adrian_ilie825 - Fotolia

Die größten Bedrohungen für die Sicherheit in der Cloud

Es ist ein Fehler, sich bei der Sicherheit der Daten in der Cloud nur auf den Anbieter zu verlassen. Unternehmen sind gut beraten, sich selbst ebenfalls um dieses Thema zu kümmern.

„The treacherous 12” ist eine detaillierte Studie zu den größten Bedrohungen für die Sicherheit in der Cloud. Sie wurde Ende 2017 von der Cloud Security Alliance (CSA) erstellt. Zu den wichtigsten Inhalten des Dokuments gehören nicht nur die Auswertung einer Umfrage unter Branchenexperten, sondern auch eine umfangreiche Analyse der Risiken, die alle Unternehmen betreffen, die Daten in der Cloud speichern.

Zu den bemerkenswerten Ergebnissen der Studie zählt die Erkenntnis, dass die Bedrohungen für die Sicherheit in der Cloud doch sehr stark den Risiken ähneln, die auftreten, wenn Daten an traditionellen Orten, sprich lokal im Unternehmen, gespeichert werden sollen. Das liegt daran, dass sich natürlich auch die Daten in der Cloud irgendwo in einem Rechenzentrum befinden und dass sie von dort mit denselben Methoden gestohlen werden können, die Hacker auch früher schon verwendet haben. Dazu gehören das Phishing per E-Mail, das Ausnutzen schwacher Passwörter und Zugangsdaten sowie die nur selten eingesetzte Multifaktor-Authentifizierung zum Schutz von Zugängen.

Dabei scheinen viele der befragten Spezialisten trotzdem der Ansicht zu sein, dass beim Speichern von Daten in der Cloud das Thema Sicherheit komplett an andere übertragen wird. Das trifft insbesondere zu, wenn es dabei um den Bereich Infrastructure as a Service (IaaS) geht. Man könnte das vergleichen mit dem Kindermotto, „was ich nicht sehe, sieht mich auch nicht“. Das Gegenteil ist jedoch der Fall.

Auch bei der Nutzung von Cloud-Diensten müssen sich Unternehmen um die Applikationen und die darin gespeicherten Daten sorgen. Sicherheit ist in Cloud-Umgebungen ein Thema, für das beide Seiten – sowohl der Anbieter als auch der Kunde – verantwortlich sind, auch wenn sich der Provider allein um die zugrunde liegende Infrastruktur kümmert.

Die Top-Gefahren für die Cloud Security

Zu den wichtigsten Bedrohungen, die im Bericht „The treacherous 12” beschrieben werden, zählen Gefahren durch Insider, das Risiko, Daten zu verlieren und mangelnde Sorgfalt beim Umgang mit Daten. Das zeigt, wie wenig ernst viele Unternehmen die Nutzung und das Management der von ihnen eingesetzten Cloud-Dienste nehmen.

So gibt es viele Fälle, in denen zum Beispiel einzelne Fachabteilungen Cloud-Dienste nutzen, um als allzu restriktiv eingeschätzte Vorgaben der IT-Abteilung zu umgehen. In Wahrheit versucht das IT-Team jedoch nur, die Daten zu schützen. Man mag in diesem Fall annehmen, dass ein Unternehmen agiler wird, wenn die störenden Vorgaben der IT ignoriert und selbsttätig Cloud-Dienste gebucht werden. Tatsache ist jedoch, dass dabei wesentliche Restriktionen ausgehebelt werden, die das Risiko eines Datenverlusts oder -diebstahls reduzieren sollen.

Es gibt viele SaaS-Anbieter (Software as a Service), die mit einem ausgefeilten Marketing bestimmte Tools und Services anpreisen, die den Kunden einen positiven Return on Invest (ROI) versprechen. Es ist jedoch erstaunlich, wie wenig dabei auf die eigentlich gebotenen Sorgfaltspflichten eingegangen wird.

Wenn ein Unternehmen zum Beispiel seine Personaldaten an einen kleinen SaaS-Anbieter überträgt, sollte es dabei beim Thema Sicherheit größte Sorgfalt anwenden. Es kann nämlich durchaus sein, dass dieser Provider nur einen Bruchteil des Aufwands für Sicherheit betreibt, den viele Unternehmen für nötig erachten. Aus diesem Grund ist der Anbieter eventuell sogar ein sehr attraktives Ziel für Hacker, die an die bei ihm gespeicherten Daten wollen. So kann es leicht sein, dass die wichtigen Geschäftsdaten eines Unternehmens nicht aus der eigenen, besser abgesicherten Infrastruktur, sondern beim Cloud-Anbieter gestohlen werden.

Immer wieder kommt es auch vor, dass sich Unternehmen zu sehr auf die Backups ihres Cloud-Anbieters verlassen, um ihre Daten vor Verlust zu schützen. Das Speichern kritischer Daten in einem fremden Netzwerk ist jedoch immer ein großes Risiko, da es auch hier zu Attacken durch Insider kommen kann. Außerdem wurden die Mitarbeiter des Cloud-Anbieters möglicherweise nicht so gründlich auf ihre Eignung, Verlässlichkeit und andere Risiken geprüft, wie es viele Unternehmen selbst machen.

Unterm Strich zeigt der Bericht der Cloud Security Alliance die wesentlichen Gefahren für die Cloud und die darin gespeicherten Daten. Sie unterscheiden sich aber gar nicht so stark von den Risiken, denen Daten auch an anderen Stellen ausgesetzt sind. Er belegt allerdings, wie wichtig es ist, dass auch alle Daten, die Unternehmen einem Cloud-Provider anvertrauen, mit derselben Sorgfalt behandelt und geschützt werden wie Informationen, die nur On-Premises gesichert werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook

Nächste Schritte

Den Zugriff auf Cloud-Dienste absichern

Risiko Webanwendungen in der Cloud

Mandantenfähige Cloud-Umgebungen und die Risiken

Erfahren Sie mehr über Cloud-Sicherheit