Die Administration und der Betrieb von IT-Systemen heute hat sich im Vergleich zu früher stark geändert: Heute verteilen sich die Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services von unterschiedlichen Dienstleistern bezogen. Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks (WANs), sondern aus Kostengründen über das Internet. Das birgt für Unternehmen zweierlei Herausforderungen: Erstens ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Zweitens entzieht sich ein Teil der Infrastruktur bei den Cloud-Modellen schlicht und einfach der direkten Kontrolle durch das Unternehmen. Erschwerend kommt hinzu, dass die Verträge, die die Zusammenarbeit mit Anbietern von Cloud-Services und Outsourcing regeln und Verantwortlichkeiten und Verantwortungen festlegen, oftmals derart komplex sind, dass ihr Abschluss durch juristischen Beistand begleitet werden muss. Welche Risiken es gibt, wie sie behoben oder zumindest eingegrenzt werden können, wird im Folgenden beschrieben. [...]
Erwähnt sollte hier noch werden, dass es auch noch zusätzliche Angriffsvektoren durch die administrativen Tools der Cloud selbst gibt. Webtools und APIs zur Steuerung von Cloud-Funktionalität können im schlimmsten Fall einem Angreifer nicht nur die Kontrolle über einzelne Rechner, sondern über gesamte Abschnitte der Cloud-Infrastruktur ermöglichen.
GETEILTE VERANTWORTUNG IST HALBE SICHEHEIT
Selbst wenn Firmen alle notwendigen technischen Sicherheitsvorkehrungen getroffen haben, bewegen sie sich beim Cloud Computing in einen zweiten Themenkomplex hinein: den der geteilten Verantwortung. Während Unternehmen mit einem eigenen Rechenzentrum die Aktualität der Sicherheitsvorkehrungen und deren Funktionieren messbar überprüfen können, muss man in der Cloud darauf vertrauen, dass der Cloud Provider seinen Verpflichtungen auf die Einhaltungen von Best Practices nachkommt. Eine tatsächliche Überprüfung oder ein Monitoring ist an dieser Stelle selten möglich. Es herrscht also der Grundsatz des Vertrauens in den Cloud Provider bzw. in dessen vertragliche Zusicherung. Tritt der Fall eines Datenmissbrauchs zutage, steht zuallererst der Nachweis an, wie die Daten kompromittiert wurden und ob dies ein Versäumnis des Cloud Providers möglich gemacht hatte. Oftmals kommt dann heraus, dass entweder interne Mitarbeiter ihren Zugang zu den Daten missbraucht haben, oder dass sich Fremdpersonen durch Spearphishing – also durch das gezielte Ausspähen von Personen mit Zugangsberechtigungen – Zugangsdaten verschafft haben und diese missbrauchten, ohne dass der Betroffene es sofort realisieren konnte.
Fälle der letzten Jahre wie Edward Snowden und die NSA-Affäre oder die bekannten Steuer-CDs zeigen, dass in vielen Fällen IT-Mitarbeiter ursächlich für Datenmissbrauch verantwortlich sind – ob zum Vor- oder Nachteil, zu Recht oder Unrecht soll hier nicht weiter diskutiert werden. Ist es aber doch mal der Cloud Provider, dessen Versäumnis für einen Datenmissbrauch oder einen Stillstand der Unternehmens-IT gesorgt hat, handelt er dies normalerweise durch die Rückerstattung von bezahlten oder zukünftigen Infrastrukturkosten an das Unternehmen ab. Ein solcher Vorfall hat jedoch Auswirkungen auf das Vertrauensverhältnis zwischen Kunde und Unternehmen und kann auch einen Verlust von Intellectual Property bedeuten. Im Zeitalter von Industrie 4.0 und dem Internet der Dinge entsteht durch einen derartigen Ausfall auch eine Unterbrechung oder Störung der Produktionsanlagen mit erheblichen Kosten. Nicht zuletzt verursacht Datenmissbrauch auch rechtliche Probleme. Diese Risiken und ihre Folgen trägt das Unternehmen allein. Die Kosten dafür übersteigen die angebotenen Kompensationen normalerweise um ein Vielfaches – sie sind oftmals gar nicht bezifferbar. „SharedResponsibility“ enthält also zusätzliche Risiken.
UNTERNEHMENSSEITIGE VERSCHLÜSSELUNG SICHERER ALS MASTER KEY
Obwohl die meisten Cloud Provider eine Verschlüsselung der Virtual Machines innerhalb der Cloud-Infrastruktur anbieten, bedeutet dies noch lange keine Garantie dafür, dass die Daten sich nicht doch auslesen lassen. Denn: Fast alle Cloud Provider nutzen einen Master Key für die verschlüsselten Daten, und machen von ihm auch Gebrauch. Zum Beispiel bei Anfragen von Regierungsorganisationen händigen Cloud Provider die Daten unverschlüsselt aus. Um auszuschließen, dass sich ein Mitarbeiter eines Cloud Providers durch den Master Key Zugang zu den Daten verschafft, ist die unternehmensseitige Verschlüsselung der in der Cloud abgelegten Daten mit eigenen Schlüsseln sinnvoll. Dazu kann man entweder auf Filesystem-Ebene verschlüsseln, wie z.B. mit Loop-AES, TrueCrypt oder Crypto-FS, oder die Verschlüsselung der Daten innerhalb der Applikation sicherstellen. MySQL und Oracle zum Beispiel bieten beide AES-Verschlüsselung der Datensätze innerhalb der Datenbank an. Die unternehmensseitige Verschlüsselung ist ein einfacher, transparenter und kostengünstiger Weg zu mehr Sicherheit.
Be the first to comment