„The cloud is another name for “someone else’s computer,” and you need to understand how much or how little you trust that computer.“ (Bruce Schneier).
Das Zitat stammt aus dem Kontext des LastPass Breaches aus dem Jahr 2022, bei dem Angreifer den bekannten Passwort Manager LastPass mutmaßlich kompromittieren konnten und für uns der Anlass, das Thema IT-Sicherheit in der Cloud einmal näher zu betrachten.
Dieses hat aus unserer Sicht zwei Aspekte: zum einen die grundsätzliche Frage des Vertrauens. Heißt: vertrauen wir dem/den gewählten Cloud-Betreibern und/oder Dienstanbietern, und denken wir, dass diese ein angemessenes Sicherheitsniveau zum Schutz unserer Daten gewährleisten können? Die Antwort auf diese Frage sollte gründlich abgewogen werden. In den meisten Organisationen wird es Daten geben, die einem höheren Schutzbedarf unterliegen – und solche, bei denen der Schutzbedarf geringer ist. Während möglicherweise nichts gegen die Verarbeitung der letztgenannten Kategorie in der Cloud spricht, ist für Daten mit einem hohen Schutzbedarf eine sorgfältige Risikoabwägung erforderlich.
Hat sich eine Organisation dazu entschlossen, einen oder mehrere Cloud-Dienste zu nutzen, kommt der zweite Aspekt ins Spiel: dieser dreht sich um die sichere Nutzung der Cloud-Dienste. „Sichere Nutzung“ meint hier, bei der Nutzung der Cloud-Dienste entsprechende Best Practises hinsichtlich der sicheren Verwendung einzuhalten. Am Beispiel des oben angesprochenen LastPass Dienstes wäre dies, ein angemessen starkes Master-Passwort zu verwenden. Speziell im Bereich Plattform as a Service (PaaS) und Infrastructure as a Service (IaaS) steht und fällt die IT-Sicherheit der Umgebungen damit, diese so zu konfigurieren, dass keine Kompromittierung von Vertraulichkeit, Integrität und Verfügbarkeit auftreten können. Ein klassisches Negativ-Beispiel hierfür sind S3 Fehlkonfigurationen beispielsweise auf AWS (Amazon Web Services), wenn ein S3-Bucket ohne angemessene Berechtigungskontrollen zugänglich gemacht wird. Im Ergebnis wird die Vertraulichkeit kompromittiert, und die dort gespeicherten Daten sind dann ohne Zugriffskontrolle im Extremfall für jedermann zugänglich.
Viele Cloud-Nutzer – egal ob im privaten oder im professionellen Umfeld – vertrauen den gewählten Cloud-Anbietern blind – und gehen davon aus, der jeweilige Cloud Service Provider werde schon für angemessene Sicherheit sorgen. Das ist, wie viele unserer Projekte zeigen, ein Trugschluss. Sehr häufig sind Fehlkonfigurationen die Ursache für eklatante Sicherheitslücken in Applikationen, die in der Cloud betrieben werden.
Daher: Vertrauen ist gut, Kontrolle ist besser. Lassen Sie Ihre Applikationen, die die Cloud nutzen, von den Experten von TEN Information Management auf Herz und Nieren prüfen. Dabei werden nicht nur etwaige Fehlkonfigurationen erkannt, sondern auch weitere Sicherheitslücken identifiziert. Dadurch beugen Sie Sicherheitsvorfällen effektiv vor – und schützen sich und Ihre Organisation vor den negativen Folgen eines Cyber-Angriffs.