360°-Cloud-Sicherheit mit dem Shared Responsibility Model

bei

 / 5. July. 2020

Unternehmen profitieren auf vielerlei Weisen von Cloud Computing: es macht nicht nur Mitarbeiter, sondern auch Geschäftsprozesse produktiver, effizienter und flexibler. Doch halten damit auch sicherheitsrelevante Herausforderungen Einzug in das Unternehmensnetzwerk, die es zu meistern gilt. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, stellt im folgenden Fachbeitrag das 360° Shared Responsibility Model vor und erklärt, warum es für Provider, Unternehmen und Anwender gleichermaßen wichtig ist, an einem Strang zu ziehen, wenn es um die Sicherheit in der Cloud geht.

Sicherheit ist keine Sache von Einzelgängern. Die Gewährleistung von sicheren Umgebungen sollte nicht nur in den Händen einer einzelnen Partei liegen. Vielmehr sollte die gesamte Verantwortung unter sämtlichen involvierten Akteuren aufgeteilt werden. Betrachtet man beispielsweise den Kontext einer Autovermietung – vom Werk bis hin zum Mieter – wird klar, wie wichtig es ist, dass jede Instanz ihren Beitrag zum Sicherheitsniveau kennt und leistet:

Der Autohersteller muss dafür sorgen, dass sein Wagen fahrtauglich und sicher ist – Bremsen und Airbags müssen demnach den vorgegebenen Sicherheitsstandards entsprechen. Das Unternehmen, das den Wagen vermietet, kann dies nicht beeinflussen, sondern trägt an anderer Stelle seine ganz eigene Verantwortung. Es muss sicherstellen, dass einzelne Komponenten des Wagens regelmäßig auf Verschleiß und Funktionsfähigkeit geprüft werden. Außerdem muss der Vermieter darauf achten, dass seine Kundschaft die rechtlichen Anforderungen erfüllt, um einen Wagen mieten und fahren zu dürfen. Zwar stellt der Hersteller ab Werk eingebaute Sicherheitsgurte zur Verfügung, doch liegt es beim Fahrer selbst, diese während der Fahrt anzulegen und sich gemäß den Vorgaben der StVO zu verhalten – auf diese beiden Aspekte haben nämlich weder Hersteller noch Vermieter irgendeinen Einfluss.

Wie in diesem Beispiel mit der Sicherheit im Rahmen einer Autovermietung, verhält es sich mit der Sicherheit in der Cloud. Auch hier entstehen Schwachstellen und Sicherheitslücken, sobald eine Partei ihrer Verantwortung nicht nachkommt. Datenlecks, Compliance-Verstöße, damit verbundene Bußgelder und Reputationsschäden sind nur einige gefährliche Folgen einer solchen Fahrlässigkeit. Mithilfe des 360° Shared Responsibility Models wird diesem Problem entgegengewirkt: Es sieht die gleichwertige Aufteilung aller Verantwortungsbereiche in der Cloud vor und bindet ebenso sämtliche Akteure mit ein – vom Provider über die beziehenden Unternehmen bis hin zu jedem einzelnen Cloud-Nutzer.

Stolpersteine, die die Cloud-Sicherheit gefährden

Im Rahmen einer Umfrage im Oktober 2019, die unter IT-Leitern und -Angestellten durchgeführt wurde, stellte McAfee fest, dass über 90 Prozent der befragten IT-Leiter ihr Unternehmen als „Cloud first“ beschreibt – also als sehr stark auf Cloud Computing ausgerichtet. Die eingangs beschriebenen Vorteile stellen einige wichtige Gründe dar, warum sich immer mehr Unternehmen für den Einsatz von Cloud-Technologien entscheiden. Zudem machen die Offenheit gegenüber Markt-Expansion und kürzere Produkteinführungszeiten die Cloud zu einer gewinnbringenden Ergänzung zu traditionellen, lokalen Netzwerken. Ein Großteil der befragten IT-Leiter verbindet sie darüber hinaus mit einem erhöhten Sicherheitsniveau, da sie davon ausgehen, dass Provider bereits von Anfang an für den Schutz ihrer Kunden sorgen. Doch der Schein trügt, denn das Angebot der Provider deckt nicht alle Elemente und Dienste automatisch ab.

Eines der größten Sicherheitsrisiken, welches nur sehr begrenzt in den Wirkungsbereich der Provider fällt, ist die Menge an sensiblen und unternehmenskritischen Daten, die auf Cloud Servern gespeichert und – meist mittels ungeschützten Cloud-Verlinkungen – versendet wird. Rund 21 Prozent nehmen Daten dieser Art laut des Cloud Adoption and Risk Reports von McAfee auf Cloud Servern insgesamt ein. Und die Tendenz steigt: 61 Prozent der befragten IT-Leiter schätzt, dass über die Hälfte der Daten aus sensiblen Inhalten bestehen, die sich innerhalb ihrer Unternehmens-Cloud-Anwendungen bewegen. 96 Prozent planen sogar, zukünftig sogar noch mehr dieser Inhalte in der Cloud zu lagern.

Für Cyber-Kriminelle ist dies ein gefundenes Fressen: Sie kennen die Schlupflöcher, die durch Vernachlässigung der Sicherheit in Form der sogenannten Schatten-IT oder von unvorsichtigen Mitarbeitern entstehen, die beispielsweise infizierte E-Mail-Anhänge öffnen. Durch sie verschaffen sie sich Zugang zu den Unternehmensnetzwerken – sowohl lokal als auch zur Cloud. In solchen Fällen wird offensichtlich, dass sich Unternehmen nicht einzig und allein auf Cloud Provider verlassen können, sondern erkennen müssen, dass sie selbst einen Teil der Verantwortung über den Schutz ihrer IT-Landschaft und ihrer Daten mithilfe eines Shared-Responsibility-Ansatzes übernehmen müssen.

360° Shared Responsibility: Einmal das volle Programm, bitte

IT-Verantwortliche fungieren als Schnittstelle zwischen der IT-Landschaft und dem Rest des Unternehmens und sind für die Einhaltung der Compliance zuständig. Deshalb ist es umso wichtiger, dass sie nicht nur wissen, wo sich mögliche Lücken ergeben könnten, sondern auch, wem welche Art von Sicherheitsverantwortung zukommt.

Die Hauptverantwortung der Provider verteilt sich primär auf zwei Bereiche: zum einen der Schutz von Komponenten – wie Verkabelung, Datenspeicher und Server – vor physischen Schäden und schädlichen Eingriffen, zum anderen die Absicherung der Netzwerk- und Hosting-Infrastruktur. Zu letzterem zählen vor allem Rechenzentren, Server-Hardware und Netzwerk-Konnektivität. Eine Vernachlässigung dieses Aspekts führt nicht nur dazu, dass die Kommunikation zwischen einzelnen Cloud-Diensten leidet, sondern ebenso zu Schwachstellen, die Cyber-Kriminelle zum Beispiel mittels DDoS-Attacken (Distributen Denial-of-Service) gezielt ausnutzen können.

Die Kunden der Provider – sprich: Unternehmen, die Cloud-Technologie in ihre IT-Landschaft integrieren – sind verantwortlich für die Funktionalität einzelner Applikationen, deren Schutz vor Bedrohungen sowie für das Identity und Access Management (IAM). Über die Vergabe von Nutzungsprivilegien regeln sie, welche Mitarbeiter welche Bereiche der Cloud betreten und welche Daten sie herunter- oder hochladen dürfen. Hierfür müssen sie Tools zur Verfügung stellen, mit der die IT-Mitarbeiter Zugangsbefugnisse prüfen, vergeben, blockieren und überwachen können. Ebenso braucht die IT-Abteilung Lösungen, mithilfe derer sie sämtliche Geräte verwalten können, die dazu autorisiert sind, sich mit dem Netzwerk zu verbinden – egal, ob aus dem Büro oder dem Home Office.

Wie der Fahrer des Mietautos auf Regeln im Straßenverkehr und einen sicheren Fahrstil samt Sicherheitsgut achten muss, ist jeder einzelne Anwender im Unternehmen für eine „sichere Fahrweise“ in der Cloud verantwortlich. Da die Daten in der Cloud ständig in Bewegung sind durch Download, Upload und Versand, gilt es sämtliche Geräte wie Laptops und Smartphones abzusichern, die Zugang zum Netzwerk haben. Außerdem spricht das Shared Responsibility Model die Problematik von unvorsichtigen Mitarbeitern direkt an. Diese werden dazu aufgerufen, Daten achtsamer zu nutzen. Über Schulungen, die das Unternehmen organisiert, sollen sie lernen, ein erhöhtes Sicherheitsbewusstsein zu entwickeln.

Fazit

Sobald im Rahmen der Autovermietung eine Sicherheitslücke entsteht, weil sich niemand für seinen Bereich für verantwortlich hält, kann es tragisch enden. Im Falle der Cloud stehen IT-Landschaft, unternehmenskritische Dokumente und sensible, persönliche Daten sowie Geschäftsergebnisse und

-reputation auf dem Spiel. Das 360° Shared Responsibility Model soll sicherstellen, dass sämtliche Akteure ihre Verantwortung im Rahmen der Cloud-Sicherheit kennen, diese wahrnehmen und folglich alle Akteure an einem Strang ziehen. Denn sicher lässt es sich am besten „fahren“.

Rolf Haas ist Senior Enterprise Technology Specialist EMEA bei McAfee und bringt über 25 Jahre Erfahrung im Bereich der Unternehmenssicherheit mit. Seine Spezialgebiete umfassen Cybercrime in privaten und beruflichen Umgebungen und alle Bereiche der IT Security, wie Malware, IPS und Verschlüsselung.