Sorgenkind Cloud: Schwachstellen aufspüren, analysieren und beseitigen

Rund 15 Prozent der deutschen Unternehmen betreiben, laut einer Bitkom-Umfrage ihre IT-Anwendungen mehrheitlich aus der Cloud. Bis 2028 soll sich dieser Wert auf 56 Prozent erhöhen. Doch stehen dieser Entwicklung zwei Hindernisse im Weg: Fachkräftemangel bei den Cloud-Sicherheitsexperten und die Sicherheit der Cloud-Umgebungen. So sorgen sich 95 Prozent aller IT-Entscheider in deutschen Unternehmen nach wie vor um die Sicherheit ihrer Clouds. Dagegen scheint auch der Einsatz unterschiedlicher Cloud-Sicherheitslösungen zu helfen. Mehr als 70 Prozent gaben in Umfragen an, drei oder mehr separate Sicherheitslösungen zu nutzen, um die Cloud-Richtlinien ihres Unternehmens zu konfigurieren. Fehlkonfigurationen sind da keine Seltenheit – Datenlecks die Folge.

Laut dem 2022 Snyk State of Cloud Security Report sind Fehlkonfigurationen derzeit die größte Bedrohung für die Cloud-Sicherheit. 80 Prozent aller Unternehmen hätten bereits mindestens einen Cloud-Sicherheitsvorfall zu beklagen gehabt, der durch Fehlkonfigurationen herbeigeführt worden sei. Auch im diesjährigen CSA State of SaaS Security: 2023 Survey Report gaben 55 Prozent der befragten IT-Entscheider zu Protokoll, in den vergangenen zwei Jahren einen entsprechenden Cloud-Sicherheitsvorfall erlitten zu haben. Alle Studien zeigen: Fehlkonfigurationen der Cloud-Sicherheit sind ein ernsthaftes Problem. Tritt ein Datenleck erst einmal auf, wird es oft erst nach Monaten entdeckt.

Cloud-Umgebungen sind fluide

Die Ursache der Fehlkonfigurationen ist leicht zu erklären: Im Vergleich zu den eher starren On Premises-Umgebungen sind Cloud-Umgebungen fluide. Sie sind stark skalierbar, anpassbar, formbar. Da sie sich in einem ständigen Fluss befinden, sich wandeln, müssen auch die sie schützenden Cloud-Sicherheitslösungen ständig angepasst, regelmäßig nachjustiert werden. Vor allem mit drei Herausforderungen sehen sich die IT-Sicherheitsteams der Unternehmen dabei konfrontiert:

• Mangelnde Sichtbarkeit und Kontrolle
  In Public Cloud-Umgebungen müssen Unternehmen die Infrastruktur mit anderen Cloud-Mietern teilen. Dies reduziert Sichtbarkeit und Kontrolle und erfordert ein gemeinsames Vorgehen bei der Implementierung und Konfiguration der Sicherheitslösungen – was den Optimierungsprozess für die IT-Sicherheitsteams deutlich erschwert
• Cloud-Angriffsvektoren
  Reine und hybride Cloud-Umgebungen erlauben Angriffsvektoren, die sich von denen einer On Premises-Umgebung deutlich unterscheiden. Beispielsweise können Angreifer versuchen, sich über die Zugänge der Cloud-Anbieter Zugriff auf die Systeme und Daten ihrer Opfer zu verschaffen.
• Komplexität
  Cloud-Umgebungen sind komplexer als On Premises-Umgebungen. Die Verwaltung der Sicherheit über mehrere Cloud-Anbieter hinweg, von denen jeder sein eigenes Sicherheitsmodell hat, ist eine schwierige Aufgabe. IT-Sicherheitsteams macht diese Komplexität erheblich zu schaffen.

Automatisiert operierende Cloud-Security

Technische Unterstützung sollte Transparenz in der Cloud ermöglichen und eine Validierung der Sicherheitskontrollen hinsichtlich – aber nicht nur – Cloud-spezifischer Angriffsvektoren ermöglichen. Eine Möglichkeit, dies automatisiert in den Griff zu bekommen, stellt der Einsatz einer Cloud Security Validation und Exposure Management (CSVEM)-Lösung dar. Solche automatisch operierenden Lösungen unterstützen IT-Security-Teams dabei, in der Cloud für Sicherheit zu sorgen und diese dann auch aufrecht zu erhalten – kontinuierlich und in Echtzeit. Mittlerweile umfassen effektive CSVEM-Systeme vier Funktionalitäten

• Attack Surface Management (ASM), um Cloud Assets und Fehlkonfigurationen zu ermitteln,
• Breach and Attack Simulations (BAS), um die zentralen Sicherheitskontrollen allgemein und gegen die wahrscheinlichsten Bedrohungen zu validieren, sowie um sicherzustellen, dass die Cloud-Konfigurationen den jeweils erforderlichen Industriestandards entsprechen,
• Continuous Automated Red Teaming (CART), um automatisierte Pentests kontinuierlich im gesamten Unternehmensnetzwerk durchzuführen – innerhalb von Cloud- sowie zwischen Cloud- und On Premises-Umgebungen und
• Exposure Analytics (EA), um Daten von Drittparteien zu sammeln und zu integrieren, um Risiken von Assets und Umgebungen nach ihrer Geschäftsrelevanz zu bemessen, um bei der Behebung von Schwachstellen Prioritäten zu setzen, sowie um die Cyberwiderstandsfähigkeit zu messen und Basiswerte festzulegen.

Martin Tran

ist Head of Sales (DACH) by Cymulate.