Fachartikel

Selbstgemachte Cloudlücken vermeiden

Immer mehr Unternehmen erkennen, dass Geschwindigkeit und Agilität von Clouddiensten mit Risiken verbunden sind. Das liegt auch am Modell der geteilten Verantwortung, bei dem Cloudanbieter die Infrastruktur absichern, der Kunde aber alles, was darauf läuft, einschließlich der Daten. Der Fachartikel zeigt praktische Schritte für Unternehmen auf, um ihre Mitarbeiter, Prozesse und Technologien für die Cloud fit zu machen und warum auf Machine Learning basierende Analysetechnologien hier einen echten Mehrwert bieten können.
Um Schaden zu vermeiden, gilt es besonders in der Cloud, gängige Sicherheitslücken zu vermeiden.
Da Unternehmen immer mehr Anwendungen und Daten in die Cloud migrieren, rücken die Herausforderungen bei der Verwaltung und beim Schutz dieser globalen Off-Premises-Ressourcen in den Mittelpunkt. Die größte Herausforderung für Organisationen stellt das Modell der geteilten Verantwortung sowie die Schaffung des dafür nötigen Verständnisses dar. Denn im Rahmen dieses Modells sind die Cloudanbieter für die Sicherheit der Cloud verantwortlich (Speicher, Vernetzung, globale Infrastruktur et cetera), während die Cloudkunden für die Sicherheit der von ihnen in die Cloud gestellten Anwendungen und Dateien zuständig sind.

Das Modell der geteilten Verantwortung sieht also vor, dass der Cloudanbieter seine Infrastruktur regelmäßig aktualisiert, bereinigt, sichert und Fehler behebt, während der Cloudkunde für den Schutz all dessen verantwortlich ist, was er selbst über die Cloudinfrastruktur betreibt, etwa Anwendungen und Datenspeicherung.

Neue Sicherheitsparadigmen bringen neue Herausforderungen
Traditionelle – und zunehmend veraltete – Sicherheitskonzepte basieren darauf, dass die Anwendungs- und Datensicherheit gleichzeitig die unterstützende Infrastruktur schützen. Für die Abwehr von Bedrohungen und den Schutz sensibler Daten sorgt ein sogenannter Perimeterschutz. In der Cloud existiert ein solcher Schutzwall jedoch nicht, und die Spezialisten, die die Infrastruktur schützen, haben kein Interesse an ihren Inhalten.

Die Cloud als Infrastruktur selbst ist sehr sicher. Cloudprovider wissen, dass davon ihr Geschäft und ihr Ruf abhängen, und haben deshalb ein ureigenes Interesse daran, dass das auch so bleibt. Doch innerhalb der Cloud haben sich die Anwendungs- und Datensicherheit als kompliziert erwiesen, wobei ein überraschend großer Anteil der Schäden selbst verschuldet ist. Im Jahr 2019 erreichten sowohl die Zahl der veröffentlichten Daten-Leaks als auch die der kompromittierten Erhebungen ein Allzeithoch.

Bemerkenswert daran: Während böswillige Akteure für die größte Anzahl von Verstößen verantwortlich waren, gelangen auch immer mehr Datensätze durch unabsichtlich falsch konfigurierte Clouddienste und -portale ins Internet. Im Jahr 2018 waren etwa fast 50 Prozent der gefährdeten Daten auf Fehlkonfigurationen zurückzuführen. Eine echte Verbesserung ist nicht in Sicht. Gartner stellt fest, dass bis 2022 der Kunde an mindestens 95 Prozent der Vorfälle in Bezug auf die Cloudsicherheit selbst Schuld haben wird.

Das ist kein Wunder, denn laut einem Bericht von McAfee werden 99 Prozent aller Fehlkonfigurationen in der Public Cloud überhaupt nicht gemeldet. Zwar führt nicht jede Fehlkonfiguration auch zu einer Verletzung der Datensicherheit, es veranschaulicht jedoch, warum so viele Datensätze auf diese Weise gefährdet sind. Eine Organisation meldet im Durchschnitt etwa 37 bekannt gewordene Fehlkonfigurationen pro Monat. Tatsächlich geschehen aber – ohne dass sie darüber informiert wird – im selben Zeitraum etwa 3500 Fehlkonfigurationen.
Die typischen Sicherheitsprobleme in der Cloud
Das Sicherheitsproblem der Cloud hängt mit ihren eigenen Versprechen von Freiheit und Geschwindigkeit zusammen. Es ist so einfach, Cloudinstanzen von fast überall im Unternehmen anzulegen, sodass ungeschultes Personal dies ohne entsprechende Aufsicht von Sicherheitsteams und auf nicht fachmännische Weise tun kann. Die vielversprechende Freiheit und Optionalität der Cloud machen leider somit Fehlkonfigurationen von Instanzen und in der Folge eine ungewollte Offenlegung von sensiblen Daten möglich.

Es gibt eine Vielzahl unterschiedlichster Konfigurationsfehler, die Enterprise-Nutzer machen können. Sehr häufig fehlen schlichtweg die entsprechenden Sicherheitseinstellungen. Oft verbinden Benutzer die Cloudressourcen mit dem öffentlichen Internet, ohne dass Firewalls vorhanden sind, oder aktivieren die Verschlüsselung der Cloudinstanzen nicht. In anderen Fällen ist der Zugang das Problem.

Die Möglichkeit der Aktivierung globaler Berechtigungen in der Cloud mag zwar verlockend sein, dadurch jedoch gerät der ungehinderte Zugang von außen in die Unternehmenscloud zum sicherheitskritischen Faktor. Unternehmen sollten daher der internen Zugang zur Cloud streng an die Rolle und Verantwortlichkeit des jeweiligen Benutzers anpassen. In vielen Fällen ist der uneingeschränkte Zugang zu wichtigen Ports – einschließlich der HTTP/HTTPS-Ports – zu leicht verfügbar.

Ein weiteres Problem ist, dass Plug-ins und Erweiterungen zu Anwendungen von Mitarbeitern hinzugefügt werden, die, unabhängig von Wissen und Überwachung der IT-Abteilung, die Cloudressourcen aufstocken – eine weitere kritische Variable, die zu einer ungewollten Gefährdung führen kann.

Für unternehmensinterne Sicherheitsteams stellen all diese Faktoren eine enorme Herausforderung dar. Entweder existieren die normalen Kontrollen in der Cloud nicht oder sie lassen sich zu leicht umgehen. Selbst wenn die Sicherheitsabteilung über eine Cloudauslastung informiert ist, wird die Protokollierung oftmals nicht aktiviert was Authentifizierungsanfragen oder den Zugriff auf kritische Ressourcen unsichtbar macht.

Kritisch angesichts all der Fehler, die regelmäßige Cloudnutzer machen: Viele Organisationen verfügen oft nicht über die Mittel, um die Nutzung zu überwachen, zu prüfen und auf eine unsichere Anwendung und auftretende Fehlkonfigurationen hinzuweisen. Geschieht dies doch, wird es oft unregelmäßig und uneinheitlich ausgeführt, sodass Sicherheitsteams die Fehlkonfigurationen leicht übersehen können.

10.06.2020/ln/Ronnen Brunner, Technology Evangelist EMEA bei ExtraHop

Nachrichten

Malware-Untersuchung vor Ort [7.07.2020]

Die Sandboxing-Technologie von Kaspersky kann künftig auch in Kundennetzwerken eingesetzt werden. Die Umgebung unterstützt Sicherheitsexperten dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben. Die eigene IT-Umgebung soll sich dabei realitätsnah nachbilden lassen. [mehr]

EU-US Privacy Shield vor dem Aus? [6.07.2020]

Die Europäische Kommission bereitet sich auf das Scheitern des EU-US Privacy Shield vor, die in der EU ansässigen Firmen sollten ebenfalls dringend mit den Vorbereitungen beginnen, rät Detlef Schmuck, Geschäftsführer der Hamburger Datensicherheits­firma TeamDrive. Würde die transatlantische Datenschutzvereinbarung vom Europäischen Gerichtshof (EuGH) wie von vielen Seiten erwartet am 16. Juli für ungültig erklärt, stünden Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, im Regen. [mehr]

Tipps & Tools

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen