So gefährdet Cloud Computing die IT-Sicherheit

In den vergangenen Jahren hat die Nutzung von Cloud-Services stark zugenommen, und dieser Trend beschleunigt sich weiter. Eine Studie des Marktforschungsunternehmens Gartner vom April 2021 prognostiziert, dass die weltweiten Ausgaben für Public-Cloud-Dienste in diesem Jahr um 23 Prozent steigen werden.

Neue Technologien rund um Containerisierung, Virtualisierung und Edge Computing setzen sich rasant durch und treiben die Cloud-Ausgaben weiter in die Höhe, heißt es in dem Bericht. Das Hybrid-Cloud-Modell als Mischform unterschiedlicher Bereitstellungsmodelle verspricht Unternehmen ein hohes Maß an Flexibilität. Sie können zwischen Public- und Private-Cloud-Diensten variieren und Kapazitäten, Daten und Arbeitslasten flexibel verteilen. Die Hybrid Cloud birgt allerdings auch besondere Risiken für die Cybersicherheit.

Hohe Komplexität, geringe Transparenz

Da Unternehmen ihren IT-Umgebungen tendenziell immer mehr Public- und Private-Cloud-Funktionen hinzufügen, steigt aus IT-Management- und Security-Sicht die Komplexität. Es gilt, die heterogene IT-Welt genau zu überwachen. Geschieht das nicht, verlieren Anwender schnell den Überblick darüber.

"Eine hybride IT-Umgebung bringt mehr Komplexität mit sich. Es gibt einfach viel mehr Fenster und Türen, die verschlossen werden müssen. Außerdem nehmen die Maintenance-Aufgaben zu, beispielsweise das Einspielen von Patches", sagt Chris Kanaracus, Forschungsdirektor für dedizierte und hybride Cloud-Infrastrukturen und -Dienste beim Marktforschungsunternehmen IDC. "Wir haben in den Medien zuletzt viele Berichte über Datenlecks gesehen, die durch menschliches Versagen verursacht wurden - eben auch durch falsch konfigurierte Speicherbereiche in öffentlichen Clouds."

Die Cloud Security Alliance (CSA), eine Organisation, die Standards, Zertifizierungen und Best Practices rund um sichere Cloud-Umgebungen vorantreibt, hat 2020 die größten Sicherheitsprobleme identifiziert. Fehlkonfigurationen und unzureichende Änderungskontrollen gehören dazu. Außerdem stelle die oft unzureichende Transparenz über die Cloud-Nutzung ein Problem dar.

Der Einsatz von Cloud-Diensten erfordert also einen veränderten IT-Sicherheitsansatz im Unternehmen. "Die Entscheidung für eine Hybrid-Cloud-Umgebung bietet Unternehmen zwar mehr Wahlmöglichkeiten und Flexibilität, sie bedeutet aber auch, dass IT-Verantwortliche ihre Sicherheitspraktiken neu bewerten und gegebenenfalls anpassen müssen", sagt Mandy Andress, CISO von Elastic, einem Anbieter von Online-Suchprodukten. "Das Sprichwort 'Was man nicht sehen kann, kann man auch nicht schützen' gilt besonders für hybride Cloud-Architekturen." Die Vermischung von öffentlichen und privaten Clouds und Infrastrukturen erhöhe die Komplexität und das Risiko für Unternehmen. Deshalb seien Transparenz und Kontrolle für eine verteilte IT-Welt besonders wichtig.

Wissens- und Kompetenzlücke

Dass es vielen Unternehmen an Cybersecurity-Kenntnissen fehlt, ist kein Geheimnis. Sie tun sich vor allem schwer, geeignete Mitarbeiter für die IT-Sicherheit zu finden - erst recht von solchen, die sich mit Cloud Computing auskennen.

Interne und externe Schulungen können helfen, das Problem einzudämmen. Dazu empfiehlt Vikram Kunchala, Risk and Financial Advisory Cyber Cloud Leader und Principal beim Beratungsunternehmen Deloitte, eine enge Zusammenarbeit zwischen den Geschäftsbereichen und den Cybersecurity-Verantwortlichen. Es habe sich bewährt, gemeinsam einen Lehrplan zu entwickeln und multimodale Schulungsprogramme aufzusetzen, um gerade im Umfeld komplexer Hybrid-Cloud-Umgebungen für einen kontinuierlichen Kompetenzzuwachs zu sorgen.

"Halten Sie sich vor Augen, dass viele Unternehmen und Dienstleister um denselben Cloud-Talentpool werben", sagt Kunchala. Es sei eine große Herausforderung, Mitarbeiter zu finden und einzustellen. Für Unternehmen sei es unverzichtbar, vorhandene Mitarbeiter weiterzubilden.

Kunchala verweist darauf, dass eine starke Governance eine Schlüsselkomponente in einer hybriden Cloud-Umgebung darstelle. Klar definierte Verantwortlichkeiten und Betriebsmodelle könnten helfen, Probleme früh zu erkennen und zu beseitigen. "Klare Metriken im Bereich des Monitoring geben Aufschluss über die Effizienz der eingesetzten Sicherheitsteams und über die Wirksamkeit der implementierten Kontrollen".

CISOs und andere Sicherheitsverantwortliche müssten die Qualifikationen und die Effizienz ihrer Teams zudem richtig einschätzen können, ergänzt Elastic-CISO Andress. In einer hybriden Cloud-Umgebung müssten die Sicherheitsexperten die Security-Funktionen der genutzten Cloud-Dienste unbedingt genau kennenlernen.

Verlagern der Sicherheitsverantwortung

Die Verantwortung für Perimeter-Sicherheit, Infrastruktur und Virtualisierung verlagert sich in einer Public-Cloud-Umgebung auf deren Anbieter. Laut Kunchala ist es daher umso wichtiger zu verstehen, wie die Verantwortlichkeiten neu definiert werden. "Unternehmen tendieren dazu, die Sicherheitskontrollen und -technologien aus ihrem Private-Cloud-Umfeld auf die Public Cloud zu übertragen. Das funktioniert nicht immer."

Das Fehlen von klar definierten Verantwortlichkeiten und Zuständigkeiten lasse in einem hybriden Cloud-Ökosystem Raum für Sicherheitsrisiken. Obwohl es beim Nutzen von Cloud-Diensten wichtig ist, die Verantwortung zwischen Cloud-Provider und dem eigenen Unternehmen deutlich zu benennen und aufzuteilen, wird das längst nicht überall umgesetzt. "Das Modell der geteilten Verantwortung, das Public-Cloud-Anbieter oft voraussetzen haben viele Unternehmen noch nicht im Griff", bestätigt IDC-Analyst Kanaracus.

Unstimmigkeiten beim Netzwerkschutz

Nach Meinung von Deloitte-Berater Kunchala ist die Netzwerksicherheit ein Schlüsselbereich, der viele Unternehmen vor Herausforderungen stellt. Anbieter-Tools, die Private Clouds unterstützen, seien oft nicht für den Einsatz in Public-Cloud-Umgebungen geeignet. "Unternehmen nutzen Container für den nahtlosen Übergang und das Management in der Hybrid Cloud. Wenn sie aber Feinheiten wie Service Mesh und API-Sicherheit nicht verstehen, kann das zu einer Kompromittierung von Containern führen und weitere Sicherheitslücken schaffen."

Die meisten Anbieter von Sicherheitstools für Public-Cloud-Umgebungen unterstützen auch Privat-Cloud-Installationen, so Kunchala. "Andererseits reichen aber traditionelle Tools, die für On-Premises- oder Private-Cloud-Zwecke entwickelt wurden, für Public-Cloud-Umgebungen nicht immer aus."