Vorschriftenkonforme Nutzung mehrerer Clouds in unterschiedlichen Rechtsräumen
Undurchsichtige Cloud: Unklare Risiken mit schwerwiegenderen Folgen
Die Cloud birgt sowohl Chancen als auch Risiken. Doch für die meisten Unternehmen überwiegen die Chancen nach wie vor bei Weitem. Ein Großteil des Risikos geht aber von potenziellen Rechtsverstößen aus. Es besteht die Gefahr, dass Unternehmen aufgrund der Art, in der Daten bei ihnen gespeichert, abgerufen oder verändert werden oder abfließen, gegen die immer komplizierteren Datensicherheits- und Datenschutzvorschriften verstoßen.
Schlimmer noch: Viele IT- und Sicherheitsexperten haben nicht einmal eine klare Vorstellung davon, wo diese Risiken genau liegen könnten. Noch unübersichtlicher wird das Ganze, wenn Daten und Arbeitsvorgänge über mehrere Clouds verteilt sind, wie es bei der überwiegenden Zahl der Unternehmen der Fall ist. Die Cloud ist immer undurchdringlicher geworden und verschleiert inzwischen lauernde Compliance-Risiken. Gleichzeitig wächst die Zahl der rechtlichen Vorgaben für international tätige Organisationen und Unternehmen immer weiter.
Da sich Sicherheitskonzepte für die Beseitigung dieser Compliance-Risiken als unzureichend erweisen, benötigen IT-Abteilungen und Compliance-Verantwortliche einen neuen Ansatz, mit dem sie Vorschriftsverstöße in der Cloud erkennen und beheben können, noch bevor sie auftreten.
Die Herausforderung einer rechtssicheren Cloud-Nutzung
Wenn in der Cloud gehostete Daten für Unbefugte zugänglich sind, kann das für Unternehmen unangenehm werden. Ihnen droht unter anderem, das Vertrauen ihrer Kunden zu verspielen, ihr Image zu schädigen und die Aufmerksamkeit der Aufsichtsbehörden auf sich zu ziehen. Im schlimmsten Fall kann ein Datenleck Geldstrafen zur Folge haben, wenn die Aufsichtsbehörden glauben, dass ein Unternehmen keine angemessenen Maßnahmen zur Absicherung seiner Daten ergriffen hat.
Wie kommt es zu einer solchen Offenlegung? Die Ursachen sind vielfältig – von Social Engineering-Angriffen über eine unzureichende Zugriffskontrolle bis hin zu Datenlecks, die durch externe Akteure böswillig herbeigeführt werden. Doch wer eine solche Datenpreisgabe vermeiden will, für den bietet die Cloud einzigartige Hürden und Herausforderungen. Insbesondere stellen Fehlkonfigurationen ein großes Risiko dar, wenn Cloud-Anbieter und Cloud-Kunde gemeinsam für die Sicherheit verantwortlich sind.
Tatsächlich zählen unbeabsichtigte Fehler des Menschen bei Cloud-Implementierungen, auch als Fehlkonfigurationen bezeichnet, zu den größten Gefahrenquellen für Daten in der Cloud. Public Clouds, die versehentlich dem öffentlichen Internet ausgesetzt oder in anderer Weise falsch konfiguriert sind, können schwerwiegende Datenlecks verursachen, wie beispielsweise 2020 bei Twilio zu beobachten war.
Fehlkonfigurationen bei Clouds nehmen zu. Je mehr Unternehmen auf cloudbasierte Dienste umsteigen, desto größer wird die Angriffsfläche und damit auch das Risiko einer ungewollten Datenpreisgabe aufgrund falsch konfigurierter Ressourcen. Nach Angaben von Gartner „werden 2027 99 Prozent der kompromittierten Einträge in Cloud-Umgebungen nicht auf ein Problem beim Cloud-Provider, sondern auf Fehlkonfigurationen durch Nutzer und Kompromittierungen von Konten zurückzuführen sein“.
Oft werden Probleme erst erkannt, wenn Fehlkonfigurationen bereits Auswirkungen gezeitigt haben. Das liegt daran, dass viele weit verbreitete Arten von Cloud-Sicherheitslösungen – wie Cloud Security Posture Management (CSPM) oder Cloud-Native Application Protection Platform (CNAPP) – Symptome nicht bereits bei der Einrichtung dieser Dienste durch die DevOps-Abteilung, sondern erst im Nachhinein feststellen. Im Zuge des nachträglichen Aufspürens werden Warnmeldungen ausgelöst, deren Behebung einige Zeit dauern kann, sodass Cloud-Ressourcen vorübergehend nicht vollends abgesichert sind.
Bis einem Unternehmen bewusst wird, dass es unter Umständen die rechtlichen Vorgaben nicht einhält oder aufgrund von Fehlkonfigurationen Angriffen ausgesetzt sein könnte, ist es möglicherweise bereits zu spät.
Es existieren noch zahlreiche weitere Herausforderungen in Bezug auf Datensicherheit, -Integrität und -Compliance in der Cloud, u. a.:
Datenausschleusung: Digitale Assets bieten alle möglichen Angriffsvektoren, unabhängig davon, ob sie in der Cloud oder vor Ort angesiedelt sind. Multi-Cloud-Implementierungen bergen aber noch zusätzliche Gefahren, da die physische Infrastruktur nicht in den direkten Einfluss- und Verantwortungsbereich eines Unternehmens fällt. Von einfachen Social Engineering-Tricks bis hin zur in hohem Maße auf das Opfer zugeschnittenen Ausnutzung von Sicherheitslücken stehen Angreifern zahlreiche Möglichkeiten zur Verfügung, um Daten aus der Cloud auszuschleusen.
Mehrmandantenfähigkeit:Public Clouds werden von vielen Unternehmen gemeinsam genutzt und die Verantwortung für ihre Absicherung obliegt dem Cloud-Provider und diesen Cloud-Kunden. Studien haben gezeigt, dass in der Cloud gehostete Daten versehentlich für andere Cloud Mandanten freigegeben werden können, wenn die Sicherheitsperimeter nicht durchgesetzt werden.
Cloudbasierte Schatten-Infrastruktur: Am Ende finden sich Unternehmen oft mit nicht mehr genutzten oder vergessenen Cloud-Instanzen wieder. Das ist das Ergebnis eines natürlichen Prozesses im Zuge der Neuausrichtung, Veränderung oder des Wachstums von Unternehmen, welche die Anpassung beruflicher Funktionen und Verantwortungsbereiche mit sich bringen. Es kann auch dazu kommen, wenn wohlmeinende Angestellte die Sache selbst in die Hand nehmen, um ihre Arbeit zu erledigen, sich dabei aber nicht an genehmigte IT-Prozesse halten. Die Folge ist unter Umständen eine sekundäre Multi-Cloud-Schatteninfrastruktur, die nicht erfasst und nicht durch Sicherheitsrichtlinien geschützt ist, aber sehr wohl sensible Informationen enthält.
Diese Herausforderungen bei Compliance und Sicherheit im Cloud-Kontext wirken sich in Echtzeit auf Unternehmen aus. In ihrem Cloud-Risiko-Bericht beschreibt die Firma CrowdStrike einen Anstieg des Cloud-Missbrauchs um 95 Prozent. In den Fällen, in denen Angreifer es direkt auf Public Cloud-Dienste abgesehen hatten, ist es sogar zu einer Steigerung um 288 Prozent gekommen. Darüber hinaus wird in dem Bericht die Feststellung getroffen, dass es im Durchschnitt 207 Tage dauert, solche Sicherheitslücken überhaupt zu erkennen, geschweige denn zu schließen.
Cloud-Sicherheitsprobleme bestehen nach wie vor und setzen Unternehmen Risiken aus. Dies entwickelt sich zu einer tickenden Zeitbombe, sowohl im Hinblick auf die Einhaltung gesetzlicher Vorschriften, als auch auf die finanzielle Stabilität und die allgemeine Sicherheit des Unternehmens. Und es steht viel auf dem Spiel. Die Bußgelder, die allein aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verhängt werden, können sich entweder auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens belaufen – je nachdem, welcher Betrag höher ausfällt.
Unterschiedlichen Rechtsräumen gerecht werden
Darüber hinaus gelten in jedem Rechtsraum andere Vorschriften. Die erforderlichen Datensicherheits- und Datenschutzmaßnahmen unterscheiden sich je nach Weltregion. Hier einige der wichtigsten Regelwerke:
Die DSGVO und die NIS-2-Richtlinie regeln den Umgang mit Daten von EU-Bürgern
Der Digital Personal Data Protection Act (DPDP) regelt den Schutz personenbezogener Daten in Indien
Nationale Vorschriften oder branchenspezifische Vorschriften in den Vereinigten Staaten (etwa CCPA, HIPAA)
Branchenvorschriften wie PCI DSS, regeln den Umgang mit persönlichen Zahlungsdaten
Es ist so gut wie unmöglich, manuell sicherzustellen, dass sämtliche Cloud-Instanzen alle relevanten gesetzlichen Rahmenvorgaben erfüllen. Dies kann auch die Geschäftsfeldentwicklung behindern, wenn Unternehmen versuchen, neue Märkte zu erschließen.
Und schließlich ist der Nachweis der Einhaltung aller Vorschriften ohne regelmäßige Audits sämtlicher Daten und Systeme schwierig. Dies stellt eine besondere Herausforderung dar, wenn Unternehmen auf mehrere Clouds von verschiedenen Anbietern gleichzeitig zurückgreifen.
Die interne Sicherheitslösung für Clouds
Gefragt ist ein vorbeugender Ansatz. Es ist nicht möglich, alle Risiken und Fehler vorherzusehen und im Voraus auszumerzen. Daher sollte ein präventiver Ansatz verfolgt werden, und zwar in Form interner Sicherheits- und Compliance-Überprüfungen, die bereits bei der Implementierung von Cloud-Instanzen durchgeführt werden – nicht erst, nachdem bereits Fehler gemacht wurden. Fehler sollten automatisch nachverfolgt und beseitigt werden. Außerdem muss die Einhaltung der Vorschriften automatisch durchgesetzt werden, nicht manuell.
Genau diese Art der internen Cloud-Sicherheitsüberprüfung für Kunden ist in die Cloudflare-Plattform integriert. Wir optimieren die Einhaltung von Cloud-Sicherheitsvorschriften für Kunden, indem wir sichere Konfigurationen automatisch bewerten und durchsetzen. So können robuste Sicherheit und die Einhaltung der gängigsten rechtlichen Rahmenvorschriften gewährleistet werden. Cloudflare nimmt den Cloud-API-Datenverkehr unter die Lupe. Das bietet Unternehmen einen besseren Überblick und präzisere Kontrollen und erlaubt ihnen einen proaktiven Ansatz zur Risikoabwehr und Verwaltung ihres Cloud-Sicherheitsniveaus.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Die Risiken in puncto Sicherheit und Compliance beim Cloud-Computing
Wie die Nutzung einer Multi-Cloud-Infrastruktur zu Fehlkonfigurationen führen kann
Mögliche Lösungen zur Datenschutzkonformität bei mehreren Clouds und Rechtsräumen
Verwandte Ressourcen
Drei Herausforderungen bei der Absicherung und Vernetzung von Anwendungsdiensten
Die Auswirkungen des Cloud-Einsatzes auf die Sicherheit von Unternehmen
Vertiefung des Themas:
Mehr über die Absicherung von cloudbasierten Anwendungsdiensten erfahren Sie in dem Whitepaper „Drei Herausforderungen bei der Absicherung und Vernetzung von Anwendungsdiensten“.