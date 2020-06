Selbstgemachte Cloudlücken vermeiden

Immer mehr Unternehmen erkennen, dass Geschwindigkeit und Agilität von Clouddiensten mit Risiken verbunden sind. Das liegt auch am Modell der geteilten Verantwortung, bei dem Cloudanbieter die Infrastruktur absichern, der Kunde aber alles, was darauf läuft, einschließlich der Daten. Der Fachartikel zeigt praktische Schritte für Unternehmen auf, um ihre Mitarbeiter, Prozesse und Technologien für die Cloud fit zu machen und warum auf Machine Learning basierende Analysetechnologien hier einen echten Mehrwert bieten können.

Um Schaden zu vermeiden, gilt es besonders in der Cloud, gängige Sicherheitslücken zu vermeiden.

Da Unternehmen immer mehr Anwendungen und Daten in die Cloud migrieren, rücken die Herausforderungen bei der Verwaltung und beim Schutz dieser globalen Off-Premises-Ressourcen in den Mittelpunkt. Die größte Herausforderung für Organisationen stellt das Modell der geteilten Verantwortung sowie die Schaffung des dafür nötigen Verständnisses dar. Denn im Rahmen dieses Modells sind die Cloudanbieter für die Sicherheit der Cloud verantwortlich (Speicher, Vernetzung, globale Infrastruktur et cetera), während die Cloudkunden für die Sicherheit der von ihnen in die Cloud gestellten Anwendungen und Dateien zuständig sind.



Das Modell der geteilten Verantwortung sieht also vor, dass der Cloudanbieter seine Infrastruktur regelmäßig aktualisiert, bereinigt, sichert und Fehler behebt, während der Cloudkunde für den Schutz all dessen verantwortlich ist, was er selbst über die Cloudinfrastruktur betreibt, etwa Anwendungen und Datenspeicherung.



Neue Sicherheitsparadigmen bringen neue Herausforderungen

Traditionelle – und zunehmend veraltete – Sicherheitskonzepte basieren darauf, dass die Anwendungs- und Datensicherheit gleichzeitig die unterstützende Infrastruktur schützen. Für die Abwehr von Bedrohungen und den Schutz sensibler Daten sorgt ein sogenannter Perimeterschutz. In der Cloud existiert ein solcher Schutzwall jedoch nicht, und die Spezialisten, die die Infrastruktur schützen, haben kein Interesse an ihren Inhalten.



Die Cloud als Infrastruktur selbst ist sehr sicher. Cloudprovider wissen, dass davon ihr Geschäft und ihr Ruf abhängen, und haben deshalb ein ureigenes Interesse daran, dass das auch so bleibt. Doch innerhalb der Cloud haben sich die Anwendungs- und Datensicherheit als kompliziert erwiesen, wobei ein überraschend großer Anteil der Schäden selbst verschuldet ist. Im Jahr 2019 erreichten sowohl die Zahl der veröffentlichten Daten-Leaks als auch die der kompromittierten Erhebungen ein Allzeithoch.



Bemerkenswert daran: Während böswillige Akteure für die größte Anzahl von Verstößen verantwortlich waren, gelangen auch immer mehr Datensätze durch unabsichtlich falsch konfigurierte Clouddienste und -portale ins Internet. Im Jahr 2018 waren etwa fast 50 Prozent der gefährdeten Daten auf Fehlkonfigurationen zurückzuführen. Eine echte Verbesserung ist nicht in Sicht. Gartner stellt fest, dass bis 2022 der Kunde an mindestens 95 Prozent der Vorfälle in Bezug auf die Cloudsicherheit selbst Schuld haben wird.



Das ist kein Wunder, denn laut einem Bericht von McAfee werden 99 Prozent aller Fehlkonfigurationen in der Public Cloud überhaupt nicht gemeldet. Zwar führt nicht jede Fehlkonfiguration auch zu einer Verletzung der Datensicherheit, es veranschaulicht jedoch, warum so viele Datensätze auf diese Weise gefährdet sind. Eine Organisation meldet im Durchschnitt etwa 37 bekannt gewordene Fehlkonfigurationen pro Monat. Tatsächlich geschehen aber – ohne dass sie darüber informiert wird – im selben Zeitraum etwa 3500 Fehlkonfigurationen.