Sicherheitslücken in der Public Cloud

Sicherheitslücken-Public Cloud

Public Cloud Sicherheit wird durch ihre schwächsten Mitglieder gefährdet. Hierbei lösen beispielsweise Authentifizierungsprobleme, falsch konfigurierte Speicher und einige weitere Faktoren Sicherheitsprobleme aus und wodurch Sicherheitslücken in der Public Cloud entstehen.

Doch bevor wir uns mit der Frage beschäftigen, was diese Sicherheitslücken in der Public Cloud sind und wie man diese beheben könnte, werden wir gründsätzlich auf die  Public Cloud eingehen. Hierbei gehen wir auf die Frage ein, was eine Public Cloud eigentlich ist und wofür sie geschaffen wurde.

Was ist eine Public Cloud und wie wird sie verwendet?

Sicherheitslücken Public CloudÜber das öffentliche Internet sind IT-Infrastrukturen zugänglich. Dabei sind Rechteverwaltungen, Hardwarekomponenten, Speicherverfügbarkeit, Rechenleistung und Anwendungen konfigurierbar und verfügbar.  Ein Motiv von Unternehmen ist beispielsweise Geld bei der Anschaffung zu sparen, da der Kauf einer Hard- und Software nicht mehr unbedingt nötig ist.

Die Public Cloud stellt im Gegensatz zur Private Cloud die Cloud Dienste einer Vielzahl von Anwendern über das Internet zur Verfügung. So haben verschiedene Kunden die Möglichkeit, sich die Betreuungsaufwendungen, Wartungs- und Anschaffungskosten über ein Sharing-Modell mittels Anmietung zu teilen.

Es gibt unter den Anbietern unterschiedliche Abrechnungsmodelle. So bezahlt der Anwender beispielsweise nur die Nutzung, also die Betriebszeiten, in welchen die Cloud Dienste genutzt wurden. Daneben existieren auch Abo Modelle oder auch kostenlose Services.

Der größte Vorteil einer Public Cloud besteht darin, dass eine eigene Struktur der IT und die Installation einer Software nicht für den Gebrauch einer Cloud nötig sind. Vor allem für Unternehmen lassen sich hohe Investitionskosten vermeiden. Ein weiterer Vorteil ist die Skalierbarkeit, indem die gemietete IT-Infrastruktur mit den Ansprüchen und stetig steigenden Anforderung für ein Unternehmens wachsen kann.

Die bekanntesten Anbieter, Public Cloud Provider, sind das Amazon, mit seiner Sparte Amazon Web Services (AWS) und dem Angebot seiner Elastic Compute Cloud (EC2), der bekannte Hard- und Softwareentwickler Microsoft, mit seinem Cloud-Angebot „Azure“ und der Internet-Gigant Google, mit seiner Google Cloud und seinen Cloud Computing Services (GCP).

 

Drei Merkmale einer Public Cloud

Eine Public Cloud muss verschiedene Kriterien erfüllen, um als Public Cloud bezeichnet werden zu können.

  1. Der erste Punkt besteht dabei, dass die Netzwerkstrukturen über ein öffentliches Internet zugänglich sind. Die Anwender sollen hierbei die Möglichkeit haben, die Ressourcen bedarfsgerecht zu erhalten. Dabei ist die Skalierbarkeit eines der Faktoren, warum diese Public Cloud bei den Anwendern so beliebt ist.
  2. In Bezug auf die Sicherheit ist es daher besonders wichtig, dass die gemeinsam genutzten Ressourcen nicht innerhalb der Kunden durcheinandergeraten. Dabei dürfen Kundendaten nicht für einen anderen Kunden verfügbar sein. Darüber hinaus darf die Verfügbarkeit und die Performance eines Kunden nicht Einfluss auf einen anderen Kunden haben.
  3. Um dies sicherzustellen, verwenden die Anbieter hierzu virtuelle Umgebungen. Diese Umgebungen stellen ebenfalls eines der Eigenschaften dar, die eine Public Cloud beschreiben. Diese Vorgehensweise ist auch eines der Gründe, warum diese Art der Dienstleistung für die Anbieter relativ günstig anzubieten sind.

Ursachen von Public Cloud Sicherheitslücken?

Infografik: Sicherheitslücken in der Public-Cloud | Statista

In erster Linie sind die Kunden einer Public Cloud selbst für die Sicherheit und den Datenschutz ihrer Daten und Ihrer Prozesse verantwortlich. Das bedeutet, dass zwar die Anbieter für die IT-Sicherheit der Plattform sorgen müssen, diese jedoch keine direkte Verantwortung in Bezug auf die darin befindlichen Daten haben. Und genau hier steckt die Schwierigkeit und die Gefahr einer Sicherheitslücke.

Große Unternehmen beauftragen für die Sicherheit ihrer Daten eigene IT-Sicherheitsteams. Diese sollen für die Sicherheit der firmeninternen Daten Sorge tragen. Jedoch sind diese beispielsweise nicht immer über jede Nutzung einzelner Public Cloud Dienste informiert. Was dazu führen kann, dass Lücken in der Sicherheit und somit Schwachstellen entstehen können.

Weiterhin entsteht bei einer solchen Vorgehensweise oft eine dezentrale Datenspeicherung, die, wenn sie nicht einem professionellen Sicherheitskonzept entsprechen, von Angreifern als Angriffsziel genutzt werden kann, um beispielsweise sensible Firmendaten in einer Private Cloud ausfindig zu machen.

Organisationen müssen Ihr gesamtes geistiges Eigentum vor Angriffen schützen. Meist benötigt ein Hacker nur ein einziges schwaches Glied in der unternehmensweiten Datenkette, um an die empfindlichen Daten des Unternehmens zu gelangen.

Eine Studie fand heraus, dass etwa 80 Prozent der Unternehmen ein solches schwaches Glied in ihrer Datenkette haben. Dies führte dazu, dass etwa die Hälfte der Unternehmen in Deutschland in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud hatten.

Ein weiterer gängigen Weg, um an die Daten der Unternehmen zu gelangen, ist für die Angreifer die nicht ausreichende Sicherheits-Authentifizierung. Diese weitere Schwachstelle ermöglicht unbefugte Nutzer in die Public Cloud-Umgebung einzudringen.

 

Wie können Sicherheitslücken in der Public Cloud vermieden werden`?

Fünf Tipps um die Sicherheit beim Arbeiten in der Public Cloud zu erhöhen:

#1 Schutz vor Viren und Malware

In erster Linie muss sichergestellt werden, dass die einzelnen Anwender und Rechner ausreichend geschützt sind vor Attacken. Hierbei ist es nötig, dass eigene Antiviren-Software auf den Computern installiert ist.

Eine der Vorteile einer Public Cloud liegt darin, dass viele verschiedene Anwender an vielen verschiedenen Orten Zugriff auf ein und dieselbe Public Cloud haben. Dadurch entstehen aber Auflösungen des Netzwerkrandes.

Bildlich ausgedrückt: Bei  traditionellen IT-Umgebungen erfolgt die Zugangskontrolle normalerweise über eine geschlossene Netzwerkmgebung, die nur eine Türe zulässt. Bei der Public Cloud ist dies jedoch anders. Hier entstehen durch die vielen öffentlichen Zugänge viele verschiedene Türen, die für Angreifer eine breite Angriffsfläche bieten.

#2 Konservative Auswahl statt Experimente bei den Komponenten

Der zweite Punkt, wie die Sicherheit in Bezug auf die Public Cloud erhöht werden kann, besteht in der Auswahl für eine sichere und zertifizierte Plattform. Hierbei sollte sichergestellt werden, dass die Robustheit der Infrastruktur nicht Gefahr gebracht wird. Dazu gehören einzelne Komponenten auf Softwarebasis, wie beispielsweise den ausgewählten Internet-Browser, oder auf Hardware-Basis beispielsweise die Nutzung von Smart Speakern in einer Public Cloud.

#3 Selektiver Zugang statt all-inclusive

#3.1 Zugangsberechtigungen für Personen sollten bezogen auf das Tätigkeitsfeld und den Aufgabenstellungen vergeben werden.

#3.2 Dies beginnt schon bei der Einstellung von Mitarbeitern, indem nur die nötigsten Zugriffe erteilt werden.

#3.3 Und auch hier muss die Aktualisierung der Benutzerdaten auch beim Verlassen eines Mitarbeiters aus dem Unternehmen stets sichergestellt werden.

Sollte es dennoch zu Unregelmäßigkeiten in der Datenverarbeitung kommen, sollten diese von den jeweiligen Unternehmen immer ordentlich und aktuell protokolliert werden. So kann schnell auf Sicherheitslücken reagiert und an die Schließung dieser Lücken gearbeitet werden.

    Nutzen Sie unsere Experten in unserem Netzwerk für IT-Security

    Unsere Portalinformationen liefern Mehrwerte, sind jedoch nur vergleichbar mit der Spitze eines Eisbergs. Unser Logo hat eine Doppelbedeutung und steht für Vertrauensvolle Vernetzung. Seit 2006 begegnen wir Menschen aus unseren Online-Foren persönlich und filtern Mehrwertinformationen von Marktinginformationen. Wir sind hersteller- und produktunabhängig und freuen uns, dass Anwender gerne eine zweite Meinung bei uns einholen. Ebenso vernetzen wir von Anwender zu Anwender oder von Anwender zu Experte und bieten Ihnen die Möglichkeit an, auf unsere nicht öffentliche Best- und Bad-Practice Datenbank zurückzugreifen, indem Sie mit uns Kontaktaufnehmen.

    Sie suchen einen Experten zu diesem Thema?

    Gerne vermitteln wir Sie, einfach das untere Kontaktformular ausfüllen:

    Schnelle Expertenanfrage

    Vor- und Nachname (Pflichtfeld)

    Ihre Email (Pflichtfeld)

    DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden.

    Freiwillige Datenfreigabe zur besseren Vernetzung unserer Mitglieder im Netzwerk/Forum (Einzelfallbezogen, nicht öffentlich). Ich willige ein, dass meine Daten, in Ihrem Netzwerk vertraulich und kontextbezogen genutzt werden können. Ohne diese Datenfreigabe kontaktiert Sie, wenn überhaupt, nur das IT-Wegweiser Team.

    Freiwillige Angaben:

    Firmenname

    Branche

    Funktion

    Straße und Hausnummer

    PLZ/Ort

    Kontaktrufnummer

    Ihre Anfrage oder Ihr Status Quo zu diesem Thema:

    Kostenloser Informationsservice it-wegweiser (value-letter)

    Sollten Sie sie eine ältere Version Ihres Internet-Browsers nutzen, kann es zu Schwierigkeiten beim ausfüllen des Anmeldeformulares kommen. Sie können uns in diesem Fall auch per Mail erreichen: info@it-wegweiser.de