Zunehmende Cloud-Verbreitung bringt neue Fragen über Sicherheit

Unternehmen gehen neue Risiken ein, wenn sie Cloud-basierte Dienste nutzen. Zu diesem Ergebnis kommt der Sohos 2013 Threat Report über mögliche Cloud-Bedrohungen.

Die Verbreitung von Cloud-basierten Diensten in Unternehmen dürfte 2013 weiter zunehmen. Bei den meisten Organisationen wird das zu neuen Fragen hinsichtlich Daten-Kontinuität sowie Daten-Sicherheit- und Zuverlässigkeit führen, heißt es in einer neuen Studie über mögliche Bedrohungen.

Der Sohos 2013 Threat Report weist darauf hin, dass Unternehmen neue Risiken eingehen, wenn sie Cloud-basierte Dienste einführen. Diese sollten während der Vertragsverhandlungen adressiert werden, also lange bevor Daten in das riesige Rechenzentrum eines Providers übertragen werden. In manchen Fällen vergrößert die Nutzung von Cloud-Diensten die eigene Angriffsfläche und schwächt die vorhandenen Richtlinien und Maßnahmen für Sicherheit, warnt Chester Wisniewski, Senior-Berater bei der britischen Sicherheitsfirma.

„Sprechen Sie mit den Juristen und stellen Sie sicher, dass alle Ihre Bedürfnisse erfüllt und Anforderungen klar definiert sind. Damit kennen beide Seiten ihre Verantwortung, falls es zu einem Zwischenfall kommt“, so Wisniewski. Konkret sollten Organisationen bei der Einführung von Cloud-Diensten drei Fragen klären:

1. Wie werden Informationslecks verhindert?

Dienste wie Dropbox bieten Beschäftigten die Möglichkeit, Dokumente mit Unternehmensdaten einfach zu speichern und zu teilen. Anfangs reagierten Unternehmen laut Wisniewski darauf, indem sie externe Dienste wie Dropbox ganz zu sperren versuchten. Heute arbeiten sie häufiger mit Maßnahmen wie Verschlüsselung, um auf diese Weise sicherzustellen, dass ihre sensiblen Daten nicht in falsche Hände geraten. Dabei sollte die Sicherheitstechnik zum Schutz der Daten so eingesetzt werden, dass die Bedienung einfach bleibt, rät Wisniewski. „Man muss die Daten sicher gemacht haben, bevor sie in die Cloud gehen“, sagt er.

Dabei könnten Cloud-basierte Dienste durchaus Besserung bringen, wenn die Datensicherheit in einer Organisation bislang nicht konsequent gewährleistet ist. So gebe es sichere Methoden, um Mitarbeitern mit Mobilgeräten Zugriff auf Daten zu verschaffen oder sie Systeme in der Cloud nutzen zu lassen. Beispielsweise beherrschen auch iPads, so Wisniewski, Ver- und Entschlüsselung, was eine weitere Schutz-Schicht bringen könne. „Leute aus der Finanzabteilung, Vertrieb und Marketing sollten keine Kryptografie-Genies sein müssen, um Daten zu schützen“.

2. Werden Cloud-Provider ausreichend überprüft und sind Sicherheitsstandards in Verträgen enthalten?

Gezielt agierende Angreifer wissen: Geschäftspartner, vor allem kleinere Firmen, die anderen Dienste liefern, können ein gutes Einfallstor in die Netzwerke von großen Unternehmen sein. Aus diesem Grund können Hersteller von Teilen in der Luftfahrt- und Verteidigungsbranche, Logistik-Dienstleister und Lieferanten gleichermaßen zum indirekten Ziel werden, warnt Wisniewski: „Cyberkriminelle erkennen, dass kleine Unternehmen als Geschäftspartner für die Großen oft lockere Sicherheit haben, aber trotzdem als vertrauenswürdig gelten. Das wird zu einem echten Problem.“

Vertraglich geregelt sein sollte deshalb, dass die Systeme von externen Anbietern getestet werden dürfen und über angemessene Sicherheitsmechanismen verfügen, so Wisniewski. Cloud-Anbieter sollten belegen, dass sie Sicherheitsstandards einhalten, und einen Mechanismus für unabhängige Tests einrichten. „Es hat schon Fälle gegeben, wo es einen Monat nach einer PCI-Analyse zum Verlust von Kreditkarten-Daten kam. Ein Stück Papier hat also nicht sehr viel Aussagekraft“, sagt Wisniewski.

Ebenfalls Teil des Vertrags sollten Regelungen zu Aufbewahrungsfristen, Failover, Verfahren bei Zwischenfällen, System-Monitoring und Wartung sein. Sorgen Sie dafür, dass Sie Ihre Daten herausbekommen und zu einem anderen Provider verlagern können, falls die Beziehung zum ersten sich verschlechtert.

„Wenn Sie sehr paranoid sind und deshalb nicht zu einer Einigung darüber kommen, wie Ihre Daten nach Ihren Standards geschützt sind, dann müssen Sie Ihr eigenes Rechenzentrum betreiben“, sagt Wisniewski. Ein Teil der Kostenvorteile der Cloud ergebe sich eben durch die Tatsache, dass sie hochgradig verteilt ist, so dass man nicht immer weiß, wo sich die eigenen Daten befinden. Wisniewski: „Zum Teil lassen sich solche Fragen vertraglich regeln. Aber Sie können dort nicht hineinschreiben, wer zum Beispiel befugt ist, eine Festplatte in einem Server zu wechseln“.

3. Lassen sich Snapshots virtueller Server einschließlich Image des Arbeitsspeichers und damit aller Schlüssel verhindern?

Statt mit der öffentlichen Cloud zu arbeiten, setzen viele Unternehmen auf private Cloud aus virtuellen Maschinen im eigenen Rechenzentrum. Dieses Vorgehen gilt als gute Methode, um Kosten zu senken und die Effizienz zu erhöhen. Doch für Wisniewski wirft sie auch Fragen zur Daten-Sicherheit auf.

Zwar haben Sicherheitsforscher schon Angriffe auf Hypervisoren demonstriert, doch die waren extrem technisch, und die Gefahr eines realen Angriffs auf diese aufwändige Weise ist laut Experten gering. Jedoch müssen Organisationen auf andere potenzielle Gefahren bei virtuellen Servern achten. So können Konfigurationsfehler und unpassende Richtlinien zu Schwachstellen führen, über die sich Angreifer Zugriff auf sensible Daten verschaffen können. So werden bei Backups häufig virtuelle Snapshots des Systemzustands genommen. Dabei befinden sich oft Passwörter und Verschlüsselungscodes im Arbeitsspeicher, weil sie dort zur Entschlüsselung vorliegen müssen.

Diese Snapshots sparen viel Zeit und helfen sehr bei Backups, sagt Wisniewski. Aber sie müssen sicher gespeichert werden. „Man muss die Schlüssel im Arbeitsspeicher haben“, so der Experte“, „aber man sollte sie zumindest etwas verstecken“.

Erfahren Sie mehr über Cloud-Sicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close