Cloud-Sicherheit: Geteilte Verantwortung zwischen Provider und Anwender

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cloud-Sicherheit: Geteilte Verantwortung zwischen Provider und Anwender

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Wer übernimmt beim Cloud-Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht genügend bewusst zu sein, dass es zwei verantwortliche Parteien für Cloud-Sicherheit gibt – und zwei Bereiche, die hier unabhängig voneinander geschützt werden. Ein Kommentar von Dirk Arendt, IT-Sicherheitsexperte bei Check Point Software Technologies.

Eines der beiden Bereiche, die geschützt werden müssen, ist die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind es die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, für die die Cloud-Sicherheit relevant ist. Deren Schutz – und hier liegt oft das Missverständnis – hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

Cloud-Infrastruktur: Konzept der geteilten Verantwortung

Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen. Geschieht das nicht, oder zu wenig, kann das enorm schädliche Auswirkungen auf die Firma und ihre Kunden haben: Der IT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli für weltweite Schlagzeilen. Nachrichtenmagazine und Fachportale berichteten über den erfolgreichen Angriff einer Hackerin, die sensible Daten von 100 Millionen Kunden in den USA und sechs Millionen Kunden in Kanada erbeutete und im Internet offenlegte.

Capital One lagerte die Datensätze in der Amazon Web Services Cloud. Von dort wurden sie gestohlen und die Täterin arbeitete früher für den Cloud-Anbieter. Es ließe sich also leicht eine Verbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen das Gegenteil: Die Schutzmaßnahmen bei der AWS Cloud waren völlig intakt. Stattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die Capital One zum Schutz der Daten in der Cloud betrieb.

Cloud-Sicherheit: Daten im Dark Web angeboten

In Asien erschüttert nun ein ähnlicher Fall die Branche: Die Fluggesellschaft Malindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht, der ihre und die Passagiere der Fluglinie Thai Lion Air betrifft. Es wurden die Telefonnummern, Adressen und empfindlichen Details der Personalausweise von 30 Millionen Fluggästen gestohlen und in einem Online-Forum veröffentlicht, wie die South China Morning Post berichtet. Die Datensätze wurden zu diesem Zweck in einen frei zugänglichen AWS-Bucket geladen und zum Teil sogar im Dark Web angeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von den Servern gestohlen worden, die Malindo Air über AWS betrieb. Der Angriff erfolgte dabei über einen ungenannten Drittanbieter, nicht über die AWS Cloud selbst.

Diese Vorfälle mahnen zur Vorsicht im Umgang mit Cloud-Umgebungen. Sie sind die Zukunft des digitalen Marktes, aber die dort geparkten Daten und Anwendungen müssen durch Cloud-Sicherheit geschützt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration der sie umgebenden Sicherheitsmaßnahmen. Unternehmen können Hunderte, Tausende oder sogar Millionen von AWS-S3-Buckets einfach aktivieren – oder ähnliche Cloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so entstehenden Komplexität ist es für Unternehmen unerlässlich, Fehlkonfigurationen ihrer IT-Infrastruktur ständig zu überprüfen und zu korrigieren – besonders, da Cloud Services gelegentlich ihre Einstellungen ändern und eine Anpassung notwendig machen. Das ist von Hand durchgeführt allerdings ein sehr zeitraubender Prozess. Automatisierte Cyber-Sicherheitslösungen sind hier die bessere Wahl, zumal sie dazu beitragen, die üblichen menschlichen Leichtsinnsfehler bei der Konfiguration der Sicherheitsmechanismen zu vermeiden. (sg)

Lesen Sie auch: Browser Isolation: 3 Schritte zur sicheren Internetnutzung in Unternehmen

Dirk Arendt Check PointQuelle: Check Point Software Technologies

Über den Autor: Dirk Arendt ist IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Das Internet of Things (IoT) bietet Unternehmen riesiges Potenzial, ihre Daten für mehr Effizienz und neue Geschäftsmodelle zu nutzen. Erforderlich dafür ist eine sichere und zuverlässige Datenübertragung, die möglichst wenig Einfluss auf die existierende Technik nehmen soll. Mit FP InovoLabs, einem Tochterunternehmen von Francotyp-Postalia, steht dafür ein kompetenter Partner mit viel Know-how zur Verfügung.
Werbung
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage
Werbung
Werbung

Aktuelle Ausgabe

Topthema: Cloudlösungen für zukunftssichere Fabriken

Die richtige Mischung macht‘s

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.