Vier Schritte für mehr Sicherheit in der Public Cloud

Immer wieder treten große Datendiebstähle in öffentlichen Cloud-Umgebungen auf. Seien es die mehr als 100 Millionen Kreditkartendaten, die einem amerikanischen Finanzdienstleister im Sommer 2019 geklaut wurden, oder die 500 Millionen Datensätze, die eine Partnerfirma von Facebook auf einem AWS-Server (Amazon Web Services) frei zugänglich abgelegt hatte. In manchen Fällen nutzen die Hacker dabei etwa fehlerhaft konfigurierte Firewalls aus. In anderen Situationen machen die Cloud-Kunden selbst gravierende Fehler, so dass unbefugte Personen auf persönliche Daten wie Namen, Adressen, Kommentare und sogar „Gefällt mir“-Angaben zugreifen können.

Gerade die Public Cloud hat nicht den besten Ruf, wenn es um das Thema Datensicherheit geht. So treten dort immer wieder auch sogenannte SSRF-Attacken (Server Side Request Forgeries) auf, bei denen Server so manipuliert werden, dass sie für Kommandos verwendet werden können, die sie normalerweise gar nicht ausführen dürfen. SSRF-Attacken sind besonders für Kunden von Public-Cloud-Providern ein Problem. Erschwerend kommt hinzu, dass oft völlig unklar ist, ob die Anbieter wirklich alle erforderlichen Schritte unternehmen, um diese Art von Angriffen zu unterbinden.

Große und kleine Firmen sind sich mittlerweile immerhin der erheblichen Gefahr durch Insider-Attacken bewusst. Deswegen haben sich in den vergangenen Jahren Systeme zur Data Loss Prevention (DLP) und andere Funktionen zum Schutz der Infrastruktur gegen das heimliche Hinausschleusen von Daten an vielen Stellen verbreitet. Sie sind mittlerweile in zahlreichen Lösungen zum Schutz der Unternehmensdaten zu finden.

Bei der Nutzung von Public-Cloud-Diensten wie AWS vertrauen wir aber bislang zu sehr auf die Fähigkeiten des jeweiligen Anbieters. Es ist deshalb unverzichtbar, dass sich IT-Entscheider die Zeit nehmen, die Sicherheitsmaßnahmen ihres Providers besser kennenzulernen. Die folgenden Bereiche sollten Admins und Unternehmen genauer unter die Lupe nehmen:

Speicherort der Daten: Zunächst ist es wichtig, erst einmal zu erfahren, wo die Daten überhaupt gespeichert werden. Regelungen wie die Datenschutz-Grundverordnung (DSGVO), die 2018 wirksam geworden ist, haben dafür gesorgt, dass dieses Thema nun an der Spitze der dringlichen Fragen steht. Das hat erfreulicherweise dazu geführt, dass sie auch zunehmend leichter zu beantworten ist. Je nachdem, in welchem Land Sie Ihre Geschäfte erledigen, können Ihre Rechte und die Pflichten des Cloud-Anbieters jedoch erheblich variieren.

Verschlüsselung der Daten: Jetzt wo Sie wissen, wo Ihre Daten gespeichert werden, stellt sich gleich die nächste Frage. Wie sicher sind sie dort? Finden Sie heraus, ob Ihre Daten verschlüsselt werden und, falls ja, wer den Schlüssel dazu hat. Ein bekannter Cloud-Anbieter, nur als Beispiel, vertraut nur auf eine Standardverschlüsselung, die auf der Benutzer-ID und einem Passwort basiert.

Die Antwort mag akzeptabel erscheinen, aber wer hat alles Zugriff auf diese Informationen? Die meisten Anbieter erlauben es Ihnen aber zumindest, Ihren eigenen kryptographischen Schlüssel zu erstellen. Diese Vorgehensweise bietet ganz klar mehr Sicherheit, aber was nun wiederum geschieht, wenn Sie diesen Schlüssel verlieren oder keinen Zugriff mehr auf ihn haben? Ihre Daten sind dann nicht mehr zugänglich, weil Ihr Cloud-Anbieter selbst keinen Zugang zu Ihrem Schlüssel hat.

Zugriff auf die Daten: Nicht selten kommt es vor, dass bei einem erfolgreichen Angriff lange Zeit niemand bemerkt, dass Dritte Zugriff auf vermeintlich geschützte Daten haben oder hatten. Teilweise erfahren die betroffenen Unternehmen dies erst aus der Presse oder durch wohlmeinende „White Hat“-Hacker, die sie auf die Probleme hinweisen.

Anders als ein physischer Diebstahl von zum Beispiel einer Papierakte hinterlässt ein Datenklau in der Cloud keine eindeutig sichtbaren Spuren. Die Auswirkungen sind aber oft mehr als unsichtbar. Betroffenen Unternehmen drohen Strafen, die teilweise schon schwindelerregende Höhen von 100 oder gar 500 Millionen US-Dollar erreicht haben.

Es ist deswegen dringend angeraten, den Cloud-Provider aufzufordern, offenzulegen, wer alles bei dem Anbieter auf Ihre Daten zugreifen kann. Haben nur einige Personen diese Möglichkeit? Wenn ja, welche? Was ist mit Partnerfirmen und ihren Mitarbeitern? Haben sie Zugriff auf Ihre Daten oder auch auf Account-Informationen? Zumindest den größeren Cloud-Kunden können diese Angaben kaum verweigert werden.

Technische Upgrades und die sichere Löschung der Daten: Einer der größten Vorteile einer Migration in die Cloud ist, dass sich dann der Provider um Upgrades der Hardware kümmern muss. Aber was geschieht nach dem Upgrade mit der alten Festplatte, auf der Ihre vorher möglicherweise nicht verschlüsselten Daten abgelegt waren? Geht sie in das Lager für ausgemusterte Festplatten oder in die Tasche des Mitarbeiters, der sie ausgetauscht hat und dann mit nach Hause nimmt? Wo immer sie hingeht, Sie werden vermutlich sicherstellen wollen, dass alle auf ihr bislang gespeicherten Informationen zuverlässig gelöscht werden, bevor sie die Umgebung des Cloud-Anbieters verlassen.

Fragen Sie Ihren Cloud-Anbieter deshalb nach seinen Richtlinien für vergleichbare Situationen und hoffen Sie, dass er überhaupt eine Richtlinie zu diesem Thema hat. Eine ähnliche Frage stellt sich, wenn Sie den Vertrag mit Ihrem Cloud-Anbieter beenden. Was passiert dann mit Ihren Daten? Historisch gesehen, sind die in den diversen Betriebssystemen vorhandenen Funktionen zum Löschen von Daten äußerst unsicher. Standardmäßig werden dabei nur die Zeiger auf die Daten entfernt und nicht die eigentlichen Daten selbst. Es würde auch deutlich länger dauern, alle vorhandenen Daten mit zum Beispiel Nullen zu überschreiben. Aus den genannten Gründen sollten Sie genau prüfen, welche Schritte Ihr Cloud-Anbieter vorgesehen hat, um Ihre Daten zu vernichten, wenn Sie sich entscheiden, Ihren Vertrag mit ihm zu beenden. 

Die Datendiebstähle der jüngeren Vergangenheit haben wiederholt bewiesen, dass wir einfach nicht davon ausgehen können, dass alle Provider ein ausreichend sicheres Framework für ihre Public-Cloud-Angebote eingerichtet haben. Genauso wie bei lokal gespeicherten Daten müssen bei einem Cloud-Provider abgelegte Daten durch formale Richtlinien und Prozeduren geschützt werden.