Cloud (Un)sicherheit – dem Tiger ein Gesicht geben

Bild: AppStock/Shutterstock

Bild: AppStock/Shutterstock

„Menschen haben viel mehr Angst vor Unsicherheit als vor Schaden“, sagt der Risikoforscher Ortwin Renn in einem Interview mit Zeit online. Er meint damit die Angst vor diffusen Gefahren, denen man vermeintlich hilflos ausgeliefert ist. Erst wenn wir eine konkrete Gefahr erkennen und das Risiko einschätzen können, sind wir in der Lage entsprechend zu handeln. „Aber solange wir den Tiger nicht sehen, ist die Aufmerksamkeit erhöht, ohne dass wir reagieren können.“

Unsicherheit spielt auch eine große Rolle bei den Vorbehalten, die viele Firmen immer noch gegenüber der Cloud haben. Dabei sind „deutsche Unternehmen startklar für die Cloud“, wie die Computerwoche nach einer Befragung von fast 700 Entscheidern für die „Cloud Readiness 2015“ Studie vermeldet. Was die Firmen heute in die Cloud treibt, ist nicht mehr primär der Wunsch nach Kostenreduktion, sondern es sind die wachsenden Kundenanforderungen, dicht gefolgt von der Innovationsgeschwindigkeit und der Digitalisierung des Unternehmens. Das hat eine repräsentative Marktstudie von Crisp Research ergeben.

Trotz des wachsenden Drucks, die Vorteile der Cloud für das eigene Geschäft zu nutzen, sind Sicherheitsbedenken nach wie vor das größte Cloud-Hemmnis, wie beide Studien bestätigen. Mag sein, dass man das eigene Haus für den sichersten Ort für seine Daten und Anwendungen hält, weil man meint, hier die möglichen Gefahren besser erkennen und bekämpfen zu können. Dass der Schein auch trügen kann, zeigt die aktuelle „Security Bilanz Deutschland“ von Techconsult, die bei der Hälfte der befragten mittelständischen Firmen und Behörden „dringenden Handlungsbedarf in puncto IT- und Informationssicherheit“ sieht. Dagegen wird die Cloud oft als Synonym für Unsicherheit und Kontrollverlust wahrgenommen. Das Risiko für Angriffe und Datenverlust erscheint größer und die eigenen Möglichkeiten zum Schutz der Daten geringer zu sein.

Alert Logic Cloud Security Report 2015

Wenn man den Unternehmen ihre Ängste im Zusammenhang mit der Cloud nehmen möchte, sollte man „dem Tiger ein Gesicht geben“, also die Gefahren konkretisieren, die Risiken analysieren und Möglichkeiten zum Schutz aufzeigen. Genau das versucht der Cloud Security Report 2015 von Alert Logic. Dafür wurden an die 800.000 Sicherheitsvorfälle unterschiedlicher Schwere analysiert und Angriffe auf IT-Infrastrukturen in den unternehmenseigenen Rechenzentren mit denen auf in der Cloud gemieteten Infrastrukturen verglichen.

Die Anzahl der Cloud-Angriffe nahm gegenüber dem Vorjahr deutlich zu. Das ist keine große Überraschung, da auch immer mehr Unternehmen für ihre Anwendungen Public Cloud Infrastrukturen nutzen. Hacker folgen der Beute und wenn diese mehr und mehr in der Cloud zu finden ist, erhöhen sie dort den Druck. Das heißt aber nicht, dass Angriffe auf Infrastrukturen innerhalb der Unternehmen weniger werden. Trotz vermehrter Cloud-Nutzung blieb hier die Angriffshäufigkeit konstant.

Kunden-Interaktion schlägt Standort

Interessant wurden die Ergebnisse, als Alert Logic die Angriffsszenarien für verschiedene Branchen miteinander verglich. Hier zeigte sich, dass das Risiko für bestimmte Angriffe nicht vom Standort der IT-Infrastruktur abhängt, sondern davon, wie die Firmen mit ihren Kunden interagieren. Unternehmen mit einer starken Online-Präsenz und einem intensiven Kundenkontakt über das Internet, haben es vor allem mit Angriffen auf Applikationen zu tun und zwar unabhängig davon, ob sich die Anwendung in der Cloud oder im eigenen Rechenzentrum befindet. Angreifer versuchen über Schwachstellen in den Web Applikationen an lukrative Kunden- oder Bankdaten zu kommen. Besonders betroffen waren Unternehmen aus den Branchen Transport und kommunale Dienstleistungen, Immobilien, Computer Services und Einzelhandel.

Firmen, die online weniger aktiv sind und auf anderen Wegen mit ihren Kunden kommunizieren (z.B. Bergbau, Öl und Landwirtschaft), sehen sich vor allem mit traditionellen Angriffsformen wie Trojaner oder Brute-Force-Techniken konfrontiert. Aber auch Unternehmen aus dem Finanz- und Gesundheitsbereich waren stark von Brute-Force-Angriffen betroffen. Hacker suchen auf diese Weise nach Schwachstellen, um in das Netzwerk und an Nutzerdaten zu kommen. Haben sie erst einmal Zugang zu internen Business Applikationen, können sie nicht selten unbemerkt über Wochen und Monate sensible Daten abfischen.

Erstes Fazit

Die Ergebnisse von Alert Logic zeigen, dass es nicht so sehr darauf ankommt, ob sich die IT-Infrastruktur in der Cloud oder im eigenen Rechenzentrum befindet, sondern darauf, dass die Unternehmen ihre Schwachstellen und die bevorzugten Einfallstore der Hacker kennen, um  ihre Schutz- und Monitoring-Maßnahmen darauf abstimmen zu können.

Shared Responsibility – Wer ist für die Sicherheit in der Cloud verantwortlich?

Die Alert Logic Studie verschweigt nicht, dass Hacker durchaus in der Cloud leichtere Beute wittern. Sie spekulieren dabei auf das noch weit verbreitete Missverständnis, dass in der Cloud allein der Provider für die Sicherheit zuständig ist. Gefordert ist hier ein besseres Verständnis der „shared responsibility“, also der geteilten Verantwortung für den Schutz von Applikationen und der zugrunde liegenden Infrastruktur. Während der Cloud Provider für die Sicherheit der physischen Infrastruktur, des Netzwerkes und der Virtualisierungsebene sorgen muss, liegt die Verantwortung für den Schutz der Betriebssysteme, der Daten und Applikationen und des eigenen Netzwerkes beim Kunden. Wenn Sicherheitslücken in den Web Applikationen des Kunden potenziellen Angreifern Tür und Tor öffnen, kann sie auch eine perfekt geschützte Cloud-Infrastruktur im Hochsicherheitsrechenzentrum nicht aufhalten. Die Ergebnisse einer Untersuchung von Crisp Research sprechen leider dafür, dass die Hacker mit ihrer Strategie Erfolg haben könnten. Mehr als die Hälfte der befragten Mittelständler sahen den Cloud Provider in der Pflicht, auch für den Schutz ihrer Applikationen und Systeme zu sorgen.

Unternehmen, die nicht selbst über das nötige IT-Security Know-how verfügen, sind gut beraten, sich einen Cloud Provider zu suchen, der nicht nur Infrastrukturen als Service, sondern auch Security Services anbieten kann, die an den individuellen Schutzbedarf angepasst werden können. Dazu gehört zum Beispiel eine moderne Web Application Firewall, die verhindert, dass Schwachstellen in den Webanwendungen für Angriffe ausgenutzt werden können. Für andere Kunden mag es wiederum wichtiger sein, dass ihre Systeme durch eine dedizierte Netzwerk-Firewall mit Intrusion Protection auch vor komplexen Angriffstechniken geschützt sind.

Zweites Fazit

Wenn die richtigen Schutzmaßnahmen implementiert und die Verantwortung für die Sicherheit auf allen Ebenen geklärt ist, können Anwendungen in der Cloud sogar besser geschützt sein, als im Rechenzentrum des Unternehmens.