„The cloud is another name for “someone else’s computer,” and you need to understand how much or how little you trust that computer.“ (Bruce Schneier).

Das Zitat stammt aus dem Kontext des LastPass Breaches aus dem Jahr 2022, bei dem Angreifer den bekannten Passwort Manager LastPass mutmaßlich kompromittieren konnten und für uns der Anlass, das Thema IT-Sicherheit in der Cloud einmal näher zu betrachten.

Risikoabwägung in der Cloud

Dieses hat aus unserer Sicht zwei Aspekte: zum einen die grundsätzliche Frage des Vertrauens. Heißt: vertrauen wir dem/den gewählten Cloud-Betreibern und/oder Dienstanbietern, und denken wir, dass diese ein angemessenes Sicherheitsniveau zum Schutz unserer Daten gewährleisten können? Die Antwort auf diese Frage sollte gründlich abgewogen werden. In den meisten Organisationen wird es Daten geben, die einem höheren Schutzbedarf unterliegen – und solche, bei denen der Schutzbedarf geringer ist. Während möglicherweise nichts gegen die Verarbeitung der letztgenannten Kategorie in der Cloud spricht, ist für Daten mit einem hohen Schutzbedarf eine sorgfältige Risikoabwägung erforderlich.

Hat sich eine Organisation dazu entschlossen, einen oder mehrere Cloud-Dienste zu nutzen, kommt der zweite Aspekt ins Spiel: dieser dreht sich um die sichere Nutzung der Cloud-Dienste. „Sichere Nutzung“ meint hier, bei der Nutzung der Cloud-Dienste entsprechende Best Practises hinsichtlich der sicheren Verwendung einzuhalten. Am Beispiel des oben angesprochenen LastPass Dienstes wäre dies, ein angemessen starkes Master-Passwort zu verwenden. Speziell im Bereich Plattform as a Service (PaaS) und Infrastructure as a Service (IaaS) steht und fällt die IT-Sicherheit der Umgebungen damit, diese so zu konfigurieren, dass keine Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit auftreten können. Ein klassisches Negativ-Beispiel hierfür sind S3 Fehlkonfigurationen beispielsweise auf AWS (Amazon Web Services), wenn ein S3-Bucket ohne angemessene Berechtigungskontrollen zugänglich gemacht wird. Im Ergebnis wird die Vertraulichkeit kompromittiert, und die dort gespeicherten Daten sind dann ohne Zugriffskontrolle im Extremfall für jedermann zugänglich.

Kein blindes Vertrauen in Cloud-Anbieter

Viele Cloud-Nutzer – egal ob im privaten oder im professionellen Umfeld – vertrauen den gewählten Cloud-Anbietern blind – und gehen davon aus, der jeweilige Cloud Service Provider werde schon für angemessene Sicherheit sorgen. Das ist, wie viele unserer Projekte zeigen, ein Trugschluss. Sehr häufig sind Fehlkonfigurationen die Ursache für eklatante Sicherheitslücken in Applikationen, die in der Cloud betrieben werden.

Daher: Vertrauen ist gut, Kontrolle ist besser. Lassen Sie Ihre Applikationen, die die Cloud nutzen, von den Experten von TEN Information Management auf Herz und Nieren prüfen. Dabei werden nicht nur etwaige Fehlkonfigurationen erkannt, sondern auch weitere Sicherheitslücken identifiziert. Dadurch beugen Sie Sicherheitsvorfällen effektiv vor – und schützen sich und Ihre Organisation vor den negativen Folgen eines Cyber-Angriffs.

Tags

Beitrag teilen

Weitere Artikel

Lesen wir die ISO-Norm 27001:2013 oder den Entwurf der neuen 27001:2022 aufmerksam, stellen wir fest: Die Begriffe Penetration Testing und Vulnerability Scanning sind explizit weder als Maßnahmen als auch im Anforderungstext erwähnt. Die ISO 27002...
Kennen Sie schon unser Beratungsangebot SCOD? SCOD steht für Security Consultant on Demand – und dafür, Ihnen jederzeit für all Ihre Fragen rund um die Informationssicherheit kurzfristig zur Verfügung zu stehen. Mit einer SCOD-Subskription können...
Cybercrime trifft nur die Großen? Mit Sicherheit nicht! Letzte Woche haben wir live miterlebt, wie ein Angreifer – leider erfolgreich – die Kunden eines Händlers betrogen und dabei eine beträchtliche Summe Geld erbeutet hat. Was...