In die Cloud – aber sicher! Aber sicher?

Digitalisierungswelle-Niederrhein
Wir Niederrheiner müssen die Digitalisierungs-Welle reiten! Uns bleibt nichts anderes übrig…
16. Oktober 2016
Highly-RSA-1
Zentrale IT-Infrastruktur – Hochverfügbarkeit zum Niedrigpreis
4. April 2017

In die Cloud – aber sicher! Aber sicher?

Cloud-Security

Wie man Unternehmens-Sicherheitsrichtlinien auf Cloud Services ausdehnt.

„Cloud-Computing ist oftmals viel sicherer als traditionelle Inhouse-Infrastrukturen, weil Firmen wie Amazon, Microsoft und Google qualifiziertere Cybersecurity-Spezialisten anziehen und halten können als viele Regierungsstellen.“ Vivek Kundra, Vizepräsident von Salesforce.com und ehemaliger erster CIO der Vereinigten Staaten von Amerika

Es ist eine Binsenweisheit: Cloud-Anwendungen halten für ihre Nutzer zahlreiche Vorteile bereit, darunter rasche Implementierung und vereinfachte Administration, geringe Kosten und eine herausragende Nutzererfahrung durch ein anwenderfreundliches User-Interface. Nicht umsonst boomen seit ca. zwei Jahren Cloud-Dienste auch in Deutschland, der – nach Nordkorea, Kuba und Iran – letztverbliebenen Cloudzweiflernation. Die Cloud ist da, aus einem Buzzword ist längst Business geworden, wie Ralph Haupter, ehemaliger Microsoft-Deutschland-CEO schon vor Jahren feststellte. CRM-Software ist übrigens die am häufigsten adaptierte Cloud-Lösung – Salesforce sei Dank. Getrieben wird diese Entwicklung, wie in anderen Ländern auch, durch die Anwender und Fachabteilungen selbst, weniger durch das Management oder die IT-Abteilung, die sich der Risiken einer unkontrollierten Reise in die Cloud durchaus bewusst sind. Letztlich können sie dem Druck nicht dauerhaft standhalten, wenn sie ausufernde, unkontrollierte Schatten-IT verhindern wollen.

Die Firmen antworten mit Inhouse-Pendants zu Cloud-Angeboten (z.B. TeamDrive vs. Dropbox) und setzen formale Programme auf, um neue Clouddienste einzuführen und bestehende Schatten-IT unternehmensintern zu supporten. Darüber hinaus beginnt man allmählich, bestehende Anwendungs- und Datensilos durch Cloud-native Apps und Microservices zu ersetzen. Anwendungen also, die rein auf Cloud-Technologie aufsetzen – und Unternehmensdaten nicht mehr im Unternehmen, sondern im Internet ablegen und verarbeiten. Gerade in Deutschland steht der Mittelstand, die tragende Säule der Wirtschaft, noch ganz am Anfang dieses Wandels. Es ist sicherlich opportun, dies auch mit der „German Angst“ in Verbindung zu bringen. Dabei ist die Zurückhaltung der Verantwortlichen durchaus berechtigt:

In dem Moment, in dem Daten das Rechenzentrum verlassen und in die Cloud wandern, stecken IT und Management in einer Zwickmühle: Sie wollen die Digitale Transformation gestalten, ihre Innovationskraft stärken und Wachstumspotenziale heben, müssen aber gleichzeitig sensible und/oder wertvolle Daten vor den in puncto Anzahl und Komplexität wachsenden Bedrohungen schützen. Dabei zeigt sich in aktuellen Umfragen, dass das größte Hindernis bei der Umsetzung von Cloud-Projekten der Mangel an internen oder extern involvierten Sicherheitsspezialisten ist.

Wenn die Verantwortlichen die in Großunternehmen inzwischen durchschnittlich mehr als zehnmal pro Woche gestellten Anfragen zu Cloud-Diensten ablehnen, geschieht dies, weil sie glauben, bereits eine vergleichbare hausinterne Lösung zu betreiben (54%), weil man dem Cloud-Anbieter nicht vertraut (53%), weil der Dienst in Ländern mit zweifelhaftem (Datenschutz-) Ruf gehostet wird (42%) und weil sie die Datenverschlüsselung (38%) oder den Schutz vor Datenverlust (40%) für unzureichend halten. Nur 28 Prozent geben an, dass kein Budget vorhanden ist oder dass die notwendige Internet-Bandbreite zur Nutzung von Cloud-Services nicht ausreicht (22%).

Die Sicherheitserfordernisse, die sich aus Unternehmens- oder regulatorischen Vorgaben ergeben, sind vielfältig und lassen sich herunterbrechen bis auf schlampig programmierten Quellcode im Umgang mit Cloud-APIs. Risiken, die sich aus der Nutzung von Cloud-Angeboten ergeben, sind u.a.:

  • Erpressung und Sabotage: Die Geschäftsmodelle der Hacker, die mit „Erfindungen“ wie Locky oder dem „alten Hut“ der DDoS-Attacken Geld zu erpressen versuchen, haben ihre Machenschaften längst auf die Cloud ausgedehnt.
  • Finanzieller Schaden durch die missbräuchliche Nutzung von Cloud-Ressourcen: Hacker könnten Ihre Cloud-Infrastruktur nutzen, um rechenintensives Bitcoin-Mining zu betreiben. Das böse Erwachen kommt mit der nächsten Abrechnung, wenn Sie keine Warnmeldungen bei Überschreiten eines bestimmten Budgets aktiviert haben.
  • Schadenersatzforderungen von Dritten: Hacker greifen Unternehmen von Ihren Cloud-Systemen aus an, um Spuren zu verwischen. Der durch Datendiebstahl, -löschung oder -manipulation entstandene Schaden ist nach dem Prinzip der Gefährdungshaftung unabhängig vom Verschulden rechtlich Ihnen zuzuordnen.
  • Haftung durch die Verbreitung von Spam, Malware oder Raubkopien: Wieder bleiben Sie wegen der Gefährdungshaftung auf dem Schaden sitzen und haben ggf. sogar strafrechtliche Konsequenzen zu tragen.
  • Sofortige Daten- und Kontolöschung durch den Cloud-Diensteanbieter: Nehmen Ihre Cloud-Systeme – auch ohne Ihr Wissen – an Cyberattacken teil, kann Ihr Cloud-Konto plötzlich gesperrt oder ganz gelöscht werden.
  • Reputationsschäden: Werden Ihre Cloud-Anwendungen manipuliert, führt dies quasi unweigerlich zu einem Image-Verlust bei denjenigen Geschäftspartnern, die diese Applikationen nutzen.
  • Schäden durch Datenmanipulation: Subtile Änderungen Ihrer Daten können gezielt von Wettbewerbern beauftragt werden, um Ihnen einen wirtschaftlichen Schaden zuzufügen. Da derartige Manipulationen oft lange Zeit unbemerkt bleiben, sind die sich daraus ergebende Schadenssummen meist sehr hoch und die Datenveränderungen irreversibel.

Kritisch ist vor allem der erhöhte Komplexitätsgrad, wenn Cloud-Lösungen an die interne IT-Infrastruktur angebunden werden. Gerade der Mittelstand ist nicht in der Lage, finanziell angemessen ausgestattete und sicherheitstechnisch ausreichend qualifizierte Projektteams zusammenzustellen. IT-Verantwortliche wiegen sich selbst und die Geschäftsleitung oft in trügerischer Sicherheit, weil sie die Unterschiede in den Angriffsvektoren interner Rechenzentren und Cloud-Umgebungen unterschätzen.

Die interne Infrastruktur lässt sich durch herkömmliche Sicherheitsmaßnahmen isolieren, so dass jeglicher Zugriff von außen nahezu ausgeschlossen werden kann. Eindringungsversuche lassen sich durch Firewalls und Angriffserkennungssysteme („IDS“) lückenlos protokollieren und auf diesem Wege forensisch zurückverfolgen.

Das ist bei Cloud-Systemen nicht der Fall. Kompromittierte API-Schnittstellen können von Eindringlingen genutzt werden, um identische Kopien der Daten zu erstellen und an anderer Stelle anzubinden, um sie in aller Ruhe zu analysieren. So könnte ein Hacker komplette Datenbanken ohne die sonst notwendigen Passwörter auslesen. Das alles geschieht, ohne dass irgendwelche Spuren in internen Logdateien zurückbleiben. Dass sie in großem Stil gehackt wurden, erfahren Betroffene im besten Fall durch Zufallsfunde der Strafverfolgungsbehörden; wenn es schlimmer kommt, durch die Presse oder – der Super-GAU – dadurch, dass ihre Wettbewerber plötzlich über Insiderwissen verfügen und ihre Innovationen kopieren.

Etablierte Vorgehen in der Schnittstellenprogrammierung stellen in der Cloud ein eklatantes Sicherheitsrisiko dar. Beliebte Passwörter wie „123456“ oder online und offline identische Kennwörter, im Unternehmen ohne VPN-Anbindung nach außen noch fahrlässig, aber beherrschbar, sind in der Cloud kein Risiko mehr, sondern eine Gewissheit für Datendiebstahl oder Betriebsunterbrechungen durch Datenverluste. Datenverschlüsselung, in einer geschützten Infrastruktur oft als Luxus-Feature angesehen, ist in der Cloud zwingend notwendig. Software-Bugs, die sensible Daten freigeben, sind intern ein Ärgernis, in der Cloud eine ernste Bedrohung.

Und dennoch: Die Vogel-Strauß-Strategie, dieser Cloud-Trend werde schon irgendwann vorübergehen, kann nicht die passende Antwort auf die geschilderten Herausforderungen sein. „Es ist unmöglich, dass diese Firma in einem Jahr noch existiert.“ Thomas Siebel, Gründer des CRM-Erfinders und ehemaligen Weltmarktführers Siebel Systems, hat sich in seiner Einschätzung zu Salesforce.com gewaltig geirrt. Wer glaubt, mit traditionellen IT-Systemen für die Digitale Transformation gerüstet zu sein, dem sei dieser drei Jahre alte Fortune-Artikel über den Tod eines Technologie-Giganten anempfohlen.

Fazit: Ein Umdenken bei Administratoren, Programmierern, Anwendern und Entscheidern ist gefordert, um den neuen Risiken angemessen zu begegnen. IT-Sicherheitsberater begleiten die Umsetzung der Cloud-Unternehmensstrategie durch ein interdisziplinäres Vorgehen und helfen dabei, die digitale Transformation anzugehen und gleichzeitig wertvolle Geschäftsdaten zu schützen.


Dieser Blogbeitrag wirft zugegebenermaßen mehr Fragen auf, als dass er konkrete Antworten oder Handlungsempfehlungen bereithält, insoweit entschuldigt sich der Autor für die irreführende Subline. Externe IT-Sicherheitsprofis zu engagieren mag außerdem ein Ratschlag sein, der dem Unternehmen des Autors geschäftlich nutzt und daher in Sachen Objektivität durchfällt. Gleichwohl – und diese Überzeugung hat der Autor nicht exklusiv, sondern das ist „Common Sense“ und sollte auch beim geneigten Leser verfangen – lassen sich Sicherheitsregeln der Unternehmen nicht 1:1 und in den seltensten Fällen ausschließlich mit eigenem Personal auf die Cloud adaptieren.