Für die Anwendungssicherheit ist der Kunde verantwortlich, nicht der Cloud-Provider

bei

 / 14. January. 2022

Michael Gießelbach im Gespräch


 

Michael Gießelbach ist als Regional Director DACH für das gesamte Geschäft von Radware im deutschsprachigen Raum verantwortlich. Er verfügt über langjährige Expertise im Bereich der Cybersecurity sowie Management- und Vertriebserfahrung bei Unternehmen wie Cisco, HP, Sun, F5 und anderen.


 

Etwa 70 Prozent aller IT-Anwendungen von Unternehmen werden nach Umfragen des Sicherheitsspezialisten Radware heute in Public Clouds wie Microsoft Azure, Amazon AWS oder Google Cloud gehostet. Warum dies ein erhebliches Sicherheitsproblem darstellen kann und worauf Betreiber in der Cloud besonders achten sollten, erläutert Michael Gießelbach, Regional Director DACH bei Radware, im Interview.

Herr Gießelbach, die Corona-Pandemie hat nicht nur zu einer erheblichen Ausweitung der Heimarbeit geführt, sondern damit einhergehend auch zu einem deutlich verstärkten Trend in die Cloud. Nahezu täglich liest man allerdings von erheblichen Sicherheitsvorfällen auch bei großen Unternehmen. Hat die Cloud bei all ihren Vorteilen die IT unsicherer gemacht?

Das nicht unbedingt, doch sie bringt ganz neue Herausforderungen an die IT-Sicherheit mit sich, und gerade bei einer Corona-bedingten, plötzlichen Migration vom eigenen Rechenzentrum in die Cloud sind diese Herausforderungen natürlich nicht überall umfassend verstanden worden. Aber man muss auch festhalten, dass Corona nur ein temporärer Beschleuniger ist – der Trend zur Cloud hat völlig unabhängig davon ganz andere Treiber. Während viele Unternehmen sich ursprünglich und meist irrigerweise Kosteneinsparungen erhofft hatten, stehen heute Flexibilität und Agilität ganz klar im Vordergrund, weil sie spürbare Wettbewerbsvorteile versprechen. Die Cloud ermöglicht es, neue oder aktualisierte Anwendungen und Dienste sehr schnell bereitzustellen und auch zu skalieren – also die Ressourcen jederzeit dem aktuellen Bedarf anzupassen. So kann in der Cloud zum Beispiel ein zusätzlicher Server innerhalb von Minuten statt Tagen bereitgestellt und in Betrieb genommen werden. Über entsprechende Werkzeuge wird auch der Entwicklungszyklus von Anwendungen und Diensten deutlich beschleunigt, so dass sich manche Anwendungen täglich, wenn nicht gar stündlich, verändern. In solchen Umgebungen ist es völlig unmöglich, die Sicherheit nachträglich sozusagen aufzupfropfen – sie muss integraler Bestandteil der Entwicklung sein. Und das ist ohne die richtigen Tools nicht ganz einfach.

Was sind denn konkret die größten Stolpersteine auf dem Weg zu sicheren Cloud-Anwendungen?

Da gibt es viele. Einer der größten ist, wie gerade angesprochen, die Integration der IT-Sicherheit in den Entwicklungszyklus. Wenn Sie eine Sicherheitslücke erst erkennen, nachdem Sie die Anwendung ausgerollt haben – und im Worst Case, nachdem ein Hacker sie bereits ausgenutzt hat -, haben Sie ein ernstes Problem. Und je später Sicherheitslücken auffallen, desto teurer wird ihre Schließung. Deswegen sind fortlaufende Tests und Nachjustierungen während der gesamten Entwicklungsphase erforderlich, so dass Sie sich bei der Bereitstellung einer neuen Anwendung oder einer neuen Version sicher sein können, dass sie Ihre Sicherheitsrichtlinien erfüllt. Das Problem dabei ist, dass viele Unternehmen und vor allem deren Entwickler die Agilität vor die Sicherheit setzen, weil sie sich davon Wettbewerbsvorteile erhoffen. Das kann allerdings böse zurückschlagen, denn erfolgreiche, publikumswirksame Attacken können nicht nur das Image nachhaltig schädigen, sondern auch zu erheblichen Strafzahlungen führen – man denke beispielsweise an die DSGVO.

Anwendungen völlig ohne Sicherheitslücken – ist das denn überhaupt möglich?

Das hat es schon im traditionellen Rechenzentrumsbetrieb nicht gegeben, in dem diese Lücken aber wenigstens einigermaßen erfolgreich abgeschirmt werden konnten. Ähnlich wie man Firmengelände mit Zäunen, Bewegungsmeldern und Videokameras sichert, kann man das eigene Rechenzentrum mit Firewalls, Intrusion Prevention Systemen und ähnlichem vor unbefugten Zugriffen schützen. Aber in der Cloud gilt das nicht mehr – da gibt es keine Zäune. Alles ist remote, und jeder Angreifer hat prinzipiell die gleichen Möglichkeiten, auf kritische Daten und Anwendungen zuzugreifen wie legitime Benutzer oder Administratoren. Daher ist es immens wichtig – und hier sind wir beim zweiten großen Stolperstein -, den Zugang zu Anwendungen und Ressourcen auf das absolut notwendige Minimum zu reduzieren. Man bezeichnet das als Prinzip der geringsten Berechtigung – niemand soll mehr tun dürfen, als er zur Erledigung seiner Aufgaben braucht. In der Praxis wird dieses Prinzip jedoch häufig unterlaufen, und exzessive Berechtigungen sind gerade in der Cloud ein großes Problem. Um möglichst agiles Arbeiten zu ermöglichen, erteilen Cloud-Administratoren den Benutzern häufig zu weitreichende Zugriffsmöglichkeiten. Tatsächlich nutzen die meisten Benutzer nur einen kleinen Teil davon und haben keinen geschäftlichen Bedarf an allen Berechtigungen. Aber wenn Zugangsdaten mit überflüssigen Berechtigungen in falsche Hände fallen, etwa durch Phishing, wird dies zum ernsthaften Sicherheitsproblem.

Aber es gibt doch jede Menge Lösungen für das sogenannte Identity und Access Management, mit denen sich das Prinzip der geringsten Berechtigungen durchsetzen lassen sollte. Wo ist das Problem?

Ja, diese Lösungen gibt es. Trotzdem stellen Lücken in der Konfiguration und im Zugriffsmanagement die häufigste Ursache für Sicherheitsverletzungen in Cloud-Umgebungen dar. Die Analysten von Gartner schätzen, dass bis 2023 etwa 75 % der Sicherheitsvorfälle in der Cloud auf eine unzureichende Verwaltung von Identitäten, Zugriffen und Berechtigungen zurückzuführen sein werden – dies ist also ein wirklich ernstes Problem.

Die Ursache liegt oft in der Komplexität, denn die meisten Unternehmen betreiben heute hybride Umgebungen. Viele Anwendungen laufen in der Public Cloud, oft sogar in mehreren, einige noch im eigenen Rechenzentrum und andere in einer Private Cloud. Das Management von Zugangsberechtigungen ist in solchen Umgebungen auch mit einschlägigen Tools alles andere als trivial, und es kommt häufig zu Fehlkonfigurationen etwa bei Passwortrichtlinien oder der Benutzerauthentifizierung. Allerdings gibt es auch Lösungen, die auf Basis des Benutzerverhaltens übermäßige, sprich nie genutzte, Berechtigungen erkennen, so dass die Administratoren gezielt Abhilfe schaffen können.

Welche Rolle spielt denn der Cloud-Provider bei der Sicherheit? Sollte er nicht dafür sorgen, dass seine Kunden sicher sind?

Hier gibt es leider noch viele Missverständnisse. Wir haben kürzlich eine globale Umfrage zur Sicherheit von Webanwendungen durchgeführt, und dabei haben über 70 Prozent der Befragten angegeben, dass sie den Sicherheitsmaßnahmen ihrer Cloud-Provider vollständig oder überwiegend vertrauen. Jeder zehnte hat allerdings erwähnt, dass Missverständnisse über die Zuständigkeiten für Sicherheitsmaßnahmen zu Datenlecks geführt haben, und weitere 37 Prozent konnten das zumindest nicht ausschließen.

Diese Sicherheitslücken entstehen primär durch das falsche Verständnis der geteilten Verantwortlichkeiten. In der Public Cloud mietet man eine Infrastruktur, und der Cloud-Anbieter ist natürlich für die Sicherheit dieser Infrastruktur verantwortlich. Er hat jedoch keinerlei Einfluss darauf, welche Betriebssysteme oder Anwendungen der Kunde auf dieser Infrastruktur betreibt, und kann diese daher auch nicht schützen. Nutzen Kunden eine veraltete Windows-Version oder eine mit Sicherheitslücken gespickte Anwendung auf einer virtuellen Maschine, die der Cloud-Betreiber bereitstellt, sind sie selbst dafür verantwortlich. Das gilt generell für alle Workloads, also für jede Kombination von Betriebssystem und Anwendung – da ist der Cloud-Anbieter außen vor. Seine Aufgabe ist es, die Verfügbarkeit der Infrastruktur zu gewährleisten. Anwendungsaspekte einschließlich der Konfiguration und des Zugriffsmanagements liegen in der Verantwortung des Benutzers. Insbesondere Compliance-Anforderungen, speziell die DSGVO, sehen eine klare Verantwortlichkeit beim Unternehmen selbst.

Wie können Unternehmen ihre Cloud-Infrastruktur denn nun effektiv absichern, insbesondere wenn sie hybride und Multi-Cloud-Architekturen einsetzen?

Damit Unternehmen ihre Cloud-Anwendungsumgebung absichern können, müssen sie eine plattformübergreifende Sicherheitsarchitektur schaffen, die einen umfassenden Schutz von Cloud-Anwendungen und der Cloud-Infrastruktur vor jeder Art von Anwendungsbedrohung bietet – unabhängig davon, ob sie auf die Anwendungsoberfläche oder die Anwendungsinfrastruktur abzielt. Diese Architektur muss zudem konsistent sein – also ein einheitliches Schutzniveau für alle Anwendungen und über mehrere Umgebungen hinweg gewährleisten. Dabei darf es keine Rolle spielen, ob eine bestimmte Anwendung vor Ort, in einer privaten Cloud oder in der öffentlichen Cloud läuft. Eine weitere Anforderung an die Sicherheitsarchitektur ist Anpassungsfähigkeit. Sie muss in der Lage sein, sich an Änderungen in der Anwendungsumgebung und der IT-Architektur und -Infrastruktur anzupassen.


Interview geführt durch:

DIGITALE WELT - Fremd Autorschaft führt extern Interviews mit Experten rund um unsere Themenschwerpunkte durch und reicht diese wie Blog- oder Fachbeiträge bei uns ein.