Noch vor ein paar Jahren standen deutsche Unternehmen der Cloud eher skeptisch gegenüber. Vor allem Sicherheitsbedenken galten als größtes Hindernis. Mittlerweile hat sich diese Einstellung gedreht. Viele Unternehmen halten die Cloud heute sogar für besonders sicher. Wie so oft liegt die Wahrheit in der Mitte. Denn anders als mancher meint, ist auch die Cloud kein Rundum-Sorglos-Paket.
Noch vor ein paar Jahren standen deutsche Unternehmen der Cloud eher skeptisch gegenüber. Vor allem Sicherheitsbedenken galten als größtes Hindernis. Mittlerweile hat sich diese Einstellung gedreht. Viele Unternehmen halten die Cloud heute sogar für besonders sicher. Wie so oft liegt die Wahrheit in der Mitte. Denn anders als mancher meint, ist auch die Cloud kein Rundum-Sorglos-Paket.
Vielmehr gilt das Prinzip der geteilten Verantwortung. Je nach gewähltem Modell sind Kunden für bestimmte Sicherheitsthemen selbst zuständig. Wer das nicht weiß, gefährdet seine Daten. Der erste Schritt zu einer sicheren Cloud-Nutzung besteht also darin, das Shared-Responsibility-Modell zu verstehen.
Hier hilft die Pizza-Analogie: Wenn Sie eine Pizza essen möchten, haben Sie verschiedene Möglichkeiten: Sie können sie selbst backen, beim Lieferservice bestellen oder im Restaurant essen. Entscheiden Sie sich für die hausgemachte Variante, sind Sie für alles selbst verantwortlich: den Pizzateig, den Belag, den Ofen, den Esstisch sowie Teller und Besteck. Bringt der Lieferdienst die Pizza, müssen Sie sich nur noch um Tisch und Gedeck kümmern.
Im Restaurant haben Sie sogar den Rundum-Service. Ähnlich verhält es sich mit den verschiedenen Cloud-Modellen. Bei Software as a Service (SaaS) liegt die Verantwortung für die Sicherheit hauptsächlich beim Anbieter. Dies entspräche sozusagen der Pizza im Restaurant. Wenn Sie sich für Platform as a Service (PaaS)- oder Infrastructure as a Service (IaaS) entscheiden, übernehmen Sie mehr Eigenverantwortung. Oder Sie betreiben Ihre Dienste komplett On-Premises – das entspricht der hausgemachten Pizza.
Wie die Verantwortlichkeiten im Shared-Responsibility-Modell aufgeteilt sind, haben die Cloud-Provider wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud für ihre Kunden dokumentiert. Bei IaaS und PaaS kümmert sich der Cloud-Anbieter in der Regel um die Absicherung der Cloud-Infrastruktur, also seiner Server, Datenbanken und weiteren Hardware. Der Anwender ist dagegen neben Zugriffen und Berechtigungen auch für den Schutz seiner Daten und anderer Komponenten zuständig.
Cloud-Architekturen Stein für Stein sicher aufbauen
Wenn sich Unternehmen für ein Cloud-Modell entschieden haben, müssen sie die Dienste auf der gewählten Infrastruktur oder Plattform im nächsten Schritt auch sicher aufbauen. Hier kommt das Thema Cloud-Architektur ins Spiel. Die großen Cloud-Anbieter haben hierfür Best-Practice-Frameworks veröffentlicht. Das ist ein bisschen wie beim Legospielen: Die Frameworks sind sozusagen die Anleitungen in der Lego-Packung.
Kunden können selbst entscheiden, ob sie diesen folgen oder lieber frei bauen möchten. Beides kann tolle Ergebnisse liefern. Wer ohne Anleitung baut, sollte jedoch bedenken, dass jeder Stein im Fundament früher oder später die Integrität der gesamten Konstruktion auf die eine oder andere Weise beeinflussen wird. Daher ist es von entscheidender Bedeutung, jedes Teil zu kennen und seine Auswirkungen zu verstehen.
Ein Beispiel: Amazon empfiehlt in seinem Well Architected Framework, die Elastic Block Store (EBS) Volumes vollständig zu verschlüsseln – auch im Ruhezustand. Viele Anwender gehen davon aus, dass dies automatisch passiert. Tatsächlich muss die Verschlüsselung auf den EBS Volumes im Ruhezustand jedoch selbst aktiviert werden.
Amazon ermöglicht das ganz einfach: Man muss nur die richtige Checkbox anwählen. Viele Kunden sind sich dessen aber offenbar nicht bewusst, denn fehlende Verschlüsselung zählt zu den häufigsten, gravierenden Konfigurationsfehlern, die die Sicherheitsforscher von Trend Micro bei anonymisierte Backend-Datenauswertungen feststellen.
Fehlkonfigurationen sind das größte Risiko
Gartner geht davon aus, dass bis im Jahr 2025 mindestens 99 Prozent aller Sicherheitsvorfälle in der Cloud von Anwendern selbst verursacht werden. Fehlkonfigurationen sind also das größte Sicherheitsrisiko in der Cloud. Um sie zu vermeiden, sollten sich Unternehmen genug Zeit für eine sorgfältige Planung und Absicherung nehmen.
Dazu gehört das Bewusstsein über die eigenen Verantwortlichkeiten (wie beim Pizzaessen) und die genaue Kenntnis, worauf man beim Aufbau von Cloud-Architekturen achten muss (wie beim Legobauen). Eine Lösung für Cloud Security Posture Management bietet dabei wertvolle Unterstützung, indem sie Fehlkonfigurationen automatisiert aufspürt und hilft, sie zu beheben. So sorgen Sie kontinuierlich für Sicherheit, auch wenn es einmal schnell gehen muss.