Gefährliche Schnittstellen

Eine weitere Gefahr für Cloudinstallationen lauert bei unsicheren Schnittstellen zwischen den Instanzen, namentlich bei der Verwendung von falsch konfigurierten Programmierschnittstellen (Application Programming Interface, API). "Da Software zunehmend in der Cloud bereitgestellt und über APIs für Klienten und Kunden zugänglich gemacht wird, wird potenziell anfällige Software auf Servern gehostet, die über das allgemeine Internet erreichbar sind. Ein Teil des Codes hinter den APIs wird Schwachstellen enthalten, und es ist zu erwarten, dass diese irgendwann von Forschern und/oder ‹Black Hat›-Hackern entdeckt werden", beschreibt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz, die Problematik. "Organisationen sollten sicherstellen, dass jeder eingesetzte Code als Teil des Software-Entwicklungsprozesses gründlich getestet wird und nach dem Einsatz regelmäßig Penetrationstests durchgeführt werden", empfiehlt er folglich. Denn sowohl Schwachstellen als auch Sicherheitslücken können sich während des gesamten Entwicklungs- und Bereitstellungsprozesses in die Systeme einschleichen.

Wie bei jeder Software sollten Organisationen versuchen, das Risiko der Entstehung von Schwachstellen genauso zu minimieren wie die Folgen von deren Ausnutzung. "Ebenso schlagen wir Organisationen vor, sicherzustellen, dass sie jeden Code, der sich als angreifbar erweist, schnell patchen können", führt der Cisco-Mann aus. Und schließlich empfiehlt Stefanov auch die Anbieter von Cloudservices in die Pflicht zu nehmen. "Im Rahmen des Beschaffungsprozesses müssen Unternehmen erörtern, wie Lieferanten und Anbieter mit Sicherheitslücken umgehen", empfiehlt er. "Jedes Unternehmen, das API-basierte Dienste über die Cloud anbietet, sollte über ein robustes Verfahren zur Erkennung und Verwaltung von Sicherheitslücken verfügen."

Die Bedrohung von Cloudumgebungen hat verschiedene Facetten und Ursachen, deren Schwere oder Fokus sich zudem verschieben kann, wie die Untersuchungen der CSA aufzeigen. So hat sich der Fokus in letzter Zeit von Angriffen auf die Infrastruktur des Providers verlagert zu den konkreten Implementationen der Anwenderorganisationen. Und deren Komplexität nimmt eher zu als ab, nicht zuletzt durch die Inanspruchnahme mehrerer Cloudanbieter, Stichwort: Multicloud. Auch die von vielen Unternehmen favorisierten Hybrid-Cloud-Umgebungen aus privaten und öffentlichen Daten- und Rechenwolken erschweren es, den Überblick zu bewahren.

"So vermehrt sich die Zahl der Cloud Services stark, es entstehen komplexe ICT-Architekturen mit einem individuellen Mix aus Cloud- und lokalen Daten", beurteilt Veeams Herzig die Entwicklung. "Eine sehr heterogene Service- und Datenlandschaft bildet sich. Das macht das Management hinsichtlich Sicherheit und Compliance sehr anspruchsvoll", folgert er und meint, dass der Überblick über die Speicherorte der Daten verloren gehe. "Administratoren müssen sich bewusst sein, dass Unternehmensdaten heute ständig in Bewegung sind."

Ein weiteres Beispiel dafür, dass gerade bei Cloudumgebungen die klassischen Abwehrmaßnahmen wie Perimeterschutz nicht mehr greifen, da es keine klaren Umgebungsgrenzen gibt. Um den Sicherheitsrisiken des Cloud Computing Herr zu werden, müssen die IT-Security-Verantwortlichen ihre Abwehr datenzentriert ausrichten und beispielsweise Zero-Trust-Konzepte verinnerlichen.