X

Neuste Trends, Tipps, Strategien &
Events rund um das Thema Cloud

Cloud Computing: Die 10 größten Sicherheitsrisiken – und wie man sie beherrscht

Ob letzter Stand der Technik, Best Practice oder einfach jede menschliche Erfahrung – stets zeigt sich: Wenn etwas unmöglich passieren kann, dann passiert es irgendwann. IT-Sicherheit ist diesem offenbar universellen Gesetz genauso unterworfen wie alles andere. Belegt ist das sattsam, vom „Hack“ der Enigma-Codierung durch Alan Turing im 2. Weltkrieg bis zu WikiLeaks und den fast schon zahllosen Datenpannen und Datendiebstählen bei Unternehmen, oft mit zig Millionen korrumpierter Datensätze.

Allerdings: Die Rolle des anscheinend unvermeidlichen Schicksals lässt sich dabei bis auf einen eng umgrenzten Kern reduzieren. Und genau darum geht es hier. Spoileralarm: Cloud-Technologie ist deutlich mehr Teil der Lösung als Teil des Problems – vorausgesetzt, man kennt die Risiken des Cloud Computings und passt gut auf!

 

 

Die Scheu vor der angeblich unsicheren Cloud

Der Einsatz von Cloud Computing bietet – speziell für Unternehmen – hinsichtlich Sicherheit in Wirklichkeit Vorteile gegenüber einer eigenen IT-Infrastruktur. Warum lassen sich trotzdem immer noch viele Unternehmen von vermeintlichen oder tatsächlichen Sicherheitsbedrohungen der Cloud verunsichern? – Oft spielt dabei mit, dass virtuelle Internet-Ressourcen schwerer (be-)greifbar sind als eigene, physische Server. Die Cloud ist eine dynamische Umgebung, in der sich auch Aspekte der Cloudsicherheit permanent ändern. Cloudsicherheit ist grundsätzlich das Gleiche wie IT-Sicherheit – von daher gibt es keinen Grund, „die Cloud“ grundsätzlich als Sicherheitsrisiko zu sehen.

Wie sicher ist die Cloud tatsächlich, wie sicher lässt sie sich machen, und wie ist der aktuelle Stand der Cloud-Sicherheit in den Unternehmen? In diesem Beitrag beleuchten wir alle Aspekte, die in diesem Zusammenhang wirklich wichtig sind.

 

Die zehn wichtigsten Bedrohungen und Risiken in der Cloud

Cloud-Computing hat sich rasant über nahezu alle IT-Bereiche hinweg ausgebreitet. Der Trend dürfte mittlerweile unumkehrbar sein. Das gilt auch für die Nutzung cloudbasierter Services in zukunftsorientierten Unternehmen. Wer nun unternehmenseigene Infrastrukturen in die Cloud auslagert, setzt sich technikbedingt zunächst teils anderen Angriffspotenzialen aus als bisher. Cloud-Provider sind aufgrund ihrer Erfahrung und ihres Know-hows jedoch in der Lage, ihre Kunden professionell zu schützen.

 

Hier nun die Top Ten der Gefahrenquellen im Cloud-Computing und wie man sie wirksam bekämpft:

  1. Hijacking des Cloud-Services: Cloud Computing braucht obligatorisch einen effektiven Zugriffsschutz vor unberechtigten Eindringlingen. Simple Zugriffskontrollmechanismen z. B. per Benutzernamen und Passwort lassen sich bekanntlich auf verschiedenen Wegen leicht aushebeln – sei es durch mangelnde technische Sicherheit oder durch menschliche Schwächen. Solange der Cloud-Login nur durch ein Passwort geschützt ist, das in fremde Hände geraten kann, haben Angreifer leichtes Spiel, auf unternehmenskritische Daten zuzugreifen. Hier sollte eine Zwei-Faktor-Authentifizierung absolute Pflicht sein. So muss ein Angreifer neben einer Passwort-Sperre eine weitere Authentifikationsinstanz (vorzugsweise auf einem getrennten Gerät) überwinden, was unberechtigtes Eindringen ins System deutlich erschwert.
  2. Einfach zu bedienende User-Interfaces: Natürlich sollen Cloud-Services für die Benutzer im Unternehmen einfach zu bedienen sein. Eine bewusst schlicht gehaltene Cloud-Infrastruktur kann jedoch zugleich auch Vorzüge für Angreifer bieten, um ihre Attacken zu reiten, z. B. in Form von Malware-Verteilung, DDos-Angriffen, Spamming, Command-and-Control-Missbrauch usw.
  3. Datenverluste: Cloud Computing basiert meist auf virtuellen Ressourcen. Mitunter haben virtuelle Server durch mangelhafte Konfigurationen Zugriff auf andere virtuelle Instanzen, die auf derselben physischen Maschine laufen. Das kann – eventuell – zu einer Datensicherheitsverletzung führen. Falls nun fatalerweise mehrere virtuelle Server, die zu verschiedenen Unternehmen gehören, auf demselben physischen Host laufen, könnte eines der Unternehmen unbeabsichtigt Zugriff auf die Daten einer anderen Firma erhalten. Noch schlimmer ist es, wenn sich ein Angreifer mit seiner virtuellen Maschine auf einem solchen Host niederlässt. Attacken dieser Art sind als so genannte Side-Channel-Angriffe bekannt. Hierbei werden Daten von gemeinsam genutzten Hardware-Komponenten abgegriffen, z. B. aus dem Cache der gemeinsam genutzten CPU. 
  4. Unsichere Datenübertragung: Wenn Cloud-User Daten von ihren Clients (PCs, mobile Endgeräte) auf einen Cloud-Server übertragen, dann muss als Maßnahme zur Cloud-Sicherheit diese Verbindung mit einer Verschlüsselung nach dem SSL-Standard versehen sein. Dies gilt wegen des erhöhten Datenaufkommens erst recht auch für die Datenübertragung zwischen mehreren Cloud-Servern. In der Praxis sind dennoch Kompromittierungen durch Man-in-the-Middle-Angriffe denkbar. Die sind zu allem Überfluss nur schwer nachweisbar, da hierfür kein unbefugtes Eindringen in einen geschützten Bereich notwendig ist. Aber zumindest können Angreifer keine unverschlüsselt übertragenen Daten abfangen, was jedenfalls zusätzliche Sicherheit in der Cloud bedeutet. 
  5. DoS (Denial of Service): Angreifer können Cloud-Services durch gezielte DoS-Attacken in die Knie zwingen. Sie verwenden dazu häufig großflächige Bot-Netze. Cloud-Dienste können dann zumindest vorübergehend unerreichbar sein. Es gibt verschiedene denkbare Angriffspunkte in einer Cloud-Umgebung, insbesondere in virtualisierten Umgebungen, z. B. der Prozessor, Arbeitsspeicher, Bandbreiten im Netz sowie Speicherplatz.
  6. Böswillige Insider: Bei Cloud-Unternehmen gelten für die Mitarbeiterstäbe erhöhte Sicherheitsanforderungen, da Angestellte des Providers häufig kompletten Zugriff auf Unternehmensdaten und die dazugehörigen Ressourcen haben. Deshalb setzt üblicherweise der jeweilige Cloud-Anbieter Methoden zur Protokollierung von Mitarbeiteraktivitäten wie Zugriffen auf Kundendaten ein, um sie jederzeit nachvollziehen zu können. Unternehmen sollten sich derartige Maßnahmen vom Provider verbindlich bestätigen lassen. Denn bei mangelhaften Sicherheitsrichtlinien könnten Mitarbeiter des Cloud-Providers unberechtigt Kundeninformationen einsehen, verändern oder löschen, ohne dabei ertappt zu werden.
  7. Fehlendes Know-how in den Unternehmen: Auch intern vorbeugen! Bevor Unternehmen Dienste und IT-Infrastrukturen in die Cloud auslagern, lohnt sich unbedingt die Investition in Schulungen der IT-Führungskräfte und aller Mitarbeiter. Es nützt nichts, ausschließlich auf die Services und das Consulting des jeweiligen Cloud-Providers zu vertrauen, wenn die Unternehmensführung nicht weiß, welche Auswirkungen der Umzug in die Cloud haben kann. So sollte sich das Unternehmen mit dem Cloud-Anbieter detailliert darauf einigen, wer für welche Services zuständig ist, damit keine unerkannten Sicherheitslücken entstehen. Bietet z. B. ein Cloud-Anbieter keine Backup-Strategie, dann muss klar sein, dass die IT-Fachabteilung des Unternehmens diesen Part übernimmt. Und die Endanwender müssen mögliche Sicherheitsbedrohungen in Cloud-Umgebungen ebenfalls kennen, um – bevordie Hütte brennt! – entsprechende Maßnahmen einleiten zu können. Auch hier sind Schulungsmaßnahmen ein wichtiger Sicherheitsaspekt.
  8. Probleme mit gemeinsam genutzten Technologien: Solche gemeinsamen Nutzungen gehören mit zum Kapitel Datenverluste (vgl. Punkt 3). Cloud-Anbieter arbeiten sinnvollerweise mit skalierbaren Infrastrukturen, um mandantenfähige Anwendungen flexibel zu unterstützen. Diese SaaS-Anwendungen teilen sich wiederum die darunterliegende IaaS-Infrastruktur mit den jeweiligen multiplen Schichten. Jede einzelne dieser Ebenen lässt sich jedoch unter Zuhilfenahme verschiedener Techniken angreifen. So könnte die Hypervisor-Instanz Schwachstellen und Sicherheitslücken aufweisen, die sich Hacker zunutze machen können, oder eine virtuelle Maschine könnte aus ihrer geschützten Sandbox ausbrechen und Daten via Side-Channel-Angriffe abfangen.
  9. Risiko-Profil des Unternehmens: Ein umfassendes und detailliertes Risiko-Profil der eigenen Systeme zu erstellen sollte für jedes Unternehmen Pflicht sein, wenn es Dienste und IT-Services in die Cloud auslagert. Das gilt auch und besonders für die Off-Premise-Infrastruktur. Notwendig und erforderlich sind das regelmäßige Aktualisieren von Sicherheitsupdates sowie ein Log-Monitoring. Letzteres fahndet im Zusammenspiel mit einem Intrusion Detection System nach ungewöhnlichem Traffic, erzeugt entsprechende Alarme und sorgt so für Sicherheit in der Cloud. Das Intrusion Detection System kann jedoch naturgemäß nicht jede neue Angriffstechnik kennen, die im Internet lauert. Bei fehlendem oder lückenhaftem Risiko-Profil kann diese Schwachstelle das Gesamtsystem in Gefahr bringen.
  10. Unsichere APIs: Cloudbasierte SaaS-Webservices verfügen u. a. über Programmierschnittstellen für den Datenaustausch mit Drittanbietern. Diese APIs sind jedoch ständig Angriffen von außen ausgesetzt, weil sie naturgemäß von überall her im Internet erreichbar sein müssen. Angreifer, die über die jeweiligen Zugangsdaten verfügen, können im Namen des Unternehmens auf diese Schnittstellen zugreifen und auf diesem Weg Unternehmens- und Kundendaten manipulieren. Für einen Cloud-Anbieter ist es daher oberstes Gebot, für seine Kunden sichere APIs bereitzustellen, um Angriffe dieser Art weitestgehend auszuschließen.

 

Unternehmensrisiko mit Tarnkappe: Schatten-IT durch Public Clouds

Üblicherweise sind in Unternehmen Cloud-Dienste im Einsatz, die von der Unternehmens-IT jeweils für einzelne Mitarbeiter freigegeben werden, wenn diese sie für ihre Arbeit benötigen. Es kommt vor, dass sich Leute dadurch eingeschränkt fühlen; sie verwenden dann stattdessen „frei nach Schnauze“ Public-Cloud-Dienste wie Dropbox, Google Drive usw. So baut sich weitgehend getarnt eine Schatten-IT im Unternehmen auf. Sie entgeht der Kontrolle des hauseigenen IT-Managements und kann sich schnell zur Gefahr für die Cloud-Sicherheit auswachsen. Dringende Empfehlung: Gemeinsam mit der Mitarbeiterschaft müssen gemeinsame Richtlinien für die Nutzung von Cloud-Services aufgestellt werden. Denn grundsätzlich ist ein effektives und auch allgemein akzeptiertes Cloud-Sicherheitskonzept wesentlicher Bestandteil einer effizienten Cloud-Nutzung. Hier rechtzeitig alle Beteiligten ins Boot zu holen ist, gelinde formuliert, ratsam.

 

…aus Sicherheitsgründen und wegen der DSGVO!

Der scheinbar bequeme und einfache Weg einzelner Mitarbeiter, private Lösungen auf Basis bekannter Public-Cloud-Speicheranbietern zu nutzen, ist eine Zeitbombe. Denn diese Plattformen speichern Userdaten häufig nicht in europäischen, sondern z. B. in US-Rechenzentren. Dadurch fallen sie nicht in den Geltungsbereich der EU-weit geltenden Datenschutz-Grundverordnung (DSGVO). Das kann für das Unternehmen massiven juristischen Ärger heraufbeschwören.

Eine zusätzliche Gefahr bei unternehmensinterner Nutzung öffentlicher Cloud-Speicher ist, dass unternehmenskritische Daten in falsche Hände gelangen. Und wenn ein Mitarbeiter das Unternehmen verlässt, verbleiben diese Daten vielleicht auch noch in seiner privaten Cloud. Irgendwo, unzugänglich. Um genau dies zu verhindern, ist es wichtig, dass IT-Entscheider im Unternehmen eine ganzheitliche Cloud-Speicherlösung auswählen und einführen. Bei der Auswahl helfen Zertifikate für die Qualität von Cloud-Speichersystemen wie z. B. die ISO 27001 oder das European Privacy Seal.

 

Fazit: Cloud Computing bietet hohe Sicherheitsstandards

Auf den ersten Blick könnte man meinen, dass die genannten Gefahrenquellen und möglichen Schwachstellen des Cloud Computings sowie die notwendigen Vorgehensweisen für die Cloudsicherheit einen Widerspruch zum Sicherheits-Paradigma des Public und Hybrid Cloud Computing darstellen. Allerdings liegt es schon im eigenen Geschäftsinteresse der Cloud-Provider, Sicherheitstechnologien in ihre System zu implementieren, die das Niveau unternehmenseigener IT-Sicherheitstechnik deutlich übertreffen. Davon profitieren unterm Strich die Kunden, die ja diese Maßnahmen für ihr eigenes Sicherheitskonzept nutzen können, wenn sie entsprechende Vorgaben im Cloud-Computing-Vertrag festlegen. Und nicht zuletzt sind gelebte Cloud-Sicherheit und Datenschutz auch ein zunehmend hervorstechendes Merkmal einer positiven Corporate Identity.

 

Erfahren Sie in diesem Bericht was Ihre IT-Kollegen über Daten- und Sicherheitspraktiken denken​:

Sicherheit beim Cloud Computing für Unternehmen: Die 10 größten Risiken und wie sie sich beherrschen lassen, inklusive Schatten-IT und Datenschutz.

 

Kontakt:

Wenn Sie noch mehr darüber wissen möchten, dann sind wir gerne für Sie da, per LinkedIn, Facebook oder Twitter.

Kommentieren

Kommentare ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.