Security-Baustelle Cloud

Die IT zieht in die Cloud, beschleunigt durch Trends wie hybride Arbeitsformen. Im Schlepptau wie so oft folgen Cyberkriminelle. Doch sie greifen nicht nur die User der Daten- und Rechenwolke an, sie missbrauchen vermehrt auch die immensen Ressourcen, welche die Cloud bietet, für ihre Machenschaften. Somit sind sowohl Benutzerinnen und Benutzer von Clouddiensten als auch die Betreiber gefragt, wenn es darum geht, hier für Sicherheit zu sorgen.

Doch was sind überhaupt derzeit die grössten Securityrisiken in Sachen Cloud Computing? Dieser Frage geht die Organisation Cloud Security Alliance einmal jährlich nach und befragt hierzu rund 700 IT-Securityexperten. In der heurigen Ausgabe lässt sich dabei ein klarer Trend erkennen: Eher klassische Gefahren für die Cloudinfrastruktur wie etwa Denial-of-Service-Attacken auf Rechenzentren oder Datenlecks bei den Cloud Service Providern (CSP) werden kaum noch genannt und tauchen im Gegensatz zu 2019 nicht mehr in der aktuellen Liste der elf grössten Sicherheitsrisiken auf. Stattdessen sind die wunden Punkte eher aufseiten der Anwenderunternehmen sowie der Endbenutzerinnen und -benutzer zu suchen. So liegen gemäss dem «Pandemic Eleven» betitelten Bericht der CSA Identitäts- und Zugangsprobleme an erster Stelle, gefolgt von unsicheren Schnittstellen und APIs (Application Programming Interface) sowie Fehlkonfigurationen von Cloudinstallationen samt unzureichender Verwaltung der Benutzerrechte.

Zumindest die Befragung der Cloud-Securityexperten durch die CSA vermittelt das Bild, dass die Betreiberfirmen von Rechen- und Datenwolken offensichtlich Fortschritte erzielt haben, ihren Teil des geteilten Verantwortungsmodells zu erfüllen. Gemäss dem mittlerweile etablierten Konzept der «Shared Responsibility» sind nämlich die Cloudanbieter für die Sicherheit der Infrastruktur zuständig, also für die Sicherheit der Cloud selbst. Sie stellen somit sicher, dass die Backend-Geräte wie Netzwerk, Server und Speicher funktionieren. Dagegen müssen sich die Anwender der Clouddienste selbst um die Integrität und Absicherung der eigenen Daten und Programme kümmern. Sie sind also für die Security in der Cloud verantwortlich.

Gemäss den von Computerworld kontaktierten IT-Security­experten scheint dieses Grundprinzip vielen klar zu sein, allerdings macht einigen Anwenderfirmen zu schaffen, wo genau die Trennlinie verläuft. Ihnen ist noch zu wenig bewusst, was alles in den eigenen Verantwortungsbereich gehört und welche Securityaspekte getrost dem Provider überlassen werden können. Allerdings sei mittlerweile vielen Benutzern grundsätzlich klar, dass sie selbst für den Schutz der eigenen Instanzen und Accounts verantwortlich seien, meint in diesem Zusammenhang Patrick Preid, Senior Security Engineer bei Avantec.

Defizite gibt es dennoch. «Immer noch glauben viele Anwender und IT-Verantwortliche in den Unternehmen, der Cloudanbieter werde sich schon ums Backup kümmern. Dem ist leider nicht so», betont Stephan Herzig, der als Enterprise Technical Advisor bei Veeam Schweiz tätig ist. Offenbar ist noch zu wenigen bewusst, dass die Security der eigenen Daten auch Sicherheitskopien beinhalten sollte. «Die Cloud an sich ist kein Backup», bringt es Herzig auf den Punkt und meint, dass mehr Eigenverantwortung seitens der Anwenderunternehmen gefragt sei.