Sicherheit in der Public Cloud
Das Prinzip der geteilten Verantwortung
Spätestens mit Corona hat die Nutzung von Cloud-Diensten einen gewaltigen Schub erfahren, auch in KMU. Ein wesentlicher Punkt wird dabei aber oft übersehen: Die Absicherung der Cloud obliegt nicht nur dem entsprechenden Cloud-Anbieter, sondern ebenso dem Nutzer der Cloud.
Auf die Cloud können und möchten die meisten Unternehmen nicht mehr verzichten, doch Sorgen bereitet ihnen oft das Thema Sicherheit. Es rückt vor allem immer dann in den Fokus, wenn sich Angreifer Zugriff auf Fotos von Prominenten verschaffen oder im großen Stil Passwörter oder Kontodaten stehlen, worüber dann auch die Massenmedien berichten. Dabei gibt es bei der Absicherung der Cloud durchaus verschiedene Perspektiven zu berücksichtigen. Denn es geht nicht nur um den Schutz der bereitgestellten Infrastruktur, für die der Cloud-Anbieter verantwortlich zeichnet, sondern auch um die Konfiguration und Nutzung der Dienste, die der Kunde kontrolliert. Man spricht daher von einem Shared-Responsibility-Modell, also einem Prinzip der geteilten Verantwortung von Cloud-Anbieter und -Anwender.
Sicherheit der Cloud selbst…
Kaum eine andere Branche steht so sehr im Fokus von Cyberkriminellen wie die der Public-Cloud-Provider. Allein durch ihre Größe stellen sie für Angreifer ein lukratives Ziel dar, bei dem sich viele Daten erbeuten lassen. Daher sind die Sicherheitsmaßnahmen der großen Provider besonders strikt – etwas, das auch von den global agierenden Unternehmen, die zu ihren Kunden zählen, eingefordert wird.
Cloud-Anbieter erfüllen die höchsten Sicherheitsstandards. Das beginnt bei der physischen Sicherheit der Rechenzentren, die mit modernsten Verfahren und oft sogar mit Panzersperren ausgestattet sind. Die Möglichkeit, dass ein Einbrecher hier das Back-up der Daten stiehlt, ist nahezu ausgeschlossen. Auch gegen kleine und große Katastrophen wie Stromausfälle, Brände oder Unwetter sind die Rechenzentren in der Regel perfekt gewappnet. Ebenso haben die Public-Cloud-Anbieter weitreichende Maßnahmen gegen Cyber-Angriffe getroffen. Zumindest theoretisch stellt auch die gemeinsame Nutzung der zugrundeliegenden Hardware-Ressourcen ein Risiko dar, sollte es gelingen, über die Virtualisierungsschicht auf fremde Anwendungen und Daten zuzugreifen. 2018 wurden in diesem Zusammenhang zwei Methoden entdeckt, über die auf andere virtuelle Server auf demselben physischen Server zugegriffen werden konnte. Tatsächlich sind bislang aber keine Fälle bekannt, in denen diese Lücken tatsächlich ausgenutzt wurden. Wer trotzdem eine zusätzliche Absicherung anstrebt, kann aber auch in der Public Cloud dedizierte Hosts anmieten.
...und bei der Nutzung
Bei den bekannten Sicherheitsvorfällen, bei denen Fotos, Passwörter oder Kontodaten aus der Cloud gestohlen wurden, handelte es sich nicht um komplexe Hacking-Angriffe. Sie waren vergleichsweise leicht durchzuführen, weil die größte Schwachstelle im System genutzt wurde: die Sorglosigkeit der Nutzer. In allen bisher aufgetretenen Fällen konnten Passwörter leicht erraten oder entwendet werden. Die Verantwortung dafür liegt bei den Nutzern selbst und nicht beim Cloud-Provider, dementsprechend ist die Gefahrenabwehr an dieser Stelle ihre Aufgabe. Ihr Verantwortungsbereich umfasst unter anderem die Einhaltung von Passwort-Best-Practices, die Identitäts- und Zugriffsverwaltung, die korrekte Verwaltung der Plattform und selbstverständlich die Sicherheit der selbst entwickelten Applikationen. Auch die Verschlüsselung der Daten während der Übertragung und am Speicherort muss vom Anwender durchgeführt werden. Letzteres ist vor allem deshalb wichtig, da nach wie vor große Rechtsunsicherheit besteht, was die Vereinbarkeit europäischer und amerikanischer Datenschutzbestimmungen angeht und den Zugriff von US-Behörden auf in Europa gespeicherte Daten.
- Das Prinzip der geteilten Verantwortung
- Eine helfende Hand für die Anwender
Lesen Sie mehr zum Thema
