Risiken in der Public Cloud

Viele Firmen nehmen die Gefahren offensichtlich nicht ernst genug. Einige von ihnen scheinen zum Beispiel der Überzeugung zu sein, ein Cloud-Backup böte bereits genügend Schutz vor der Datenvernichtung durch Ransom­ware (Erpresser-Malware). Josh Mayfield, Direktor der Sicherheitsfirma FireMon, hält das für einen Irrglauben, da Ransom­ware auch Cloud-Backups verseuchen könne. Eine häufige Ursache seien Konfigurationsfehler von S3-Buckets auf AWS durch den Kunden. AWS habe „mühsam“, so Mayfield, „so robuste Sicherheitskontrollen wie in einer Public Cloud nur möglich“ geschaffen, nur damit AWS-Nutzer diese Mechanismen konsequent ignorierten.

Unternehmen sollten indessen gewarnt sein, denn das Szenario eines größeren Datendiebstahls aufgrund fehlkonfigurierter S3-Buckets bei AWS hat sich schon mehrfach abgespielt, etwa bei Firmen wie dem Datenanalyse­-Spezialisten Alteryx und dem US-Telekommunikationsanbieter Verizon. Alteryx hatte im Oktober 2017 rund 3,5 Milliarden Datensätze der US-Kreditauskunftei Experian in einem falsch konfigurierten S3-Bucket an die Öffentlichkeit durchsickern lassen. Dabei ließen sich Konfigurationsfehler dieser Art mit dem Sicherheitsdienst AWS Trusted Advisor (siehe „Automatisierte Kontrollen“ auf Seite 56) in wenigen Sekunden aufspüren.

Eine neuartige Risikokategorie stellen kritische Infrastrukturen sowie andere cyberphysische Systeme dar - insbesondere solche, die zur Entscheidungsfindung auf Daten oder KI-Dienste aus der Cloud vertrauen und/oder dort ihre Messwerte ablegen. Die steigende Frequenz von Attacken auf diese Daten bereitet vielen Sicherheitsfirmen sorgen. ESET etwa weist darauf hin, dass Sicherheitsforscher und Unternehmen gleichermaßen mit der Notwendigkeit, solche Anlagen zu schützen, in der täglichen Praxis noch größtenteils völliges Neuland betreten.

Angesichts dieser Situation empfiehlt Reto Häni, Leiter Cybersicherheit bei PwC Schweiz: „Unternehmen sollten potenzielle Cloud-Lösungen - zusätzlich zur Beurteilung ihrer Funktionalitäten - auf die zur Verfügung stehenden Mechanismen zur Risikobeurteilung hin evaluieren.“ Dabei sollten sie nicht nur auf traditionelle Compliance-Zertifizierungen achten. Ebenso gelte es zu überprüfen, ob der Zugriff auf ein Kontrollsystem möglich ist und ob der Cloud-Service über Schnittstellen zum Audit verfügt. Und es sei besonders zu beachten, ob „eine GDPR-Compliance der Cloud-Plattform gegeben ist und ob die Lösung darüber hinaus auch bei der GDPR-Compliance unterstützt – beispielsweise indem Möglichkeiten zur Data Exploration bestehen, um datenschutzrelevante Informationen zu identifizieren“. Letzteres sei unter anderem für das sogenannte Auskunftsrecht zen­tral, betont der Sicherheitsexperte.