header_corporate-blog_2019_1920x559px

Welchen Bedrohungen ist die Cloud ausgesetzt?

trivadis_kontakt_impressum_gerald-klump_1xIn unserem ersten Interview mit Gerald Klump, Co-CEO von Trivadis, zum Thema Cloud beleuchteten wir die Seite der Datenbanksicherheit. Diesmal rücken wir in den Fokus, welche Risiken bei der Cloud-Nutzung existieren.

Die sieben verheerendsten Sicherheitsverstösse in der Geschichte der Cloud werden in einem Artikel der Washington Post vom 2. März dieses Jahres anschaulich beschrieben. Durch diese Vorfälle haben Unternehmen erkannt, dass die Cloud in Bezug auf die Sicherheit sowohl Vor- als auch Nachteile hat.

Vor der Cloud wurden sensible Daten von Unternehmen in sicheren Räumen beziehungsweise lokalen Rechenzentren gespeichert. Nur die Mitarbeitenden des Unternehmens konnten darauf zugreifen. Nun gibt es aber dank Microsoft, Amazon, Oracle und vielen anderen neue externe, günstigere, einfachere und sicherere Lösungen, um Daten zu speichern und ausserdem eine Vielzahl von Anwendungen auszuführen – zum Beispiel zur Analyse von Finanzdaten, die in komplizierten proprietären Formaten gespeichert sind.

Der Umstand, dass mit der Cloud viel mehr Möglichkeiten geschaffen werden, bedingt aber auch, dass Unternehmen besonders achtsam sind. Denn immer mehr Personen und Programmen wird Zugang zum eigenen Netzwerk gewährt, wodurch es für feindliche Akteure auch einfacher wird, potenzielle Lücken zu finden.

Doch die Cloud-Anbieter haben inzwischen viel getan, dass nicht mehr nur die niedrigeren Kosten, sondern eben auch die IT-Sicherheit in Unternehmen zu einer Nutzung ihrer Dienste führt. Und das kann man belegen: So schätzt das Marktforschungsunternehmen Gartner, dass der globale Cloud-Markt im vergangenen Jahr mehr als 226 Milliarden Dollar wert war und im Jahr 2020 voraussichtlich 263 Milliarden Dollar erreichen wird, was einem Wachstum von 16 Prozent entspricht. Amazon Web Services, die erste grosse öffentliche Cloud, wurden Mitte 2007 eingeführt und sind heute ein 40 Milliarden Dollar-Geschäft.

Gerry, zuerst würde mich einmal interessieren: Welche sind die wichtigsten Tipps zur Vermeidung von Sicherheitslücken in der Cloud?

Du wirst überrascht sein, wie offensichtlich sie sind, obwohl die meisten oft nicht versucht werden. Hier ein paar Tipps zur Vermeidung von Sicherheitslücken:

  1. Verzeichnisintegration
    Man ist oft erstaunt über Sicherheitssysteme, die Silos sind. Mit anderen Worten, sie geben keine Benutzer- und Identifizierungsdaten über Personen, Systeme und Geräte weiter. Identity Access Management (IAM)-Systeme tauschen diese Daten über Verzeichnisdienste aus. Die meisten, die für die Sicherheit in der Cloud zuständig sind, setzen entweder kein IAM ein oder tun dies, ohne die automatische gemeinsame Nutzung von Informationen über ein Verzeichnissystem zu ermöglichen. Wenn jemand ohne Verzeichnisintegration in den Ruhestand geht und aus dem Verzeichnissystem für die lokalen Systeme entfernt wird, wird er oder sie nicht automatisch aus dem Sicherheitssystem in der Cloud entfernt. Sie müssten die Informationen an zwei Stellen ändern.

  2. Integration der Verwaltung
    Service-, Ressourcen- und Governance-Systeme müssen zusammenarbeiten, aber die meisten tun dies nicht. Man denke zum Beispiel an den Vorteil, den potenziellen Missbrauch eines Speichersystems überwachen zu können, wenn jemand wiederholt gegen Governance-Richtlinien verstösst. Diese Person stellt wahrscheinlich ein erhöhtes Sicherheitsrisiko dar und sollte je nach den Umständen ausgesperrt werden.

  3. Automatisierte Sicherheitstests
    Wenn Sicherheitstests Teil der automatisierten Testsysteme sind, können sie Probleme auf der Code- und Datenebene finden, bevor sie in die Produktion gehen. Anwendungen, die sich durch die Toolchain bewegen, sind wahrscheinlich fünfmal sicherer als solche, die passive Sicherheitstests oder gar keine Sicherheitstests durchlaufen.

Und was genau steckt hinter dem Begriff des Cloud Computing?
Zunächst einmal steht Cloud Computing für die Auslagerung von Daten und Anwendungen in die „Cloud“, also in ein externes Rechenzentrum. Hier werden Applikationen als Software as a Service (SaaS), Infrastructure as a Service (IaaS) oder Platform as a Service (PaaS) von einem Cloud Service Provider bereitgestellt. Hierbei wird besonderes Augenmerk auf die Verfügbarkeit der Applikationen und Effizienz der Nutzung der eingesetzten Ressourcen gelegt.

Wie sehen die Bedenken der Unternehmen bezüglich der Sicherheit von Cloud Computing im Einzelnen aus?
Für die Unsicherheit der Unternehmen im Hinblick auf die Datenbank-Sicherheit in der Cloud gibt es viele Gründe:

  1. Die multi-tenant und dynamischen Eigenschaften der Cloud können sensible oder regulierte Daten gefährden.
  2. Ein Mangel an Transparenz und Verantwortlichkeit von Cloud-Anbietern bezüglich der Sicherheit trägt zur Angst beim Kunden bei.
  3. Nicht alle Unternehmen eilen zu kostengünstigen Public-Cloud-Angeboten; viele wollen lieber Private-Cloud-Bereitstellung sowie hybride Cloud-Architekturen, die niedrige Kosten mit Risikominderung vereinbaren.
  4. Audit/Bewertung durch Dritte, Reaktion auf Vorfälle und Betriebs-/Änderungsmanagement sind besondere Schmerzpunkte.
  5. Kunden haben mit der Cloud weniger präventive Kontrolle über die Infrastruktur und müssen stattdessen versuchen, Risiken zu transferieren (wo möglich) oder die Aufdeckung und Abschreckung durch Überwachung zu verbessern.
  6. Aktivitäten, die einst an Endpunkten, Rechenzentren und Netzwerken im Besitz von Organisationen durchgeführt wurden, werden verlagert über offene, nicht vertrauenswürdige Netzwerke.

Der Netzwerkperimeter ist immer weniger effektiv: Komplexere Mechanismen zur Trennung von virtuellen Maschinen und virtuellen Netzwerken stecken noch in den Kinderschuhen. Unternehmen erwarten von Cloud-Anbietern Sicherheitsvorkehrungen: Datensicherung, Authentifizierung und Verschlüsselung bei Übertragung und Speicherung.

shutterstock_1593114121

Inwieweit verändert also das Cloud Computing die Arbeit der IT?
Cloud Computing verändert die Wahrnehmung und die Nutzungsmodelle von IT. Getrieben von den Marktkräften, sprich dem wirtschaftlichen Umfeld und den Fortschritten bei den Fähigkeiten von Cloud-Anbietern, richten Unternehmen die IT-Strategie anders aus. Cloud Computing kann die Verfügbarkeit verbessern. Private Clouds können eine sichere Zusammenarbeit mit externen Partnern unterstützen. Platform-as-a-Service (PaaS)-Angebote können dabei proaktive Sicherheit in die Software einbauen. 

Was kannst Du unseren Lesern als Empfehlung zum sicheren Einsatz von Cloud Computing mitgeben?
Cloud Computing birgt natürlich auch Risiken und erfordert ein Umdenken aber nicht eine Neuerfindung von Sicherheitsprogrammen und -architekturen. Wenn die Unternehmen die Nutzung von Public Cloud Services strukturiert und nach internen Vorgaben in ihrem Unternehmen einsetzen und ein Konzept für das Identity & Access Management, das Auditing und Reporting, die Netzwerkinfrastruktur und das Security Management haben, hält die Cloud sehr viele Chancen bereit. Und um ganz auf Nummer sicher zu gehen, lohnt sich die Einbeziehung eines cleveren Partners, der einen sicher durch den Cloud-Dschungel führt. Wir von der Trivadis haben dazu benötigtes Know-how, Best Practices und Frameworks!

Ein alternativer (wenn auch langsamerer) Weg kann sein, zuerst kleine Schritte in Richtung Public Cloud mit geringem Risiko oder niedriger (variabler) Volumenanwendungen zu gehen und daraus serviceorientierte hybride Cloud-Architekturen zu entwickeln.

Das größte Risiko, das wir heute im Bereich der Datensicherheit haben, ist die Übernahme einer Identität und Missbrauch dieser. Unsere Kunden davor zu schützen, ist unsere Aufgabe.

Herzlichen Dank, Gerry.

Quellen:
https://blog.storagecraft.com/7-infamous-cloud-security-breaches/ - 7 Most Infamous Cloud Security Breaches
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/partner/20200130_bdo_cyber-Security.html;jsessionid=2149FBDC922AF39E22A208B267E18CF5.1_cid500
https://www.gartner.com/document/1405593?ref=solrAll&refval=261304823 - Cloud Computing Security in the Enterprise
https://www.gartner.com/document/3987212?ref=solrAll&refval=261304771 - IaaS and PaaS Cloud Security: FAQs From Gartner Clients
https://www.infoworld.com/article/3488500/3-cloud-security-hacks-to-consider-today.html
- 3 cloud security ‘hacks’ to consider today
https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/de_idg_cloudsecuritystudie_2019.pdf

 

Interesse an der Microsoft Cloud mit Trivadis?

 

Topics: Cloud Computing Data Privacy