Immer wieder sehen wir uns in Gesprächen mit Kunden und Interessenten mit der Aussage konfrontiert, Sicherheitsuntersuchungen (Penetrationstests und Vulnerability Scans) seien in Cloud-Szenarien nicht erforderlich, denn der Cloud-Anbieter (z.B. Amazon Web Services, Microsoft Azure, Google Cloud, Hetzner Cloud) sorge doch für die Sicherheit der Umgebungen. Hierbei handelt es sich um eine weitverbreitete Fehlannahme, die wir in diesem Beitrag näher erläutern möchten.

Schauen wir uns zunächst an, was der Anbieter einer Cloud, in welcher Anwendungsbetreiber ihre Anwendungen entwickeln und betreiben können, hinsichtlich der Sicherheit eigentlich genau macht. Zielgruppe typischer Infrastructure as a Service (Iaas) und Platform as a Service (PaaS)-Angebote sind Anwendungsbetreiber (z.B. Startups, Mittelständler oder auch Konzerne), die unter Zuhilfenahme der Cloud-Ressourcen eigene Anwendungen erstellen und in der Cloud betreiben können. Der Vorteil für die Anwendungsbetreiber liegt auf der Hand: Investitionen in eigene Serverlandschaften entfallen, der Cloud-Anbieter stellt die benötigte Rechenkapazität zum Betrieb zur Verfügung.

Cloud-Anbieter sichern nur ihre eigenen Systeme und Services ab

Zu den Aufgaben des Cloud-Anbieters bei solchen Iaas- und PaaS-Angeboten gehört die Absicherung aller Dienste, die den Cloud-Anwendungsbetreibern zur Verfügung gestellt werden. Das bedeutet beispielsweise, dass APIs, Automatisierungsmechanismen sowie Plattformen und Dienste in einer Art und Weise bereitgestellt werden, dass diese keine schwerwiegenden Sicherheitslücken enthalten. Wenn doch, wird der jeweilige Cloud-Anbieter schon aus eigenem Interesse alles daran setzen, schnellstmöglich für Abhilfe und das Patching zu sorgen. Nur im Spezialfall Software as a Service (SaaS) darf sich der Nutzer darauf verlassen, dass auch die durch den jeweiligen SaaS-Provider bereitgestellte Software vom jeweiligen Provider entsprechend überprüft und korrigiert wird, sollten Sicherheitslücken identifiziert werden. Allerdings richten sich SaaS-Angebote meist an Endnutzer und nicht an Anwendungsbetreiber.

Lassen wir Software as a Service (SaaS) kurz beiseite und fokussieren uns auf IaaS und PaaS-Szenarien. Aus den oben beschriebenen Aufgaben des Cloud-Anbieters resultiert in solchen Umgebungen das folgende:

  1. Cloud-Anbieter sichern ihre eigenen Systeme und Services ab – aber die Anwendungen von Cloud-Anwendungsbetreibern erben die Sicherheit nicht von Haus aus vom Cloud-Anbieter!
  2. Die Installation von Patches ist alleinig die Aufgabe der Cloud-Anwendungsbetreiber; Azure, AWS und jeder andere Cloud-Anbieter wird die in ihren Clouds befindliche und von Anwendungsbetreibern genutzte Infrastruktur und Applikationen nicht automatisch patchen!
  3. Alle Daten, die Anwendungsbetreiber in der Cloud speichern, sind nur so sicher wie die Berechtigungen, die durch die Anwendungsbetreiber festgelegt sind. Auch hierum kümmert sich der Cloud-Anbieter explizit nicht!

Auf Nummer Sicher mit TEN IM

Wir von TEN Information Management sehen unsere unsere Mission auch darin, immer wieder zu erklären, was die Cloud-Anbieter hinsichtlich Sicherheit für Anwendungsbetreiber tun – und was die eigene Verantwortlichkeit der Anwendungsbetreiber ist und bleibt. Und natürlich helfen wir dabei, dieser Verantwortung nachzukommen – mit Vulnerability Scans, Penetration Tests und unserem Watchdog by TEN IM, einer Managed SIEM (Security Incident & Event Management) Lösung, die auch und gerade in IaaS-Szenarien wertvolle Einblicke in die IT-Sicherheitslage der eigenen Organisation liefert. Alles getreu unserem Claim: Business Driven Security Expertise – zugeschnitten auf das Geschäft unserer Kunden.

Tags

Beitrag teilen

Weitere Artikel

Überprüfungen der IT-Sicherheit sind aus den unterschiedlichsten Gründen sinnvoll und angeraten. Externe Gründe wie regulatorische Anforderungen – die KRITIS-Verordnung oder das IT-Sicherheitsgesetz seien beispielhaft genannt – können solche Überprüfungen fordern. Unternehmen können aber auch aus...
Persönliche Haftung der Leitungsorgane Die NIS-2-Richtlinie führt eine neue persönliche Haftung der Leitungsorgane für die Umsetzung der Cybersicherheitsmaßnahmen ein. Dies bedeutet, dass Vorstände und Geschäftsführer persönlich haftbar gemacht werden können, wenn ein Unternehmen die Anforderungen...
Was ist eigentlich der Unterschied zwischen einem Vulnerability Scanund einem Penetration Test? Darüber scheint es interessante Fehlannahmen zu geben, wie wir an folgendem Praxisbeispiel zeigen möchten.