Sicherheit

Cloud-Provider betonen gern die hohen Sicherheitsstandards in ihren Rechenzentren. Amazon Web Services (AWS) etwa wirbt mit „hervorragender Sichtbarkeit und Kontrolle“, „tief integrierten Services“ und „höchsten Standards für Datenschutz und Datensicherheit“. Als Beweis für diese Aussagen werden zahlreiche Sicherheitszertifikate ins Feld geführt. Das Unternehmen listet auf der Seite „AWS-Compliance-Programme“ rund 40 globale, regionale und nationale Zertifikate auf, welche die Sicherheit und Regelkonformität der Services belegen sollen.

Tatsächlich bieten die Rechenzentren der Cloud-Anbieter ein hohes physikalisches, technisches und organisatorisches Sicherheitsniveau. Das Problem ist nur: Es nützt nichts - im Gegenteil: Die vollmundigen Versprechen der Provider wiegen die Anwender in trügerischer Sicherheit. Obwohl alle großen Public-Cloud-Anbieter die „gemeinsame Verantwortung“ (Shared Responsibility) von Provider und Kunde betonen, ignorieren viele Anwender ihren Teil der Abmachung. „In vielen Fällen wird davon ausgegangen, dass der Cloud-Anbieter auch für die Security zuständig ist“, sagt Roger Scheer, Vertriebsvorstand beim Cloud-Security-Service-Provider Veronym. „Das ist aber nur sehr eingeschränkt der Fall.“

Wie groß die Sorglosigkeit ist, zeigen zahlreiche Statistiken. Laut dem „2020 State of Public Cloud Security Report“ von Orca Security, für den mehr als 300.000 Public-Cloud-Instanzen auf Amazon Web Services, Microsoft Azure und Google Cloud Platform (GCP) gescannt wurden, gibt es bei über 80 Prozent der Unternehmen mindestens einen über das Internet zugänglichen Cloud-Workload mit ungepatchtem oder veraltetem Betriebssystem, in 5 Prozent der Fälle war mindestens ein Workload nur mit einem schwachen oder geleakten Passwort abgesichert, 23 Prozent der Organisationen schützten Superadmin-Accounts nicht durch eine Mehr-Faktor-Authentifizierung (MFA) und in 19 Prozent der Fälle verwendeten Angestellte private E-Mail-Accounts, um auf Firmenressourcen in der Cloud zuzugreifen.

Ähnlich alarmierend sind die Zahlen des Sicherheitsspezialisten McAfee. 99 Prozent der Konfigurationsfehler im Bereich Infrastructure as a Service (IaaS) bleiben demnach unentdeckt, 91 Prozent der in der Public Cloud gespeicherten Daten werden unverschlüsselt abgelegt und 16 Prozent der Unternehmen wissen nicht einmal, dass ihre Mitarbeiter die Dienste mehrerer Cloud-Anbieter nutzen. „Im schlimmsten Fall fangen die CISOs erst dann an, sich mit der Cloud zu beschäftigen, wenn es bereits geknallt hat“, betont Sergej Epp, CSO Central Europe bei Palo Alto Networks.

Diese Nachlässigkeit und Ignoranz hat gravierende Folgen. Einer vom Sicherheitsunternehmen Ermetic in Auftrag gegebenen IDC-Studie zufolge verzeichneten fast 80 Prozent der befragten US-Unternehmen in den vergangenen 18 Monaten mindestens eine cloudbasierte Datenpanne, bei 43 Prozent gab es sogar mehr als zehn Vorfälle. Nur ein Bruchteil davon wird bekannt - oft erst Jahre nach dem Datendiebstahl. So konnten Angreifer bereits 2017 einen API-Schlüssel für die Web Application Firewall (WAF) Incapsula von Imperva entwenden, während deren Datenbanken auf AWS mi­griert wurden. Die Diebe nutzten den Key im Oktober 2018, um auf Nutzereinträge zuzugreifen. Imperva informierte seine Kunden aber erst im August 2019 über den Vorfall. Weitere im vergangenen Jahr bekannt gewordene Datenpannen, die auf unsichere Cloud-Ressourcen zurückzuführen waren, betrafen zum Beispiel das mexikanische Medienunternehmen Cultura Collectiva, das über 540 Millionen Datensätze von Facebook-Kunden öffentlich zugänglich machte. Beim Container-Dienst Docker erbeuteten Angreifer Account-Daten von 190.000 Nutzern sowie Zugangs-Token für Entwickler-Ressourcen auf Github und Bitbucket. Im Mai traf es die Facebook-Tochter Instagram. Ein Partnerunternehmen hatte die Datensätze von mindestens 49 Millionen Nutzern auf einem ungeschützten AWS-Server veröffentlicht. Zu den Betroffenen gehörten viele Influencer und Prominente.

Der größte und bekannteste Vorfall war im vergangenen Jahr allerdings die Datenpanne bei der Bank Capital One, von der rund 100 Millionen US-Bürger und sechs Millionen Kanadier betroffen waren. Neben Kreditkartendaten, Kontonummern und Kontaktinformationen wurden über 140.000 US-amerikanische und mehr als eine Million kanadische Sozialversicherungsnummern gestohlen. Eine ehemalige AWS-Angestellte hatte die Zugangsdaten für einen S3-Speicher erbeutet, in dem die sensiblen Informationen gespeichert waren.