Die Mehrheit deutscher IT-Leiter assoziieren den Umstieg auf Cloud Computing mit einem automatisch ansteigenden Sicherheitsniveau – dies ergab eine Umfrage, die das Cyber-Sicherheitsunternehmen McAfee im Oktober 2019 durchführte. Doch: Wer ist eigentlich für die Sicherheit in der Cloud verantwortlich?
Liegt sie wirklich gänzlich bei den Providern? Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, hat die Antworten und erklärt, worum es sich beim „360° Shared Responsibility Model“ handelt und warum sowohl Unternehmen als auch Cloud-Nutzer einen gewissen Grad an Sicherheitsverantwortung übernehmen müssen.
Eine Gartner-Prognose für 2023 spricht Bände: 99 Prozent aller Sicherheitslücken im Rahmen der Cloud-Nutzung entstehen auf Seiten der Kunden. Damit es nicht dazu kommt, sorgt das von Nigel Hawthorn, Experte für Datensicherheit bei McAfee entwickelte „360° Shared Responsibility Model“ für eine Aufteilung der Verantwortung in Sachen Cloud-Sicherheit. Dadurch erhalten alle Akteure, die Cloud-Technologie nutzen, eine bestimmte Rolle im Sicherheitsgeflecht – von den Providern über die Kunden bis zum Endnutzer. Diese Rollenverteilung soll für einen Rundumschutz der Cloud und sämtlicher Dienste und Daten sorgen, damit sich Unternehmen die Vorzüge der Cloud-IT in vollem Umfang zunutze machen können.
Wo gehobelt wird, fallen auch Späne: So sicher ist die Cloud
Cloud Computing ist mittlerweile zu einer gewinnbringenden Alternative (oder Ergänzung) zu traditionellen On-Premises in der Unternehmens-IT avanciert. Der McAfee-Umfrage zufolge präsentieren 90 Prozent der befragten IT-Leiter ihr Unternehmen als „Cloud-first“. Durch einen solchen cloud-fokussierten Ansatz verzeichnen Betriebe eine höhere Mitarbeiterproduktivität, gesteigerte Effizienz und eine engere Zusammenarbeit im Team. Darüber hinaus zeigen sie sich offener der Expansion in neue Märkte und können ihre Produkteinführungszeit reduzieren.
Dass die befragten IT-Leiter die Migration mit einem höheren Sicherheitsgrad verbinden, ist nicht verwunderlich: Cloud Service Provider (CSP) bieten vorab eine gewisse Sicherheitsgrundlage ihrer Cloud-Infrastruktur an. Diese schließt unter anderem den Schutz der Rechenzentren, der Server-Hardware, der Netzwerk-Konnektivität sowie die Absicherung vor cyberkriminellen Einflüssen von außen (beispielsweise in Form von DDoS-Attacken) mit ein. Doch deckt diese Grundsicherheit nicht alle Elemente und Komponenten in der Cloud ab. Bleiben diese Schwachstellen unbeaufsichtigt, steigt das Risiko von Sicherheits- und Compliance-Verstößen.
Immerhin befinden sich im Unternehmensnetzwerk – irrelevant, ob Cloud oder On-Prem – ein Großteil der unternehmenskritischen und sensiblen Daten. Laut dem McAfee Cloud Adoption and Risk Report machen 21 Prozent den Anteil aller Inhalte dieser Kategorien in der Cloud aus. Und auch die aktuelle Umfrage bestätigt: Die Mehrheit der IT-Leiter geht davon aus, dass sich mindestens die Hälfte der sensiblen Daten und Dokumente im Cloud-Netzwerk ihres Unternehmens befindet. 96 Prozent beabsichtigen sogar, zukünftig noch mehr dieser Daten in die Cloud zu verlagern. Cyber-Kriminelle und Saboteure wissen das und kennen die Schlupflöcher im Netzwerk, durch die sie sich Zugang verschaffen können. Diese reichen von infizierten E-Mail-Anhängen bis hin zur lückenhaften Schatten-IT, die unter dem Radar der IT-Abteilung fällt und somit nicht entsprechend abgesichert werden kann.
Shared Responsibility: Leitfaden für umfassende Sicherheit
Da Provider für diese und weitere Aspekte keine umfassende Sicherheit gewährleisten können, müssen Kunden und Nutzer selbst die Verantwortung über den Schutz ihrer IT-Landschaft übernehmen. Um dies erfolgreich umsetzen zu können, funktioniert das Shared-Responsibility-Modell als Leitfaden und verschafft Unternehmen einen Überblick über die Zuordnung der drei Hauptakteure zu den verschiedenen Verantwortlichkeitsbereichen.
Cloud Service Provider
Der Schutz sowohl sämtlicher physischer Komponenten des Netzwerks sowie der Hosting-Infrastruktur liegt in der Verantwortung der Provider. Internationale Standards – wie ISO 27001 und SOC 2 – schreiben vor, dass Provider Server, Verkabelungen oder Datenspeicher vor Schäden, die durch äußere Einwirkungen oder gefährliche Eingriffe Dritter bedingt sind, besonders schützen müssen. Können Provider nicht für eine einwandfreie und sichere Kommunikation zwischen einzelnen Cloud-Diensten sorgen, steigt das Risiko, schädlichen Angriffen anheimzufallen, die die Infrastruktur lahmlegen.
Kunden
Wenn es um die sichere Funktionalität einzelner Anwendungen geht, sind die Übergänge fließend: Provider und Kunden teilen sich hier – je nach Servicemodell – die Verantwortung auf. Sobald es auf die Ebene des Identity und Access Managements (IAM) übergeht, muss primär der Kunde für Sicherheit sorgen. Wer besitzt welche Privilegien, um bestimmte Cloud-Dienste oder Daten herunterzuladen, zu editieren, in die Cloud zu laden und zu versenden? Hierbei helfen Tools, mit denen die IT-Abteilung Nutzeridentitäten sowie Nutzungsbefugnisse vergeben und identifizieren können. Außerdem müssen Unternehmen mit den richtigen Monitoring- und Geräteverwaltungslösungen dafür sorgen, dass sämtliche Zugänge zum Unternehmensnetzwerk – vor allem aus dem privaten Haushalt – abgesichert werden.
Endnutzer
Endnutzer – also die Mitarbeiter – und ihr Arbeitgeber teilen sich die Verantwortung im Rahmen der Device- und Datensicherheit. Da Mitarbeiter die Daten aus der Cloud auf ihre PCs und Mobile Devices herunterladen, um mit ihnen zu arbeiten, und sich dadurch ein gewisses Gefahrenpotenzial bildet, muss ihren Geräten eine ebenso hohe Aufmerksamkeit zukommen. Darüber hinaus tragen einzelne Mitarbeiter die Verantwortung darüber, aufmerksam mit Daten umzugehen und sie nicht an unautorisierten Orten zu verbreiten.
Fazit
Das „360° Shared Responsibility Model“ deckt sämtliche Cloud-Dienste ab und etabliert ein höheres Sicherheitsbewusstsein auf allen Ebenen der Cloud-Nutzung. Jeder, der mit Cloud-Technologie arbeitet, trägt einen gewissen Teil an Verantwortung, damit sich alle Akteure in der Cloud sicher fühlen können. Sobald auch nur eine Partei nicht mehr ihrer Verantwortung nachgeht, entstehen gefährliche Lücken. Mit der „geteilten Verantwortung“ soll dem Entstehen solcher Schwachstellen vorgebeugt werden.