-Endpunkte des Cloud-Anbieters: API-Zugriffe auf eine öffentliche Cloud erfolgen über standardmäßig offene API-Endpunkte. Sie sind mächtiger als alle sonstigen Sicherheitskontrollen.
• Fehlerträchtige Drittanbieterdienste und -Tools: Systeme zur Cloud-Orchestrierung, Provisionierung von Diensten und Metadatenanalyse können unerwarteterweise sicherheitskritische Informationen über die Cloud-Topologie des Unternehmens offenlegen.
Beide Szenarien lassen sich auf den leichtsinnigen Umgang mit sicherheitskritischen Daten wie API-Schlüsseln und Cloud-Metadaten zurückführen. Ein gestohlenes Notebook oder Smartphone kann Angreifern Zugriff auf die gesamte Cloud des betroffenen Unternehmens gewähren.
Und es geht noch schlimmer: Die unverschlüsselte Übergabe von Zugangsdaten zwischen Entwicklern und Administratoren, etwa in E-Mails, ist in vielen Unternehmen eine weitverbreitete Unsitte. Viele Mitarbeiter und sogar ganze Fachabteilungen speichern und verarbeiten zudem Unternehmensdaten in der Cloud ohne jede Abstimmung mit der IT-Abteilung, schreibt das Telekommunikationsunternehmen NTT Communications in seinem neuesten Bericht „Sicherheit in der Cloud: wie kann ich meine Cloud Service Provider (CSPs) überwachen?“. Diese Schatten-IT ist eine tickende Zeitbombe.