Cloud-Computing
Fehlkonstruktionen in der Cloud – eine kleine Typologie
Unternehmen führen immer häufiger Cloud-Lösungen ein, um ihre Daten umfassend verwalten und neue Services anbieten zu können. Doch auch wenn die Bereitstellung von Daten per Cloud als sicher gilt, existieren dennoch Schwachstellen, die von Cyberkriminellen ausgespäht und genutzt werden können.
Cloud-Computing-Plattformen unterstützen Unternehmen dabei, agiler, skalierbarer und effizienter zu agieren. Das hilft Organisationen und Unternehmen dabei, die Entwicklung von Produkten und Dienstleistungen zu beschleunigen, Kundendaten sicherer zu verwalten oder per Cloud-Storage Daten mit Kooperationspartnern zu teilen. Mit Cloud-Plattformen erhalten Entwickler die nötige Flexibilität, um DevOps und Infrastructure-as-a-Code voranzutreiben, die Plattform mit wenigen Klicks an Marktanforderungen anzupassen und die Customer Journey zu verbessern. Doch die Vielfalt, die die Cloud bietet, ist auch mit einer Vielfalt an Risiken verbunden. So sind vor allem Kundeninformationen und sensible Daten, die in der Cloud verwaltet werden, zu einem Hauptziel der Cyberkriminalität geworden. Die Angreifer haben ihre Suche nach Schwachstellen längst automatisiert. Sie suchen beispielsweise nach den häufigsten Schwachstellen in der Cloud – nach Fehlkonfigurationen. Die Gründe dafür können vielfältig sein.
Fehlkonfigurationen sind heutzutage eine der häufigsten Ursachen für Cyberangriffe. Laut einer entsprechenden Untersuchung von DivvyCloud wurden bereits im Zeitraum zwischen Januar 2018 und Dezember 2019 rund 33,4 Milliarden Datensätze aufgrund von Cloud-Fehlkonfigurationen offengelegt. Es ist davon auszugehen, dass diese Zahl weiter steigen wird, denn immer mehr Unternehmen und Organisationen migrieren in die Cloud. Sie stoßen dabei auf diverse Herausforderungen, die das Risiko für Cloud-Fehlkonfigurationen erhöhen. Eine davon ist der Zeitdruck, unter dem IT-Abteilungen während der Implementierung von Cloud-Lösungen stehen. Bereits hier kann es zu Fehleinträgen oder falsch gesetzten Berechtigungen kommen. Fehlkonfigurationen in der Cloud können somit mitunter aus einem falsch gesetzten Häkchen in der Konfiguration resultieren – und in der Folge werden sensible Daten für jedermann offengelegt.
Komplexität der Anweisungen und von Cloud-Umgebungen
Deutlich komplexer wird es, wenn die Cloud-Konfigurationen verschiedener Anbieter zu einer Multi Cloud kombiniert werden. Um wirklich Sicherheit gewährleisten zu können, müssten sich Mitarbeiter mit verschiedenen Services befassen. Meist sind sie jedoch nur auf eine Lösung spezialisiert. Hinzu kommt: Wie der jeweilige Cloud-Service sicher konfiguriert werden kann, dokumentieren Anbieter zwar in den Well Architected Frameworks – sie tun dies jedoch mitunter so umfangreich, dass sich diese Anweisungen nur mit einem hohen Zeitaufwand durcharbeiten lassen.
Ein weiterer Faktor, der Fehler begünstigt, ist die Komplexität von Cloud-Umgebungen. Setup und Konfiguration können sich über mehr als 100 verschiedene Services inklusive detaillierten Autorisierungsrichtlinien erstrecken. Diese manuell zu prüfen ist nahezu unmöglich.
- Fehlkonstruktionen in der Cloud – eine kleine Typologie
- Die Krux mit den Containern
Lesen Sie mehr zum Thema
