Data Breach, Fehl­konfi­guration… die elf grössten Cloud-Gefahren

Die mitgliederstarke und auch hierzulande tätige Non-Profit-Organisation Cloud Security Alliance (CSA) hat eine Studie zum Thema Securityprobleme in der Cloud publiziert. Angeführt wird die Liste der "ungeheuerlichen Elf" von den Themen Data Breach und Fehlkonfigurationen. Es ist also kein Zufall, dass der jüngste Vorfall, der die US-Bank Capital One betraf, mit beiden Schwachstellen zu tun hat. Denn die CSA verspricht realitätsnah die brennendsten Themen zu benennen.
 
Der Bericht soll helfen aktuelle und künftige Probleme zu erkennen und das Bewusstsein für kritische Schwachstellen zu schärfen, hält die Organisation fest. So publiziert die CSA zu den Bedrohungen auch jeweils einige Einsichten.
 
Data Breaches, bei denen geschützte Daten betroffen sind, rangieren auf dem ersten Platz der Bedrohungen. Die CSA hat dazu fünf Erkenntnisse parat, die sich sowohl an Cloud-Service-Provider (CSP) wie an deren Kunden richten:
  1. Daten würde
immer mehr zum Hauptziel von Cyberangriffen.
 
2. Die Frage ihres Schutzes entwickle sich immer mehr zu einer Frage des Zugangs zu den Daten.
 
3. Daten seien die anfälligsten Vermögenswerte für Fehlkonfigurationen und die Ausnutzung der entsprechenden Schwachstellen.
 
4. Verschlüsselungstechniken könnten zwar den Schutz erhöhen, beeinträchtigten aber die Systemleistung und die Usability.
 
5. Man solle über einen robusten und getesteten Reaktionsplan verfügen, der im Falle eines Vorfalls befolgt werden könne.
 
Die Fehlkonfigurationen von Ressourcen fallen in den Zuständigkeitsbereich der Cloud-Kunden. Für diese bietet der Bericht drei Einsichten:
  1. Cloud-basierte Ressourcen seien sehr komplex und dynamisch, was sie zu einer Herausforderung bei der Konfiguration mache. Dies besonders wenn verschiedene Cloud-Provider genutzt würden.
2. Traditionelle Kontrollen und Change-Management-Ansätze seien in der Cloud nicht effektiv.
 
3. Unternehmen sollten die Automatisierung nutzen und Technologien einsetzen, die kontinuierlich Scans durchführen, um falsche Konfigurationen in Echtzeit zu beheben.
 
Die komplette Liste der Threats umfasst neben Data Breaches und Fehlkonfigurationen in der Reihenfolge ihrer Wichtigkeit: Fehlende Sicherheitsarchitektur und -Strategie, unzureichende Identitäts- und Schlüsselverwaltung, Account-Hijacking, Bedrohung durch Insider, Unsichere APIs, schwache Steuerungsebene, Ausfälle der Metastruktur, begrenzte Transparenz, missbräuchliche Nutzung von Cloud-Services. Für alle Probleme bietet der Bericht Learnings.
 
Die CSA hält fest, dass viele Schwachstellen, die auf das Konto von Cloud-Service-Providern gingen, nicht mehr für grosses Kopfzerbrechen sorgen würden. Genannt werden etwa weit verbreitete, gemeinsame Schwachstellen oder DDoS-Attacken. Stattdessen seien Fragen in den Fokus gerückt, "die höher im Technologie-Stack angesiedelt sind und die das Ergebnis von Entscheidungen des oberen Managements sind", so die CSA.
 
"Neue, weit oben platzierte Themen in der Umfrage sind nuancierter und deuten auf ein gereiftes Verständnis von Sicherheitsexperten in Sachen Cloud hin. Die aufkommenden Probleme sind schwieriger zu lösen, wenn die Infrastruktur sicherer und die Angreifer raffinierter werden", sagt zudem Jon-Michael Brook, Co-Vorsitzender der CSA-Arbeitsgruppe Top Threats.
 
Die Erkenntnisse der CSA basiere auf der Befragung von 241 Branchen-Experten und der Diskussion und Analyse der Ergebnisse durch die Arbeitsgruppe Top Threats. Die Non-Profit-Organisation zählt weltweit 80'000 Mitglieder und hat seit 2013 auch ein Chapter in der Schweiz.
 
Man kann den Bericht "Top Threats to Cloud Computing: Egregious Eleven" gegen Angabe einiger persönlicher Daten bei der CSA anfordern. (ts)