Immer wieder sehen wir uns in Gesprächen mit Kunden und Interessenten mit der Aussage konfrontiert, Sicherheitsuntersuchungen (Penetrationstests und Vulnerability Scans) seien in Cloud-Szenarien nicht erforderlich, denn der Cloud-Anbieter (z.B. Amazon Web Services, Microsoft Azure, Google Cloud, Hetzner Cloud) sorge doch für die Sicherheit der Umgebungen. Hierbei handelt es sich um eine weitverbreitete Fehlannahme, die wir in diesem Beitrag näher erläutern möchten.

Schauen wir uns zunächst an, was der Anbieter einer Cloud, in welcher Anwendungsbetreiber ihre Anwendungen entwickeln und betreiben können, hinsichtlich der Sicherheit eigentlich genau macht. Zielgruppe typischer Infrastructure as a Service (Iaas) und Platform as a Service (PaaS)-Angebote sind Anwendungsbetreiber (z.B. Startups, Mittelständler oder auch Konzerne), die unter Zuhilfenahme der Cloud-Ressourcen eigene Anwendungen erstellen und in der Cloud betreiben können. Der Vorteil für die Anwendungsbetreiber liegt auf der Hand: Investitionen in eigene Serverlandschaften entfallen, der Cloud-Anbieter stellt die benötigte Rechenkapazität zum Betrieb zur Verfügung.

Cloud-Anbieter sichern nur ihre eigenen Systeme und Services ab

Zu den Aufgaben des Cloud-Anbieters bei solchen Iaas- und PaaS-Angeboten gehört die Absicherung aller Dienste, die den Cloud-Anwendungsbetreibern zur Verfügung gestellt werden. Das bedeutet beispielsweise, dass APIs, Automatisierungsmechanismen sowie Plattformen und Dienste in einer Art und Weise bereitgestellt werden, dass diese keine schwerwiegenden Sicherheitslücken enthalten. Wenn doch, wird der jeweilige Cloud-Anbieter schon aus eigenem Interesse alles daran setzen, schnellstmöglich für Abhilfe und das Patching zu sorgen. Nur im Spezialfall Software as a Service (SaaS) darf sich der Nutzer darauf verlassen, dass auch die durch den jeweiligen SaaS-Provider bereitgestellte Software vom jeweiligen Provider entsprechend überprüft und korrigiert wird, sollten Sicherheitslücken identifiziert werden. Allerdings richten sich SaaS-Angebote meist an Endnutzer und nicht an Anwendungsbetreiber.

Lassen wir Software as a Service (SaaS) kurz beiseite und fokussieren uns auf IaaS und PaaS-Szenarien. Aus den oben beschriebenen Aufgaben des Cloud-Anbieters resultiert in solchen Umgebungen das folgende:

  1. Cloud-Anbieter sichern ihre eigenen Systeme und Services ab – aber die Anwendungen von Cloud-Anwendungsbetreibern erben die Sicherheit nicht von Haus aus vom Cloud-Anbieter!
  2. Die Installation von Patches ist alleinig die Aufgabe der Cloud-Anwendungsbetreiber; Azure, AWS und jeder andere Cloud-Anbieter wird die in ihren Clouds befindliche und von Anwendungsbetreibern genutzte Infrastruktur und Applikationen nicht automatisch patchen!
  3. Alle Daten, die Anwendungsbetreiber in der Cloud speichern, sind nur so sicher wie die Berechtigungen, die durch die Anwendungsbetreiber festgelegt sind. Auch hierum kümmert sich der Cloud-Anbieter explizit nicht!

Auf Nummer Sicher mit TEN IM

Wir von TEN Information Management sehen unsere unsere Mission auch darin, immer wieder zu erklären, was die Cloud-Anbieter hinsichtlich Sicherheit für Anwendungsbetreiber tun – und was die eigene Verantwortlichkeit der Anwendungsbetreiber ist und bleibt. Und natürlich helfen wir dabei, dieser Verantwortung nachzukommen – mit Vulnerability Scans, Penetration Tests und unserem Watchdog by TEN IM, einer Managed SIEM (Security Incident & Event Management) Lösung, die auch und gerade in IaaS-Szenarien wertvolle Einblicke in die IT-Sicherheitslage der eigenen Organisation liefert. Alles getreu unserem Claim: Business Driven Security Expertise – zugeschnitten auf das Geschäft unserer Kunden.

Tags

Beitrag teilen

Weitere Artikel

In einem Rechenzentrum des Cloud-Anbieters OVH in Straßburg wurden im Februar 2021 Millionen von Kundendaten endgültig vernichtet. Offensichtlich waren die Brandschutzmaßnahmen nicht ausreichend. Wie steht es um Ihre Maßnahmen zur Informationssicherheit? Haben Sie von allen...
Das neue Jahr ist mittlerweile zwar schon ein paar Tage alt – trotzdem sind Jahresauftaktveranstaltungen ja überall noch voll im Gange. So haben auch wir uns Gedanken gemacht, was für 2024 in Sachen Informations- und...
Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...