Unerwünschtes Cloud Computing: Ad-Hoc Cloud-Dienste in den Griff bekommen

Cloud-Dienste lassen sich unkontrolliert von der IT-Abteilung zu privaten oder geschäftlichen Zwecken nutzen. Das gefährdet aber die IT-Sicherheit.

Noch vor einigen Jahren war die IT-Welt einfach: Neue Systeme wurden entwickelt oder gekauft und anschließend für die unternehmensweite Nutzung (etwa bei E-Mail-Systemen), für den Einsatz an einzelnen Arbeitsplätzen (etwa ein Programm zur Grafikbearbeitung) oder spezielle Abteilungen (etwa ein HR-System) ausgerollt. Das geschah meist mehr oder weniger organisiert und strukturiert.

Eine realistische Annahme ist, dass unerwünschte Cloud-Dienste in den meisten Unternehmen bereits zum Einsatz kommen

Hauptmerkmal war, dass der Zugriff auf diese Systeme nur unter den wachsamen Augen der IT-Verantwortlichen und -Administratoren möglich war. Angestellte, die eigene Programme oder Systeme in Betrieb nehmen wollten, mussten diese normalerweise durch einen Prüfungsprozess der IT-Abteilung schicken, bevor sie genutzt werden durften. Seit den frühen Tagen der kommerziellen IT-Nutzung war dieses Model verbreitet und weitestgehend erfolgreich.

Mit dem Auftreten von Cloud-Diensten hat sich das Spielfeld grundlegend geändert. Neue Dienste und eine verstärkte Akzeptanz für Cloud-basierte Dienste bringen ein neues Modell für das Design und Deployment von IT-Diensten: Anwender können inzwischen Cloud-Dienste relativ einfach selbst planen und verwalten.

Bei IT-Verantwortlichen verursacht ein solcher unkontrollierter Einsatz von Cloud-Diensten allerdings Kopfschmerzen – um es vereinfacht zu sagen. Sobald Nicht-IT-Angestellte Cloud-Dienste nutzen, um ihre eigenen IT-Systeme zu bauen und zu betreiben, ohne dass dabei die IT-Abteilung hinzugezogen wird, bietet das ein riesiges Potential für sicherheitsrelevante Zwischenfälle. In diesem Beitrag werfen wir einen Blick auf unkontrollierte Cloud-Umgebungen, wie IT-Verantwortliche sie finden können und wie man diese effektiv verwalten kann.

Unkontrollierter Cloud-Einsatz definiert

Einfach gesagt ist “unkontrollierter Cloud-Einsatz” die nicht sanktionierte Verwendung von Cloud-basierten Ressourcen um Arbeitsabläufe in Unternehmen zu ermöglichen. Einer der Hauptgründe für den Einsatz solcher Lösungen ist oftmals, dass die IT-Abteilung eher als Hindernis, denn als Bereitsteller von neuen Business-Prozessen gesehen wird. Mit aktuellen Cloud-Diensten ist es einfach, eine virtuelle Maschine in der Cloud zu booten und auf dieser anschließend einen Webserver oder eine Sharepoint-Instanz zu betreiben. So schnell sich diese Szenarien heutzutage realisieren lassen, so einfach ist es damit, IT-Vorgaben zu umgehen.

Unkontrollierte Cloud-Installationen können enorm negative Auswirkungen auf von der IT definierte Protokolle zur Sicherheit und Verwaltung von Diensten und Produkten haben. Ein falsch konfigurierter Cloud-Server kann beispielsweise wichtige und sensible Unternehmensinformationen für Angreifer bereitstellen. Schlimmer noch, möglicherweise ermöglichen diese Systeme eine Attacke auf die internen Netzwerke der jeweiligen Organisation – etwa indem sie einen Zugang schaffen, der dem Netzwerk-Sicherheitsteam unbekannt ist.

Unkontrollierte Cloud-Systeme waren eins der Probleme, dass in der Symantec-Studie „Avoiding the Hidden Costs of Cloud” (pdf) besprochen wurde. Für die Studie wurden mehr als 3200 IT-Verantwortliche befragt, fast ein Drittel meldete das verstärkte Auftreten unkontrollierte Cloud-Umgebungen innerhalb ihrer Organisationen. Ein weiteres Problem, das in dieser Studie auftauchte, war das Thema Backup. Laut der Studie haben rund 40 Prozent der Befragten schon einmal Daten beim Cloud-Einsatz verloren, in zwei Drittel der Fälle war eine Wiederherstellung der Informationen unmöglich.

Unkontrollierte Installationen aufspüren

Am realistischsten ist wohl davon auszugehen, dass unkontrollierte Cloud-Systeme bereits im Unternehmen existieren. Der beste Ansatz ist eine ganze Reihe von Prozeduren zu entwickeln, die verdächtige Cloud-Aktivitäten aufspüren können.

Mundpropaganda ist meist die einfachste Strategie beim Aufspüren von ungewollten Installationen. Gut vernetzte IT-Abteilungen, die in allen Abteilungen und IT-Verantwortlichen Kontakte besitzen, haben normalerweise einen recht guten Einblick in die internen Abläufe. Diese Beziehungen lassen sich oftmals nutzen, um die IT-Abteilung als Hilfsmittel statt als Bremsblock zu etablieren.

Die Überwachung des Netzwerks ist ebenfalls wichtig um Cloud-Systeme aufzuspüren. Plötzliche Änderungen im Netzwerk-Traffic, ungewöhnliche Aktivitäten in den IDS/IPS-Installationen oder eine komplett andere Nutzung von Datenspeichern können Hinweise auf Cloud-Dienste liefern. Eine andere Möglichkeit ist beispielsweise, bereits bestehende Tools zur Leistungsüberwachung mit Angeboten von Cloud-Anbietern zu erweitern. Wenn es Hinweise darauf gibt, dass Nutzer bei eigentlich erlaubten Anbietern nicht autorisierte Instanzen öffnen, dann kann dieser Anbieter wahrscheinlich einen besseren Einblick geben und bei der Suche nach unerlaubten Systemen helfen.

Unerlaubte Cloud-Instanzen kontrollieren

Sobald eine unerwünschte Cloud-Installation gefunden wurde, sollten Sie der Versuchung wiederstehen, diese sofort zu verbieten. Der bessere Weg ist es, den Effekt der Cloud-Nutzung auf die eigenen IT-Vorgänge zu untersuchen. Möglicherweise lässt sich ein Kompromiss finden, bei dem die Nutzer weiterhin die entsprechende Instanz nutzen können, während sensible Daten zeitgleich in die Vorgaben der IT eingebunden werden. Viele Cloud-Szenarien sind gutartig und benötigen etwa nur eine ordentliche Dokumentation.

Sobald die Cloud-Instanz gefunden und sorgfältig untersucht wurde, müssen die Auswirkungen bewertet werden. Bestehen Sicherheitsbedenken, müssen die IT-Verantwortlichen informiert und das weitere Vorgehen abgestimmt werden. Die ungewollte Cloud-Installation sollte wahlweise beendet, korrekt gesichert oder in bestehende IT-Abläufe integriert werden.

Ebenso wichtig wie die Kontrolle ist es, Richtlinien für den Einsatz von Cloud-Systemen aufzustellen. Dazu gehört auch, die Bedenken anderer Abteilungen zu adressieren und über die Gefahren und Probleme beim Einsatz von unbefugten Cloud-Instanzen zu informieren – und dabei auch entsprechende Strafen aufzustellen. Damit sollte die Wahrscheinlichkeit für unbefugten Cloud-Einsatz im Unternehmen sinken.

Über den Autor: Paul Kirvan ist ein unabhängiger Berater und IT Auditor, der zudem als technischer Autor, Redakteur und Lehrer. Er hat mehr als 25 Jahre Erfahrung mit Themen wie Business Continuity, Disaster Recovery, Security Enterprise Risk Management und IT Auditing. Dazu kommen mehr als 30 Jahre Erfahrung beim Verfassen von technischen Texten und Auftritten. Paul Kirvan war direkt involviert in Sicherheits-Audits, der Planung und Umsetzung von Business Continuity-Prozessen sowie Risikoabschätzungen. Herr Kirvan ist Mitglied der Leitung der amerikanischen Abteilung des Business Continuity Institutes. Er ist zudem ein Certified Information Systems Auditor sowie ein Fellow des BCI.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Datensicherheit

ComputerWeekly.de

Close