Sicherheitsbedenken sind immer noch größtes Cloud-Hemmnis: 72 Prozent der befragten Entscheidungsträger sehen die größten Schwierigkeiten in der Compliance und der Sicherheit, wenn es um Cloud Computing geht. Die Studie „Blue Skies Ahead? The State of Cloud Adoption“ von Intel Security zeigt allerdings auch, dass 66 Prozent der Befragten meinen, ihre Führungsspitze verstehe die Risiken nicht so ganz, die bestehen, wenn man vertrauliche Daten in einer Cloud speichert.
Dabei gibt es eine Vielzahl von Studien und Übersichten, die die Cloud-Risiken aufführen und keinen Zweifel daran lassen, dass mehr für die Cloud-Sicherheit getan werden muss. Eine solche Übersicht ist Cloud Top 10 Security Risks von OWASP (Open Web Application Security Project). Zu den dort genannten Cloud-Risiken gehört der Verlust über die Datenkontrolle in einer Public Cloud, Probleme bei der Einhaltung der Datenschutz-Vorgaben wie der Zweckbindung, Sicherheitslücken in der Infrastruktur des Cloud-Providers oder Cloud-Nutzers und Schwierigkeiten bei der forensischen Suche bei IT-Vorfällen, um nur einige zu nennen.
Ein wesentlicher Vorteil der Nutzung von Clouds, die Möglichkeit, sich die IT-Ressourcen und damit auch die Kosten mit anderen zu teilen, ist gleichzeitig eines der Top-10-Risiken. Die gemeinsame Nutzung von Cloud-Ressourcen durch mehrere Anwender wird aber nicht nur als eigenes Risiko genannt, sie spielt auch bei weiteren Risiken eine wichtige Rolle, so zum Beispiel bei dem Risiko, die Vorgaben des Datenschutzes nicht einhalten zu können.
Tatsächlich erfordert das Konzept der gemeinsamen Nutzung von Ressourcen und Services spezielle, zusätzliche Sicherheitsmaßnahmen: Bei Multi-Tenancy in der Cloud muss sichergestellt werden, dass sich die verschiedenen Instanzen nicht gegenseitig negativ beeinflussen. Auf Mandantenebene gesehen muss dafür Sorge getragen werden, dass der eine Mandant nicht unerlaubt die Daten des anderen nutzen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt für den Fall, dass die verschiedenen Nutzer oder Mandanten unzureichend getrennt sind, gleich mehrere Gefährdungen, darunter unerlaubte Zugriffe auf eine fremde virtuelle Maschine, Abfangen des Netzwerkverkehrs des anderen Mandanten, unerlaubter Zugriff auf fremden Cloud-Storage und Attacken auf die Cloud-Apps eines anderen Mandanten, wobei jeweils die unzureichende Isolation der verschiedenen Mandanten ausgenutzt wird.
Nicht nur wenn sich ganze Unternehmen für die Nutzung einer Multi-Tenant Cloud entscheiden, also eine Cloud gemeinsam mit anderen Unternehmen nutzen, muss an die Vorgaben der IT-Sicherheit und des Datenschutzes gedacht werden. Auch innerhalb eines Unternehmens gibt es verschiedene Mandanten mit eigenen Berechtigungen, Anwendungen und Compliance-Anforderungen, wie den Vertrieb und die Personalabteilung zum Beispiel.
Die verschiedenen Mandanten müssen in der Cloud-Umgebung wirksam getrennt werden. Die Aufsichtsbehörden für den Datenschutz haben hierzu klare Vorgaben veröffentlicht. Wie die Datenschützer schreiben, unterliegt die gemeinsame Nutzung einer erhöhten Anforderungen an die Trennung der personenbezogenen Daten, um die aus der gemeinsamen Nutzung entstehenden Risiken für die informationelle Gewaltenteilung, die Zweckbindung und Vertraulichkeit hinreichend zu reduzieren.
Für die Datensicherheit entscheidend sind Maßnahmen zur Trennung der Mandanten wie zum Beispiel die Verschlüsselung der Daten und die regelmäßige Auditierung der Datenzugriffe. Das BSI nennt eine Reihe von Maßnahmen für die Anwendungs-, Plattform-, Speicher- und Netz-Ebene und weist auch auf die Mandantentrennung im Cloud-Management bei Virtual oder Managed Private-Cloud-Diensten hin.
Was bei all den Risiken einer gemeinsamen Cloud-Nutzung aber vergessen wird: Multi-Tenancy hat auch Vorteile für die Cloud-Sicherheit. Indem man die einzelnen Mandanten gegen Risiken wie bösartige andere Mandanten, plötzliche Ausfälle und mögliche Probleme durch Seiteneffekte auf die Performance und Verfügbarkeit absichert, sorgt man für eine zusätzliche Sicherheitsebene, gegen Risiken aus dem Inneren der Cloud.
Diese Maßnahmen als Schutz nach innen werden bei anderen Formen der Cloud-Nutzung eher nicht ergriffen, da man sie nicht für notwendig erachtet. Ein weiterer Sicherheitsvorteil besteht darin, dass Sicherheits-Patches und andere Fehlerbehebungen oder Aktualisierungen gemeinsam für die Mandanten durchgeführt werden und nicht womöglich nacheinander.
Wenn man also die Mandanten wirklich sauber trennt, kann die zusätzliche Mandantenisolation einen positiven Effekt auf die Cloud-Sicherheit haben. Dann gilt auch in der Cloud: Gemeinsam sind wir stärker.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…