- Anzeige -


Cloud-Sicherheit: Geteilte Verantwortung


Sicherheitsvorfälle mahnen zur Vorsicht im Umgang mit Cloud Computing-Umgebungen
Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen

- Anzeigen -





Von Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH

Wer übernimmt beim Cloud Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt – und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz – und hier liegt oft das Missverständnis – hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen. Geschieht das nicht, oder zu wenig, kann das enorm schädliche Auswirkungen auf die Firma und ihre Kunden haben: Der IT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli für weltweite Schlagzeilen. Fachportale, Tageszeitungen und Nachrichtenmagazine berichteten über den erfolgreichen Angriff einer Hackerin, die sensible Daten von 100 Millionen Kunden in den USA und 6 Millionen Kunden in Kanada erbeutete und im Internet offenlegte.

Capital One lagerte die Datensätze in der Amazon Web Services Cloud. Von dort wurden sie gestohlen und die Täterin arbeitete früher für den Cloud-Anbieter. Es ließe sich also leicht eine Verbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen das Gegenteil: Die Schutzmaßnahmen der AWS-Cloud waren völlig intakt. Stattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die Capital One zum Schutz der Daten in der Cloud betrieb.

In Asien erschüttert nun ein ähnlicher Fall die Branche: Die Fluggesellschaft Malindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht, der ihre und die Passagiere der Linie Thai Lion Air betrifft. Es wurden die Telefonnummern, Adressen und empfindlichen Details der Personalausweise von 30 Millionen Fluggästen gestohlen und in einem Online-Forum veröffentlicht, wie die South China Morning Post berichtet. Die Datensätze wurden zu diesem Zweck in einen frei zugänglichen AWS-Bucket geladen und zum Teil sogar im Dark Web feilgeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von den Servern gestohlen worden, die Malindo Air über AWS betrieb. Der Angriff erfolgte dabei über einen ungenannten Drittanbieter, nicht über die AWS-Cloud selbst.

Diese Vorfälle mahnen zur Vorsicht im Umgang mit Cloud Computing-Umgebungen. Sie sind die Zukunft des digitalen Marktes, aber die dort geparkten Daten und Anwendungen müssen gut geschützt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration der sie umgebenden Sicherheitsmaßnahmen. Unternehmen können Hunderte, Tausende oder sogar Millionen von AWS-S3-Buckets einfach aktivieren – oder ähnliche Cloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so entstehenden Komplexität ist es für Unternehmen unerlässlich, Fehlkonfigurationen ihrer IT-Infrastruktur ständig zu überprüfen und zu korrigieren – besonders, da Cloud Computing-Services gelegentlich ihre Einstellungen ändern und eine Anpassung notwendig machen. Das ist von Hand durchgeführt allerdings ein sehr zeitraubender Prozess. Automatisierte Cyber-Sicherheitslösungen sind hier die bessere Wahl, zumal sie dazu beitragen, die üblichen menschlichen Leichtsinnsfehler bei der Konfiguration der Sicherheitsmechanismen zu vermeiden.
(Check Point Software Technologies: ra)

eingetragen: 14.10.19
Newsletterlauf: 13.11.19

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Kommentare und Meinungen

  • Verantwortung für die Datensicherheit bewusst sein

    Unzählige Server und Daten wurden an einem französischen Rechenzentrums-Standort durch ein Feuer zerstört. Doch Unternehmen müssen einem solchen Ereignis nicht schutzlos ausgeliefert sein. Im Gegenteil, denn eine strategische Cloud-Migration lässt sich mit Disaster-Recovery- und Backup-Services so absichern, dass kein Geschäftsausfall droht. Am Straßburger Standort eines Cloud-Providers ist am 10. März 2021 eines der vier Rechenzentren komplett abgebrannt. 12.000 Server wurden völlig zerstört, samt Daten von zahlreichen Firmen und Organisationen. Die Brandursache steht noch nicht fest. Klar ist hingegen, dass auch die Unternehmen selbst etwas unternehmen müssen, um auf solche Katastrophenfälle sowie kleinere Störungen vorbereitet zu sein. Im besten Fall ist eine Firma in der Lage, den letzten Stand ihrer Datenbanken, Applikationen und Systeme sofort wieder einzuspielen, damit ihre geschäftskritischen Prozesse weiterlaufen.

  • DSGVO & Gesetzeslage in den USA

    Die Pandemie stellt im Moment einen Katalysator für die Digitalisierung dar. Wie nie zuvor wird von zuhause gearbeitet, gelernt und auch das Privatleben hat in Zeiten von Lockdowns und Ausgangssperren eine Verlagerung hin ins Internet erfahren. Insbesondere Unternehmen sind dazu verpflichtet, ihren Mitarbeitern die Arbeit von zuhause aus zu ermöglichen. Um den reibungslosen Wechsel ins Homeoffice zu gewährleisten, sind Cloud-Dienste hier das Mittel der Wahl - oftmals von US-amerikanischen Tech-Riesen wie Microsoft, Google und AWS. Firmen jedweder Größe setzen auf die "Hyperscaler", weil diese ihnen Sicherheit, Stabilität und Skalierbarkeit versprechen.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung.

  • Vormarsch von Cloud-Native-Technologien

    Cloud Native ist längst kein Nischenthema mehr, das nur für Start-ups relevant ist. Auch im Enterprise-Segment ist Cloud Native inzwischen angekommen. Unternehmen sehen die Vorteile von Anwendungen und Microservices, die sie direkt aus der Cloud beziehen, beziehungsweise die ausschließlich als Cloud Computing-Anwendungen konzipiert sind. Flexibilität, Innovation und Agilität sind nur einige der Vorteile von Cloud Native. Darüber hinaus ebnen diese Technologien den Weg für ein schnelleres Time-to-Market von Produkten und eine Verbesserung des Betriebsergebnisses.

  • Marktplätze setzen sich im B2B-Geschäft durch

    Die Digitalisierung beeinflusst enorm, wie Unternehmen und ihre Kunden miteinander interagieren. Laut Handelsblatt wird alles, was entlang der Lieferkette digitalisiert werden kann, in den kommenden Jahren digitalisiert - inklusive dauerhafter Kundenbeziehungen. Der Corona-Schock hat diese Entwicklung beschleunigt. In der KPMG/Harvey Nash CIO Survey 2020 gaben CIOs an, dass in den vergangenen sechs Monaten mehr Innovation stattgefunden habe als in den zehn Jahren zuvor. Denn neben Homeoffice etc. verändert sich auch die Schnittstelle zu den Kunden und Märkten rasant. Die Art und Weise, in der Kunden Kontakt suchen, kaufen und konsumieren, hat sich seit Frühling 2020 weitgehend in die digitale Welt verlagert - viel schneller, als es die Unternehmen in den Jahren zuvor erlebt haben.

  • Schlüsselgewalt für das Krankenhaus

    In Bayern ticken die Uhren oft ein wenig anders als im Rest der Bundesrepublik. Die föderale Struktur Deutschlands ist auch der Grund, weshalb wir Bayern einen Sonderweg in Sachen Datenschutz eingeschlagen haben. Ein folgenreicher Unterschied ist im Bayerischen Krankenhausgesetz (BayKrG) zu beobachten. Artikel 27 limitiert die Cloud Computing-Nutzung für Krankenhäuser durch besonders strenge Richtlinien, um medizinische Patientendaten vor unberechtigtem Fremdzugriff zu schützen. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung: "Dieser Schritt der größten Banken Europas in Richtung Public Cloud stellt eine positive Veränderung für die Finanzdienstleistungsbranche, ihre Kunden und die Technologieunternehmen dar, die den Übergang unterstützen werden. Ein stärkerer Wettbewerb zwischen Technologieunternehmen wird schließlich Anreize für die Optimierung schaffen und Innovationen für Financial-Cloud-Lösungen vorantreiben."

  • US-Clouds: Jetzt drei Optionen

    Mit der Entscheidung des Europäischen Gerichtshofs (EuGH), das "Privacy Shield"-Abkommen zwischen der EU und den USA zu kippen, drohen deutschen Unternehmen nun Strafzahlungen, wenn sie personenbezogene Daten in US-Clouds speichern. Erstaunlicherweise haben bislang nur wenige Unternehmen auf das Urteil reagiert, das der EuGH schon im Juli dieses Jahres ausgesprochen hatte. Tatsächlich gibt es damit keine Rechtsgrundlage mehr für die Nutzung amerikanischer Cloud Computing-Anbieter, selbst wenn deren Rechenzentren auf europäischem Boden stehen. Und da unwahrscheinlich ist, dass die EU und die USA kurzfristig ein neues Datenschutzabkommen vereinbaren, müssen deutsche Unternehmen jetzt ihre Cloud-Strategien auf den Prüfstand stellen. Sogar die irische Datenschutzbehörde, die unter den EU-Regulierungsbehörden den US-Tech-Giganten normalerweise am freundlichsten gegenübersteht, hat Facebook die Anweisung erteilt, die Übertragung von Benutzerdaten aus der EU in die USA zu stoppen.

  • Regelbuch für die Cloud erarbeiten

    Die Mitgliedsstaaten der Europäischen Union haben eine gemeinsame Erklärung unterzeichnet, wie Cloud Computing-Technologien für die Wirtschaft und die öffentliche Hand in der EU künftig besser gefördert werden sollen. Ziel soll unter anderem sein, Datensouveränität zu stärken und einheitliche Regeln und Standards innerhalb der EU für die Nutzung von Cloud-Technologien zu entwickeln. Mit ihrer gemeinsamen Erklärung beauftragen die Mitgliedsstaaten die EU-Kommission, Cloud-Strategien innerhalb der EU zu vereinheitlichen.

  • Schatten-IT - mit mobile Touch

    Wenn Sie bei Ihrem IT-Leiter das Thema "Schatten-IT" ansprechen, hält er Ihnen vermutlich einen Vortrag dazu, welchen Vorgaben die Mitarbeiter bei der Nutzung von Cloud-Diensten folgen müssen, um das Unternehmen einem möglichst geringen Risiko auszusetzen. Das ist natürlich grundsätzlich richtig. Ohne geeignete Schutzmaßnahmen haben nicht sanktionierte Tools potenziell schwerwiegende Folgen und verursachen unbeabsichtigt Sicherheitslücken. Aber die Zeiten haben sich geändert. Gartner definiert als "Schatten-IT IT-Geräte, Software und Dienste, die sich außerhalb von Ownership oder Kontrolle der IT des Unternehmens befinden." Aktuell arbeiten immer noch und wieder große Teile der Belegschaften remote. Durch diese Veränderungen fallen etliche Aspekte der täglichen Arbeit in eine dieser Kategorien. Vom häuslichen WLAN-Netzwerk bis hin zu privaten Smartphones oder Tablets, die auch im Job verwendet werden - sie alle befinden sich außerhalb des Einflussbereichs der IT-Abteilung.