Sicherheit gängiger Cloud-Dienste

Insgesamt sind die Einschätzungen in Bezug auf die Sicherheit der gängigen Cloud-Lösungen bei den meisten Anbietern aus dem Cybersicherheitsumfeld nicht eben optimistisch. So hat etwa das Unternehmen Netskope aus Santa Clara seinem „Cloud and Threat Report“ vom Februar 2020 den sprechenden Titel „The Dark Side of the Cloud“ gegeben. Thomas Ehrlich ist als Country Manager DACH bei Netskope tätig. Die Untersuchungen seines Unternehmens hätten gezeigt, so Ehrlich, dass in einem durchschnittlichen Unternehmen aktuell 2400 unterschiedliche Cloud-Services und -Anwendungen im Einsatz sind: „Bei der riesigen Anzahl cloudbasierter Anwendungen, die von den Mitarbeitern genutzt werden, gibt es teils gravierende Unterschiede in den verschiedensten sicherheitsrelevanten Bereichen. Als Sicherheitsverantwortlicher eines Unternehmens ist man - zusätzlich zu den ,normalen‘ Aufgaben - daher kaum in der Lage, diese zu recherchieren und zu überprüfen.“ Auch bei seriösen und sinnvollen Applikationen sei nicht automatisch eine hohe Datensicherheit gewährleistet. Als Beispiel dafür nennt er Amazons AWS: „Hier ist oftmals das Problem, dass die Buckets über falsch konfigurierte Zugriffsberechtigungen verfügen, wodurch die Daten öffentlichem Zugang ausgesetzt sind. Wir sind traditionell an Ordner gewöhnt, die standardmäßig privat sind, aber AWS-Buckets sind standardmäßig offen und müssen proaktiv gesperrt werden. Dies ist an und für sich kein großes Thema, deutet aber auf eine tiefer liegende Problematik hin, nämlich mangelnde Transparenz.“

Michael Veit, Technology Evangelist bei Sophos, stellt dazu fest: „Die Ursachen von praktisch allen in den letzten Jahren bekannt gewordenen Datenlecks in der Cloud lagen entweder in der unsicheren Konfiguration des Zugriffs auf Cloud-Ressourcen, in der unverschlüsselten Speicherung von Daten in der Cloud oder in beiden Faktoren gleichzeitig. Die mangelnde Erfahrung mit Cloud-Infrastrukturen und -Funktionen bei Administratoren und Entwicklern sowie die fast unüberschaubare Menge an Funktionen, Diensten und Schnittstellen in großen Cloud-Umgebungen sind hier die Hauptgründe.“ Gerade bei der Entwicklung von Anwendungen würden allzu häufig Fehler gemacht, Zugriffe würden unsicher konfiguriert oder Daten unverschlüsselt abgelegt. Eine Lösung für die Unternehmen sind Veit zufolge Werkzeuge, die kontinuierlich Cloud-Infrastrukturen überwachen, unsichere Konfigurationen identifizieren, diese gegebenenfalls auch automatisch beheben sowie Angriffe auf Cloud-Infrastrukturen mit Künstlicher Intelligenz erkennen. Solche Werkzeuge könnten Unternehmen helfen, Datenlecks zu verhindern, Compliance-Audits zu überstehen und Hackerangriffe früh zu erkennen und zu stoppen. 

Die Art und Weise, wie Unternehmen Cloud-Techniken einsetzen, entwickelt sich in rasantem Tempo weiter. Dadurch haben sie es mit ganz unterschiedlichen Systemumgebungen und daher auch mit ganz unterschiedlichen Anforderungen an die Sicherheit zu tun. Verstärkt wird dies durch den vermehrten Einsatz agiler IT-Operationen wie DevOps oder auch Dev­SecOps, wobei bei Letzterem der Sicherheitsaspekt besonders hervorgehoben wird.

Mit diesen Vorgehensweisen sollen durch das Zusammenspiel von Entwicklern und IT-Administratoren sowohl die Geschwindigkeit bei der Entwicklung von Software als auch deren Qualität deutlich verbessert werden. All das kann besonders schnell und agil in Cloud-Umgebungen bewerkstelligt werden. Dabei werden neben virtuellen Maschinen, die auf diversen, auch öffentlichen Cloud-Formen laufen, auch Container- und Serverless-Techniken verstärkt eingesetzt. Die Sicherheitsspezialisten von Trend Micro weisen in ihren „Security Predictions for 2020“ darauf hin, dass es in den kommenden Jahren gerade Schwachstellen in Container-Komponenten sein werden, die den DevOps-Teams ernste Sicherheitsprobleme bescheren. Dazu, so die Prognose, werden neben Schadensanfälligkeiten und Schwachpunkten in den Laufzeitumgebungen der Container auch vermehrt unsichere Container-Images gehören, die beispielsweise aus öffentlichen Repositories bezogen und direkt eingesetzt werden.

Deshalb gehen immer mehr Anbieter dazu über, ihr Augenmerk auch auf die Absicherung dieser Bereiche und nicht zuletzt auf das Einhalten der entsprechenden Compliance-Vorschriften zu richten. Eine ideale Sicherheitslösung muss daher in der Lage sein, alle Anwendungen auf allen eingesetzten Cloud-Plattformen (und selbstverständlich auch im eigenen Rechenzentrum) während eines kompletten Lebenszyklus zu schützen. Dazu gehört dann auch der gesamte DevOps-Lifecycle von der Entwicklung über das Ausrollen bis hin zum Laufen der Anwendungen. Gerade weil diese Techniken besonders schnelle Entwicklungen versprechen und Schritte dabei möglicherweise automatisch ablaufen, ist es entsprechend schwer, hier eine umfassende Sicherheit anzubieten.