Cloud-Sicherheit: Geteilte Verantwortung


Sicherheitsvorfälle mahnen zur Vorsicht im Umgang mit Cloud Computing-Umgebungen
Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen


Von Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH

Wer übernimmt beim Cloud Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt – und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz – und hier liegt oft das Missverständnis – hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen. Geschieht das nicht, oder zu wenig, kann das enorm schädliche Auswirkungen auf die Firma und ihre Kunden haben: Der IT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli für weltweite Schlagzeilen. Fachportale, Tageszeitungen und Nachrichtenmagazine berichteten über den erfolgreichen Angriff einer Hackerin, die sensible Daten von 100 Millionen Kunden in den USA und 6 Millionen Kunden in Kanada erbeutete und im Internet offenlegte.

Capital One lagerte die Datensätze in der Amazon Web Services Cloud. Von dort wurden sie gestohlen und die Täterin arbeitete früher für den Cloud-Anbieter. Es ließe sich also leicht eine Verbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen das Gegenteil: Die Schutzmaßnahmen der AWS-Cloud waren völlig intakt. Stattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die Capital One zum Schutz der Daten in der Cloud betrieb.

In Asien erschüttert nun ein ähnlicher Fall die Branche: Die Fluggesellschaft Malindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht, der ihre und die Passagiere der Linie Thai Lion Air betrifft. Es wurden die Telefonnummern, Adressen und empfindlichen Details der Personalausweise von 30 Millionen Fluggästen gestohlen und in einem Online-Forum veröffentlicht, wie die South China Morning Post berichtet. Die Datensätze wurden zu diesem Zweck in einen frei zugänglichen AWS-Bucket geladen und zum Teil sogar im Dark Web feilgeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von den Servern gestohlen worden, die Malindo Air über AWS betrieb. Der Angriff erfolgte dabei über einen ungenannten Drittanbieter, nicht über die AWS-Cloud selbst.

Diese Vorfälle mahnen zur Vorsicht im Umgang mit Cloud Computing-Umgebungen. Sie sind die Zukunft des digitalen Marktes, aber die dort geparkten Daten und Anwendungen müssen gut geschützt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration der sie umgebenden Sicherheitsmaßnahmen. Unternehmen können Hunderte, Tausende oder sogar Millionen von AWS-S3-Buckets einfach aktivieren – oder ähnliche Cloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so entstehenden Komplexität ist es für Unternehmen unerlässlich, Fehlkonfigurationen ihrer IT-Infrastruktur ständig zu überprüfen und zu korrigieren – besonders, da Cloud Computing-Services gelegentlich ihre Einstellungen ändern und eine Anpassung notwendig machen. Das ist von Hand durchgeführt allerdings ein sehr zeitraubender Prozess. Automatisierte Cyber-Sicherheitslösungen sind hier die bessere Wahl, zumal sie dazu beitragen, die üblichen menschlichen Leichtsinnsfehler bei der Konfiguration der Sicherheitsmechanismen zu vermeiden.
(Check Point Software Technologies: ra)

eingetragen: 14.10.19
Newsletterlauf: 13.11.19

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Abhängigkeit von den USA vermeiden

    Der erneute Wahlsieg von Donald Trump in den USA hat nicht nur politische, sondern auch technologische Implikationen für Deutschland. Besonders drängt die Frage: Wie stark ist Deutschland noch auf US-amerikanische Tech-Giganten angewiesen? leitzcloud by vBoxx, ein DSGVO-konformer Cloud-Anbieter aus Deutschland, appelliert an die Politik, die Nutzung europäischer Alternativen zu fördern, um digitale Souveränität zu sichern.

  • Künstliche Intelligenz muss Chefsache sein

    Länder wie die USA und China gelten als Spitzenreiter in Sachen Künstliche Intelligenz. Und Deutschland? Hier wird KI oft lediglich als Prozessbeschleuniger oder Effizienzoptimierer betrachtet - und auch so eingesetzt.

  • Weg zur echten Cloud-Souveränität

    Europäische Unternehmen haben die Cloud als einen Gamechanger erkannt, für viele steht sie sogar im Mittelpunkt ihrer Strategie. In einer sich schnell wandelnden Geschäftswelt bietet die Cloud enorme Vorteile, insbesondere in Bezug auf Flexibilität und Reaktionsfähigkeit. Regulierte Branchen wie der Finanzsektor, das Gesundheitswesen oder der öffentliche Dienst müssen jedoch gleichzeitig komplexe Anforderungen in Bezug auf Datenkontrolle und rechtliche Rahmenbedingungen erfüllen.

  • Backups in der Cloud

    Egal wo sich geschäftskritische Daten und Workloads befinden - sie müssen entsprechend geschützt werden, um einen kontinuierlichen Betrieb sicherzustellen. Im Rahmen der gängigen 3-2-1-Backup-Regel, die von den meisten Unternehmen genutzt wird, werden immer mehr Backups in der Cloud gespeichert.

  • Vorteile der Multi-Cloud-Arbitrage nutzen

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace. Offener Datentransfer zwischen den großen Cloud-Plattformen ist damit Wirklichkeit geworden.

  • eco zur AI Act-Abstimmung im EU-Parlament

    Im Europäischen Parlament fand die finale Abstimmung über den Artificial Intelligence Act (AI Act) statt, der wegweisende Regelungen für den Einsatz von Künstlicher Intelligenz in der EU vorsieht.

  • Cloud-Kunden den Anbieterwechsel erleichtern

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace.

  • Kriterien im Umgang mit KI-Systemen

    eco - Verband der Internetwirtschaft e.V. forderte anlässlich der Abstimmung über den AI Act im Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten eine praxistaugliche Umsetzung und EU-weit einheitliche Kriterien im Umgang mit KI-Systemen.

  • Trends der Netzwerktechnologie 2024

    Künstliche Intelligenz und Cloud Computing ergänzen sich symbiotisch. Obwohl ML und KI keine neuen Technologien und Konzepte sind, hat die Verfügbarkeit großer Rechen- und Speicherkapazitäten über die Cloud die jüngsten Entwicklungen von KI beschleunigt.

  • Datenmengen häufen sich

    Immer mehr Unternehmen in Deutschland setzen auf Cloud Computing - Tendenz steigend. Dabei nennt sich die Verlagerung von Rechenressourcen wie etwa Daten, Anwendungen oder IT-Prozesse in die Cloud-Migration.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen