{"id":15084,"date":"2019-10-02T11:58:32","date_gmt":"2019-10-02T09:58:32","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15084"},"modified":"2019-09-25T10:02:32","modified_gmt":"2019-09-25T08:02:32","slug":"cloud-sicherheit-geteilte-verantwortung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15084","title":{"rendered":"Cloud-Sicherheit: Geteilte Verantwortung"},"content":{"rendered":"\n

Autor\/Redakteur: Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei der Check Point Software Technologies GmbH<\/a>\/gg<\/p>\n\n\n\n

Wer \u00fcbernimmt beim Cloud-Computing die Verantwortung f\u00fcr die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt \u2013 und zwei Bereiche, die hier unabh\u00e4ngig voneinander gesch\u00fctzt werden: Zum einen ist da die Cloud selbst, f\u00fcr deren Schutz der Anbieter die Verantwortung \u00fcbernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz \u2013 und hier liegt oft das Missverst\u00e4ndnis \u2013 hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt h\u00e4ufig das Verh\u00e4ltnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.<\/p>\n\n\n\n

\"\"
Bild: Checkpoint<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Jedes\nUnternehmen, das den digitalen Wandel seri\u00f6s mitgehen m\u00f6chte und eine\nCloud-Umgebung einf\u00fchrt, muss sich das Konzept der geteilten Verantwortung ins\nBewusstsein pr\u00e4gen. Geschieht das nicht, oder zu wenig, kann das enorm\nsch\u00e4dliche Auswirkungen auf die Firma und ihre Kunden haben: Der\nIT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli f\u00fcr\nweltweite Schlagzeilen. Fachportale<\/a>,\nTageszeitungen<\/a>\nund Nachrichtenmagazine<\/a>\nberichteten \u00fcber den erfolgreichen Angriff einer Hackerin, die sensible Daten\nvon 100 Millionen Kunden in den USA und sechs Millionen Kunden in Kanada\nerbeutete und im Internet offenlegte. Capital One lagerte die Datens\u00e4tze in der\nAmazon Web Services Cloud. Von dort wurden sie gestohlen und die T\u00e4terin\narbeitete fr\u00fcher f\u00fcr den Cloud-Anbieter. Es lie\u00dfe sich also leicht eine\nVerbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen\ndas Gegenteil: Die Schutzma\u00dfnahmen der AWS-Cloud waren v\u00f6llig intakt.\nStattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die\nCapital One zum Schutz der Daten in der Cloud betrieb.<\/p>\n\n\n\n

In\nAsien ersch\u00fcttert nun ein \u00e4hnlicher Fall die Branche: Die Fluggesellschaft\nMalindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht,\nder ihre und die Passagiere der Linie Thai Lion Air betrifft. Es wurden die\nTelefonnummern, Adressen und empfindlichen Details der Personalausweise von 30\nMillionen Flugg\u00e4sten gestohlen und in einem Online-Forum ver\u00f6ffentlicht, wie\ndie South\nChina Morning Post<\/a> berichtet. Die Datens\u00e4tze wurden zu diesem Zweck in\neinen frei zug\u00e4nglichen AWS-Bucket geladen und zum Teil sogar im Dark Web\nfeilgeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von\nden Servern gestohlen worden, die Malindo Air \u00fcber AWS betrieb. Der Angriff\nerfolgte dabei \u00fcber einen ungenannten Drittanbieter, nicht \u00fcber die AWS-Cloud selbst.\n<\/p>\n\n\n\n

Diese\nVorf\u00e4lle mahnen zur Vorsicht im Umgang mit Cloud-Umgebungen. Sie sind die Zukunft\ndes digitalen Marktes, aber die dort geparkten Daten und Anwendungen m\u00fcssen gut\ngesch\u00fctzt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration\nder sie umgebenden Sicherheitsma\u00dfnahmen. Unternehmen k\u00f6nnen Hunderte, Tausende\noder sogar Millionen von AWS-S3-Buckets einfach aktivieren \u2013 oder \u00e4hnliche\nCloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so\nentstehenden Komplexit\u00e4t ist es f\u00fcr Unternehmen unerl\u00e4sslich,\nFehlkonfigurationen ihrer IT-Infrastruktur st\u00e4ndig zu \u00fcberpr\u00fcfen und zu\nkorrigieren \u2013 besonders, da Cloud Services gelegentlich ihre Einstellungen\n\u00e4ndern und eine Anpassung notwendig machen. Das ist von Hand durchgef\u00fchrt\nallerdings ein sehr zeitraubender Prozess. Automatisierte\nCyber-Sicherheitsl\u00f6sungen sind hier die bessere Wahl, zumal sie dazu beitragen,\ndie \u00fcblichen menschlichen Leichtsinnsfehler bei der Konfiguration der\nSicherheitsmechanismen zu vermeiden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wer \u00fcbernimmt beim Cloud-Computing die Verantwortung f\u00fcr die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt \u2013 und zwei Bereiche, die hier unabh\u00e4ngig voneinander gesch\u00fctzt werden: Zum einen ist da die Cloud selbst, f\u00fcr deren Schutz der Anbieter die Verantwortung \u00fcbernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz \u2013 und hier liegt oft das Missverst\u00e4ndnis \u2013 hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt h\u00e4ufig das Verh\u00e4ltnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.<\/p>\n","protected":false},"author":3,"featured_media":15085,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[22,1881],"tags":[4135,11273,12944,12945,5346,6259,9715,36],"class_list":["post-15084","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-glosse","tag-aws","tag-bucket","tag-capital-one","tag-malindo-air","tag-s3","tag-security","tag-shared-responsibility","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15084"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15084\/revisions"}],"predecessor-version":[{"id":15086,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15084\/revisions\/15086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15085"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}