Wie sicher ist die Public Cloud?

Auch in diesem Jahr wurden Unternehmen wieder fleißig danach befragt, wie sie es denn mit der Cloud halten. Die zahlreichen Studien offenbarten einen neuen und einen alten Trend. Neu ist, dass deutsche Unternehmen nicht länger als Cloud Muffel dargestellt werden. Die Akzeptanz für die Public Cloud, gerne auch in hybrider Form oder gar als Multi Cloud, wächst auch hierzulande. Die häufigste Antwort auf die Frage nach dem größten Hemmschuh war allerdings ein alter Bekannter: Sicherheitsbedenken stehen nach wie vor an erster Stelle.  

Gefühlte oder reale Unsicherheit?

Laut Wikipedia bezeichnen wir einen Zustand als sicher, wenn er frei von unvertretbaren Risiken ist. Das heißt, dass man vielerorts die Risiken für die eigenen Daten in der Cloud immer noch als unvertretbar hoch ansieht. Doch worauf beruht diese Einschätzung? Sicherheit hat immer zwei Seiten; eine objektive, die auf Statistiken und anderen Daten beruht und eine subjektive, also die gefühlte Sicherheit. Nicht immer stimmen beide Seiten überein.

Mehr Angriffe auf das eigene Rechenzentrum und die Hybrid Cloud

Der Security Dienstleister Alert Logic überwacht die IT-Infrastrukturen seiner Kunden in deren Rechenzentren und in der Cloud. Für den aktuellen Cloud Security Report haben sie mehr als zwei Millionen sicherheitsrelevanter Ereignisse für beide Standorte miteinander verglichen. Das Ergebnis: Im Mittel wurden für jeden Kunden in seinem eigenen Rechenzentrum 51 Prozent mehr Sicherheitsvorfälle registriert als in der Public Cloud. Dieses Ergebnis überrascht schon allein deshalb, weil im selben Report Webanwendungen als häufigstes Angriffsziel identifiziert wurden. Und es sind vor allem Webanwendungen, die bevorzugt in der Cloud betrieben werden. Die meisten Sicherheitsvorfälle wurden allerdings in Hybrid Cloud Infrastrukturen gemessen, für die Unternehmen ihre eigenen Systeme mit Applikationen in der Cloud verbinden. Mit durchschnittlich 977 registrierten Ereignissen in 18 Monaten war die Rate hier mehr als doppelt so hoch als in der nicht hybrid genutzten Public Cloud. Das lässt aufhorchen. Schließlich wird die Hybrid Cloud von den meisten Studien aus diesem Jahr als die bevorzugte Lösung beschrieben. Sie vereine das Beste aus beiden Welten: die vermeintliche Sicherheit des eigenen Standortes und die Flexibilität der Cloud. Die Daten des Cloud Security Reports deuten darauf hin, dass private und hybride Cloud Infrastrukturen zwar als sichererer wahrgenommen werden, in der Praxis aber nicht unbedingt auch sicherer sind. Verleitet die gefühlt höhere Sicherheit dazu, Sicherheitsrisiken zu übersehen?

Was macht eine Public Cloud sicherer und eine Hybrid Cloud unsicherer?

Für ihre Applikationen in der Public Cloud nutzen Unternehmen in der Regel keine einzelnen Cloudserver, sondern sogenannte Virtual Private Clouds. In der Dunkel Cloud nennen wir das Virtual Data Center (VDC). Die Applikationen werden auf Netzwerkebene logisch voneinander getrennt. Kunden können für jede Anwendung ein eigenes Virtual Data Center konfigurieren oder auch über eine dedizierte Firewall ihr VDC noch weiter segmentieren. Sollte ein Angreifer eine Schwachstelle ausnutzen können, wird auf diese Weise ein lateraler Zugriff auf noch weitere Anwendungen verhindert. Ein möglicher Schaden bleibt somit begrenzt. Im Gegensatz dazu bieten die Unternehmensnetzwerke mit ihren heterogenen Systemen, den zahlreichen Arbeitsplätzen und Endgeräten wesentlich mehr Angriffsfläche und vor allem auch mehr Möglichkeiten, auf Nebenwegen zu den eigentlichen Zielsystemen zu gelangen. Offensichtlich vereinen Hybrid Cloud Umgebungen nicht nur das Beste aus beiden Welten, sondern auch die jeweiligen Sicherheitsrisiken. Durch die Anbindung des Firmennetzes können sich auch für die Applikationen in der Cloud neue Angriffsmöglichkeiten ergeben. Außerdem besteht die Gefahr, dass das Sicherheitsmanagement für die Cloud-Systeme nicht eindeutig geregelt ist. Zu unserer eigenen Überraschung sehen immer noch viele Unternehmen allein den Cloud Provider in der Verantwortung für den Schutz ihrer Daten. Dabei gilt gerade für Infrastruktur-Services, bei denen der Provider Speicher- und Rechenkapazitäten und vielleicht noch ein paar Netzwerkfunktionen zur Verfügung stellt, das Prinzip der geteilten Verantwortung (shared responsibility).

Wer sorgt für die Sicherheit in der Cloud?

Spektakuläre Datenpannen tragen immer wieder dazu bei, dass die Public Cloud als unsicher wahrgenommen wird. Doch wenn ein Unternehmen wie Accenture nicht nur Kundendaten unverschlüsselt auf ungesicherten Servern in der Amazon Cloud speichert, sondern auch noch den Master Key, mit dem die verschlüsselt gespeicherten Daten entschlüsselt werden können, dann hat nicht der Cloud Provider versagt, sondern das Sicherheitsmanagement des Kunden. Auch wenn Alert Logic für Public Cloud Systeme die geringste Anzahl sicherheitsrelevanter Ereignisse registriert hat, heißt das nicht, dass die Public Cloud per se sicher ist. Schließlich ist nicht die Anzahl der Angriffsversuche entscheidend, sondern es sind die Angriffe und Schwachstellen, die zum Erfolg führen und die Systeme kompromittieren. Deshalb müssen Daten und Anwendungen in der Public Cloud genauso vor ungewollten Zugriffen geschützt werden wie im eigenen Rechenzentrum. Das gilt im besonderen Maße für Webanwendungen. Diese sind auch noch dann Angriffsziel Nummer 1, wenn sie sich in einem Virtual Data Center in einem privaten virtuellen LAN hinter einer Firewall befinden. Schwachstellen in der Datenbank, Sicherheitslücken im Betriebssystem oder schlecht verwaltete Zugriffsrechte machen sie immer noch angreifbar. Ein Sicherheitskonzept, dass sowohl alle notwenigen Maßnahmen als auch die Zuständigkeiten auf beiden Seiten – beim Cloud Provider und beim Kunden – genau definiert, minimiert nicht nur die Risiken, sondern hilft auch, Missverständnisse zu vermeiden. Denn die Verantwortung des Cloud Providers endet normalerweise dort, wo der Kunde über seinen administrativen Zugang selbst konfigurierend eingreifen kann. Bei Infrastruktur-Diensten sind das die virtuellen Maschinen oder auch das virtuelle Datacenter. Das bedeutet, dass der Kunde für den Schutz der Daten, Betriebssysteme und Anwendungen selbst verantwortlich ist. Wer dabei Unterstützung braucht, findet sie zum Beispiel bei einem Managed Cloud Provider. Mit ergänzenden Services, vom Patch Management über IPS und Web Application Firewall bis zu sicheren Authentifizierungslösungen können meist sehr individuelle Sicherheitspakete geschnürt werden.

Fazit

Die Datenlage spricht dafür, dass auch Public Cloud Infrastrukturen sehr sicher genutzt werden können. Allerdings braucht man wie bei jeder anderen IT-Technologie auch für die Cloud das passende Know-how, um seine Daten und Anwendungen optimal schützen zu können. Aber gilt das nicht auch für jeden, aus dem Internet erreichbaren Server im eigenen Rechenzentrum?