Security-Baustelle Cloud

Die IT zieht in die Cloud, beschleunigt durch Trends wie hybride Arbeitsformen. Im Schlepptau wie so oft folgen Cyberkriminelle. Doch sie greifen nicht nur die User der Daten- und Rechenwolke an, sie missbrauchen vermehrt auch die immensen Ressourcen, welche die Cloud bietet, für ihre Machenschaften. Somit sind sowohl Benutzerinnen und Benutzer von Clouddiensten als auch die Betreiber gefragt, wenn es darum geht, hier für Sicherheit zu sorgen.

Doch was sind überhaupt derzeit die größten Risiken in Sachen Cloud Computing? Dieser Frage geht die Organisation Cloud Security Alliance einmal jährlich nach und befragt hierzu rund 700 IT-Security-Experten. In der aktuellen Ausgabe lässt sich dabei ein klarer Trend erkennen: Eher klassische Gefahren für die Cloudinfrastruktur wie etwa Denial-of-Service-Attacken auf Rechenzentren oder Datenlecks bei den Cloud Service Providern (CSP) werden kaum noch genannt und tauchen im Gegensatz zu 2019 nicht mehr in der Liste der elf größten Sicherheitsrisiken auf. Stattdessen sind die wunden Punkte eher auf Seiten der Anwenderunternehmen sowie der Endbenutzerinnen und -benutzer zu suchen. So liegen laut dem "Pandemic Eleven" betitelten Bericht der CSA Identitäts- und Zugangsprobleme an erster Stelle, gefolgt von unsicheren Schnittstellen und APIs (Application Programming Interface) sowie Fehlkonfigurationen von Cloudinstallationen samt unzureichender Verwaltung der Benutzerrechte.

Zumindest die Befragung der Cloud-Security-Experten durch die CSA vermittelt das Bild, dass die Betreiberfirmen von Rechen- und Datenwolken offensichtlich Fortschritte erzielt haben, ihren Teil des geteilten Verantwortungsmodells zu erfüllen. Gemäß dem mittlerweile etablierten Konzept der "Shared Responsibility" sind nämlich die Cloudanbieter für die Sicherheit der Infrastruktur zuständig, also für die Sicherheit der Cloud selbst. Sie stellen somit sicher, dass die Backend-Geräte wie Netzwerk, Server und Speicher funktionieren. Dagegen müssen sich die Anwender der Clouddienste selbst um die Integrität und Absicherung der eigenen Daten und Programme kümmern. Sie sind also für die Security in der Cloud verantwortlich.

Eigentlich, so die Experten, scheint dieses Grundprinzip vielen klar zu sein, allerdings macht einigen Anwenderfirmen zu schaffen, wo genau die Trennlinie verläuft. Ihnen ist noch zu wenig bewusst, was alles in den eigenen Verantwortungsbereich gehört und welche Sicherheitsaspekte getrost dem Provider überlassen werden können. Allerdings sei mittlerweile vielen Benutzern grundsätzlich klar, dass sie selbst für den Schutz der eigenen Instanzen und Accounts verantwortlich seien, meint in diesem Zusammenhang Patrick Preid, Senior Security Engineer bei Avantec.

Defizite gibt es dennoch. "Immer noch glauben viele Anwender und IT-Verantwortliche in den Unternehmen, der Cloudanbieter werde sich schon ums Backup kümmern. Dem ist leider nicht so", betont Stephan Herzig, der als Enterprise Technical Advisor bei Veeam Schweiz tätig ist. Offenbar ist noch zu wenigen bewusst, dass die Security der eigenen Daten auch Sicherheitskopien beinhalten sollte. "Die Cloud an sich ist kein Backup", bringt es Herzig auf den Punkt und meint, dass mehr Eigenverantwortung seitens der Anwenderunternehmen gefragt sei.