Die rasche Einführung von Cloud-Computing-Diensten hat Unternehmen ein falsches Gefühl der Sicherheit in Bezug auf den Schutz ihrer Daten vermittelt.

Die Cloud hat es Unternehmen ermöglicht, globalisierte Operationen in Geschwindigkeiten zu starten und zu skalieren, die einst als unvorstellbar galten, indem sie die Investition in Ressourcen begrenzen, die globale Kommunikation verbessern und alles von Computing-Diensten bis hin zu voll funktionsfähigen Anwendungen als Dienstleistung bereitstellen. Infolge dieser technologischen Explosion haben sich neue Online-Bedrohungen vervielfacht, die die Entwicklung der notwendigen Sicherheitslösungen übertreffen, um ihnen entgegenzuwirken.

Neue Bedrohungen und das Aufkommen des Cloud-Computing

Nach dem Aufkommen von „Web 2.0“ in den mittleren 2000er Jahren gaben Cloud-Computing und die Kraft der Virtualisierung allem Vorstellbaren „als Dienstleistung“ den Anstoß. Dies umfasste alles von Rohressourcen (IaaS) bis hin zu voll funktionsfähigen, cloud-nativen Anwendungen, die als Cloud-Dienst (SaaS) bereitgestellt werden.

Natürlich tauchten neue Anbieter von Sicherheitslösungen auf, und bestehende mussten sich anpassen. Daten haben sich von On-Premises-Lösungen in die Cloud verlagert, was neue Governance- und Schutzlösungen erfordert. Die Infrastruktur wird von Dienstanbietern verwaltet, was von beiden Parteien eine sorgfältige Prüfung erfordert. Cloud-native Anwendungen erfordern neue Arten von Firewalls und Sicherheitsrichtlinienkonfigurationen.

Die Liste geht weiter. Infolgedessen wächst der Markt für Cloud-Cybersicherheit rasant. Im Jahr 2016 wurde die Größe des Cloud-Sicherheits-Marktes laut Grand View Research auf weniger als 5 Milliarden US-Dollar geschätzt. Bis 2022 wird diese Zahl laut MarketWatch voraussichtlich 13 Milliarden US-Dollar erreichen.

Im Jahr 2018 erlebte das durchschnittliche Unternehmensunternehmen laut McAfee mehr als 30 cloudbezogene Sicherheitsbedrohungen pro Monat, ein Anstieg von 27,7 % gegenüber dem Vorjahr. Dazu gehören Bedrohungen durch Dritte, Insider-Bedrohungen und privilegierte Benutzer.

Risiken des Cloud-Computing

Zugangskontrolle und Insider-Bedrohungen

Cloud-basierte Zugangskontrolle bezieht sich auf die Verwaltung von Benutzern, die autorisiert sind, cloudbasierte Systeme und Daten aus der Ferne zuzugreifen. Dies ist zu einem enormen Problem geworden, da cloudbasierte Dienste global betrieben und abgerufen werden. Infolgedessen müssen Unternehmen verfolgen, wer auf welche Informationen zugreift, Benutzeridentitäten und -berechtigungen verwalten und verdächtige Aktivitäten überwachen. Erfolgreiche Zugangskontrolloperationen müssen Lösungen kombinieren, die sich auf Authentifizierung und Identitätsmanagement konzentrieren.

Unternehmen, die Cloud-Dienste nutzen, müssen den Zugang zu Informationen, die in der Cloud gespeichert sind, konsequent verwalten, insbesondere wenn diese Informationen als sensibel gelten. Sensible Daten müssen verschlüsselt werden, und kryptografische Schlüssel sollten sicher gespeichert werden, während Verschlüsselungsschlüssel rotiert werden.

Sie müssen das Lebenszyklusmanagement autorisierter Benutzer handhaben. Software für privilegiertes Zugriffsmanagement hilft, Berechtigungen für bestimmte Systeme an genehmigte Parteien zu vergeben. Umgekehrt müssen Identitäten nach Beendigung des Zugangs, verdächtigen Verhaltens oder Sicherheitsvorfällen entzogen werden.

Während Sicherheitsschlüssel und Zugangsmanagement offensichtlich erscheinen mögen, kann es leicht passieren, dass Einzelpersonen Daten falsch kennzeichnen oder vergessen, Informationen zu schützen. So hat Facebook im August Millionen von Telefonnummern geleakt. Das Unternehmen ließ Dateien mit sensiblen Daten auf einem Server, der nicht passwortgeschützt war, geschweige denn verschlüsselt. Die Anforderung von Multi-Faktor-Authentifizierung für die Mehrheit der Zugangspunkte ist eine einfache Lösung; jedoch ist dies möglicherweise nicht für jeden ideal.

Fehlkonfigurationen und Datenverletzungen

Der jüngste Facebook-Vorfall war wahrscheinlich das Ergebnis alter Server, die falsch verwaltet und vergessen wurden. Viele größere Datenverletzungen resultieren jedoch aus der Fehlkonfiguration von Sicherheitsmechanismen. Hacker und andere Cyberkriminelle nutzen diese Fehlkonfigurationen, um ihre Privilegien zu eskalieren und auf sensible Daten und private Informationen zuzugreifen.

Genau das passierte im Juli 2019 bei Capital One. Ein ehemaliger AWS-Mitarbeiter nutzte eine falsch konfigurierte Webanwendungs-Firewall aus, um eine Privilegieneskalation zu erreichen. Infolgedessen wurden sensible Informationen zu mehr als 100 Millionen Menschen in den Vereinigten Staaten und etwa 6 Millionen Kanadiern veröffentlicht.

Anfang dieses Jahres interviewte McAfee 1.000 Unternehmen zu Fehlkonfigurationen. Sie stellten fest, dass 99 % der Fehlkonfigurationen unbemerkt bleiben. Trotz der Berichterstattung von Unternehmen über durchschnittlich 37 Fehlkonfigurationsvorfälle pro Monat, deuten die realen Daten von McAfee darauf hin, dass die Zahl näher bei 3.500 Vorfällen pro Monat liegt.

Während die Verantwortung letztendlich bei den Nutzern von Cloud-Diensten liegt, ist die Sicherstellung einer ordnungsgemäßen Konfiguration mit Lösungen wie Netzwerksicherheitsrichtlinienmanagement und allgemeiner Konfigurationsmanagement-Software möglich. Viele davon sind cloud-nativ und darauf ausgelegt, häufige Fehlkonfigurationen zu identifizieren und strenge Cloud-Sicherheitsrichtlinien durchzusetzen.

Integrationen und API-Sicherheit

Cloud-Dienstanbieter liefern ihren Kunden in der Regel Anwendungsprogrammierschnittstellen (APIs) zur Verwaltung und Interaktion mit ihren Diensten. Ohne diese könnten ihre Kunden keine Cloud-Dienste nutzen, verwalten oder überwachen. Sie könnten auch eine softwarebasierte Schnittstelle für denselben Zweck verwenden.

Diese APIs können öffentlich zugänglich sein und IP-Adressen an Parteien außerhalb des sicheren Netzwerks eines Unternehmens bereitstellen. Das macht sie zu einem leicht identifizierbaren Ziel und einer wichtigen Sicherheitspriorität. Wie Software können sie Schwachstellen enthalten.

Zum Beispiel wurde im August dieses Jahres eine Schwachstelle mit dem höchstmöglichen Schweregrad in der Cisco REST API entdeckt. Der Fehler ermöglichte es Hackern, eine Reihe verschiedener Cisco-Router auszunutzen, da sie die Authentifizierung leicht umgehen und die volle Kontrolle über das Gerät erlangen konnten.

Cloud-native Anwendungsfehler

Anwendungsschwachstellen können Unternehmen einer Vielzahl von Sicherheitsbedrohungen aussetzen. Cloud-native Anwendungen bleiben anfällig für dieselben Bedrohungen wie traditionelle Anwendungen sowie für neue aufgrund der erhöhten Angriffsfläche, die der Cloud innewohnt.

Unternehmen, die Anwendungen bereitstellen, die von Drittanbieter-Infrastruktur-Anbietern betrieben werden, müssen sicherstellen, dass ihre Anwendung frei von Schwachstellen ist, ihre Verwaltungs-APIs sicher sind und Mechanismen ordnungsgemäß konfiguriert sind.

Ohne ordnungsgemäße Sicherheitsrichtlinien können Hacker Systemschwachstellen ausnutzen, um Informationen zu stehlen, Anwendungen zum Absturz zu bringen oder Geräte zu kontrollieren. Einmal kompromittiert, kann eine anfällige Anwendung vertrauliche Informationen freigeben, die darauf gespeichert oder integriert sind.

Ein weiterer aufkommender Trend im Cloud-Computing, containerbasierte Anwendungen, könnte als nächstes große Ziele werden. Glücklicherweise, wie ich letzten Monat schrieb, erweitert sich der Markt für Containersicherheit schnell und entwickelt sich weiter, um containerbezogene Probleme mit allem von KI-basierter Anomalieerkennung bis hin zu verteilter Sicherheitsrichtlinien-Durchsetzung auf Anwendungsebene anzugehen.

Kontinuierliche Compliance

Zuletzt, aber nicht zuletzt, ist die Cloud-Compliance. Sie ist eine Bedrohung sowohl für die Sicherheit eines Unternehmens als auch für seine Geldbörse – ganz zu schweigen von den Kunden, die Unternehmen vertrauen, ihre Daten zu schützen.

Laut McAfee enthalten 21 % aller Dateien in der Cloud sensible Daten. Deshalb haben Regionen, Länder und Staaten Maßnahmen ergriffen, um die Privatsphäre ihrer Bürger zu schützen. Aufgrund von Datenschutzbestimmungen für Cloud-Daten müssen sensible Daten möglicherweise in verschiedenen Gerichtsbarkeiten unterschiedlich behandelt werden.

Diese Vorschriften umfassen die Allgemeine Datenschutzverordnung (GDPR) in der Europäischen Union und das California Consumer Privacy Act (CCPA), das am 1. Januar 2020 in Kraft tritt. Verbraucherschutzgesetze im Zusammenhang mit Cloud-Daten erfordern Dinge wie Zugangskontrolle, Datenportabilität, Verschlüsselung im Ruhezustand und Kundeneinwilligung. Viele erfordern auch, dass Unternehmen die Informationen, die sie über Verbraucher gesammelt haben, auf Anfrage bereitstellen.

Glücklicherweise sind Cloud-Compliance-Lösungen darauf ausgelegt, sicherzustellen, dass alle relevanten Verbraucherschutzanforderungen erfüllt werden. Diese Produkte identifizieren Ressourcen in Cloud- und IT-Umgebungen, zentralisieren die Governance, bewerten Risiken und setzen Richtlinien durch, die mit Regierungs- und Branchenvorschriften übereinstimmen.

Datenschutz- und datenzentrierte Sicherheitslösungen haben an Popularität gewonnen. Datenschutz-Tools werden typischerweise verwendet, um die Sichtbarkeit sensibler Informationen und deren Bereitstellung für Kunden sicherzustellen. Datenzentrierte Sicherheitstools sind darauf ausgelegt, sensible Daten zu entdecken, während sie kontinuierlich Datenbanken auditieren und Ressourcen auf sensible Informationen untersuchen, die möglicherweise offengelegt werden.

Die Verwendung dieser Tools hilft Unternehmen, harte Strafen zu vermeiden, wie die 50 Millionen Euro Strafe, die Google der Europäischen Union zahlen musste, weil es die GDPR-Verpflichtungen nicht erfüllt hat. Google hätte diese Strafen vermeiden können, indem es die Verbraucher ordnungsgemäß darüber informiert hätte, wie ihre Daten verwendet werden, und mehr Transparenz über ihre Datenzustimmungsrichtlinien gegeben hätte.

Obwohl es viele Risiken im Zusammenhang mit Cloud-Computing gibt, wird es nicht verschwinden. Unternehmen sollten im Allgemeinen die Idee akzeptieren, dass die digitale Transformation in eine neue Ära des Cloud-Computing und der Verbraucherbeziehungen eingetreten ist, die von Daten, Privatsphäre und Transparenz bestimmt wird.

Geschäftsführer, die Informationen online verwalten, müssen sich kontinuierlich über aufkommende Bedrohungen und Vorschriften informieren. Wenn sie scheitern, werden sie scheitern, die Informationen ihrer Kunden zu sichern, was zu hohen Geldstrafen und schlimmer noch, dem Verlust des Vertrauens der Kunden führt.