Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Dienstag, September 24, 2019 15:03 - noch keine Kommentare
Cloud-Sicherheit: Geteilte Verantwortung
Vorfälle bei asiatischen Fluggesellschaften mahnen zur Vorsicht
Ein Kommentar von Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
[datensicherheit.de, 23.09.2019] Wer übernimmt beim Cloud-Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt – und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz – und hier liegt oft das Missverständnis – hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.
Dirk Arendt, Leiter „Public Sector & Government Relations“ bei der Check Point Software Technologies GmbH
Viele Cloud-Projekte scheitern an der Idee der Shared Responsibility
Jedes Unternehmen, das den digitalen Wandel seriös mitgehen möchte und eine Cloud-Umgebung einführt, muss sich das Konzept der geteilten Verantwortung ins Bewusstsein prägen. Geschieht das nicht, oder zu wenig, kann das enorm schädliche Auswirkungen auf die Firma und ihre Kunden haben: Der IT-Zwischenfall beim US-Finanzdienstleister Capital One sorgte Ende Juli für weltweite Schlagzeilen. Fachportale, Tageszeitungen und Nachrichtenmagazine berichteten über den erfolgreichen Angriff einer Hackerin, die sensible Daten von 100 Millionen Kunden in den USA und 6 Millionen Kunden in Kanada erbeutete und im Internet offenlegte. Capital One lagerte die Datensätze in der Amazon Web Services Cloud. Von dort wurden sie gestohlen und die Täterin arbeitete früher für den Cloud-Anbieter. Es ließe sich also leicht eine Verbindung herstellen und ein Schuldiger ausmachen, doch die Fakten bewiesen das Gegenteil: Die Schutzmaßnahmen der AWS-Cloud waren völlig intakt. Stattdessen nutzte die Hackerin eine Fehlkonfiguration der Firewall aus, die Capital One zum Schutz der Daten in der Cloud betrieb.
Zwischenfall mit Passagierdaten bei Fluggesellschaften in Asien
In Asien erschüttert nun ein ähnlicher Fall die Branche: Die Fluggesellschaft Malindo Air meldete am 19. September, dass sie einen Zwischenfall untersucht, der ihre und die Passagiere der Linie Thai Lion Air betrifft. Es wurden die Telefonnummern, Adressen und empfindlichen Details der Personalausweise von 30 Millionen Fluggästen gestohlen und in einem Online-Forum veröffentlicht, wie die South China Morning Post berichtet. Die Datensätze wurden zu diesem Zweck in einen frei zugänglichen AWS-Bucket geladen und zum Teil sogar im Dark Web feilgeboten. Letzteres ist besonders perfide, denn die Daten waren zuvor von den Servern gestohlen worden, die Malindo Air über AWS betrieb. Der Angriff erfolgte dabei über einen ungenannten Drittanbieter, nicht über die AWS-Cloud selbst.
Vorsicht beim Umgang mit Cloud-Umgebungen
Diese Vorfälle mahnen zur Vorsicht im Umgang mit Cloud-Umgebungen. Sie sind die Zukunft des digitalen Marktes, aber die dort geparkten Daten und Anwendungen müssen gut geschützt werden. Daten in Cloud-Diensten sind nur so sicher, wie die Konfiguration der sie umgebenden Sicherheitsmaßnahmen. Unternehmen können Hunderte, Tausende oder sogar Millionen von AWS-S3-Buckets einfach aktivieren – oder ähnliche Cloud-Datenspeicher konkurrierender Plattformen. Doch angesichts der so entstehenden Komplexität ist es für Unternehmen unerlässlich, Fehlkonfigurationen ihrer IT-Infrastruktur ständig zu überprüfen und zu korrigieren – besonders, da Cloud Services gelegentlich ihre Einstellungen ändern und eine Anpassung notwendig machen. Das ist von Hand durchgeführt allerdings ein sehr zeitraubender Prozess. Automatisierte Cyber-Sicherheitslösungen sind hier die bessere Wahl, zumal sie dazu beitragen, die üblichen menschlichen Leichtsinnsfehler bei der Konfiguration der Sicherheitsmechanismen zu vermeiden.
Weitere Informationen zum Thema:
datensicherheit.de, 07.09.2019
Richtige Vorbereitungen treffen: Der Aufstieg der hybriden Cloud stellt neue Sicherheitsherausforderungen dar
datensicherheit.de, 07.06.2019
EternalBlue – Schwachstelle als Waffe
Aktuelles, Experten, Veranstaltungen - Juni 30, 2025 0:53 - noch keine Kommentare
Smart Country Convention 2025: BMDS übernimmt SCCON-Schirmherrschaft
weitere Beiträge in Experten
- DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig
- Kupfer-Glas-Migration: Verbraucherzentrale fordert Verhinderung von Versorgungslücken und Preissteigerungen
- Übersicht von Digitalcourage: Deutschlandticket ohne App-Zwang
- Sommerakademie 2025 in Kiel befasst sich mit der Wechselwirkung von Sicherheit und Datenschutz
- BfDI meldet erfolgreichen Abschluss der „ICIC 2025“
Aktuelles, Branche, Studien - Juli 1, 2025 0:33 - noch keine Kommentare
Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen
weitere Beiträge in Branche
- Sommer, Sonne, Sicherheitsrisiko: Sophos-Tipps für hohen Cyberschutzfaktor auch auf Reisen
- USB-basierte Angriffe: Wie Unternehmen diesem Sicherheitsrisiko begegnen
- CISO-Reifeprüfung – in fünf Stufen zur Cyberresilienz
- Not really ready for Takeoff: 42 Prozent der Fluggäste ignorieren heimlich den Flugmodus
- Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren