Suchen

Schwachstellen in der Wolke Aktuelle Cloud-Trends und die Folgen für die Security

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Florian Karlstetter

Die Bedeutung von Cloud Computing nimmt weiter zu. Schwachstellen in der Cloud gehören deshalb zu den besonders kritischen Bedrohungen für Unternehmen. Doch welche Sicherheitslücken gibt es in der Cloud, und welche weiteren Schwachstellen sind zu erwarten? Dazu ein Auszug aus einem eBook vom Mai 2019.

Firmen zum Thema

Von möglichen Risiken beim Cloud Computing zu Lösungsansätzen.
Von möglichen Risiken beim Cloud Computing zu Lösungsansätzen.
(Bild: AndSus - stock.adobe.com [M])

Edge wird die Cloud nicht verdrängen, aber manche Unternehmen könnten sich fragen: Lohnt es sich langfristig noch, die Sicherheit der genutzten Cloud-Services in den Blick zu nehmen und die Frage zu stellen, welche Schwachstellen es bei Cloud Computing gibt? Immerhin lautet eine Prognose der Marktforscher von Gartner, dass im Jahr 2021 ganze 65 Prozent der globalen Infrastruktur-Dienstleister 55 Prozent ihres Umsatzes durch Edge-Services erzielen werden. Für 2022 schätzt Gartner zudem, dass die Hälfte der großen Organisationen Edge-Computing-Prinzipien in ihre Projekte integrieren wird.

Edge Computing ist allerdings nicht das Ende des Cloud Computing, sondern eine wichtige Ergänzung und Erweiterung. Ebenfalls laut Gartner werden 28 Prozent der Ausgaben in den wichtigsten IT-Märkten bis 2022 in die Cloud verlagert, verglichen mit 19 Prozent im Jahr 2018. Im Bereich Applikation sollen es im Jahr 2022 sogar 40 Prozent aller getätigten IT-Ausgaben sein. Schwachstellen in der Cloud und insbesondere in Cloud-Apps werden also zu einer noch größeren Bedrohung, als sie es heute schon sind.

Cloud-Risiken werden weiter zunehmen

Die Marktforscher von Gartner betonen dann auch die Bedeutung der Cloud-Risiken und damit der Cloud-Schwachstellen. Cloud-Risiken gehören zu den Top-Risiken, gerade für Compliance und Finanzen. Dabei geht es nicht nur darum, dass Cloud-Risiken durch Angreifer ausgenutzt werden können. Im Jahr 2022 werden mindestens 95 Prozent der Cloud-Sicherheitsfehler die Schuld der Unternehmen selbst sein, meint Gartner.

Der aktuelle Cloud-Monitor von Bitkom und KPMG zeigt die Befürchtungen der Unternehmen: Fast zwei Drittel der Nichtnutzer (63 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Mehr als die Hälfte (56 Prozent) hat Sorge, dass Daten in der Cloud verloren gingen. Jeder zweite Nichtnutzer (50 Prozent) vermutet eine unklare Rechtslage. Jeder dritte Nicht-Nutzer (35 Prozent) berichtet von internem Widerstand oder Zweifeln an der Integrationsfähigkeit der Public-Cloud-Lösungen mit der internen IT.

Probleme mit Cloud-Services erleben die Unternehmen auch in der Praxis: Insgesamt konnten sieben von zehn Cloud-Anwendern (69 Prozent) kurzzeitig nicht auf ihre Cloud-Lösungen zugreifen. Dafür gab es verschiedene Ursachen: Am häufigsten waren technische Probleme auf Seiten des Cloud-Providers (46 Prozent) dafür verantwortlich. Bei etwa jedem vierten Unternehmen (23 Prozent) waren technische Probleme in der internen IT der Grund, bei jedem dritten Unternehmen (35 Prozent) eine fehlende Netzwerkanbindung.

Schwachstellen in der Cloud werden noch vielfältiger

Wenn es um die Risiken geht, die mit Cloud Computing verbunden sind, denken viele Unternehmen zuerst an Fragen wie Datenschutz, Compliance, den unklaren Standort der Cloud, möglichen Datenverlust, fehlende Cloud-Backups, unzureichende Verschlüsselung der Cloud-Daten oder Probleme bei der Löschung von Cloud-Daten.

Wenn man noch genauer hinsieht, werden weitere mögliche Schwachstellen deutlich, in den Zugangsgeräten und bei den Zugangswegen zu den Cloud-Services, aber auch in der internen IT, denn kein Unternehmen macht wirklich reines Cloud Computing, der Normalfall ist und bleibt das hybride Cloud Computing als Mischung aus Cloud-Services und On-Premises.

Da gerade Cloud-Applikationen weiter an Bedeutung gewinnen werden, sollten Unternehmen auch daran denken, dass mit den Anwendungen auch die Anwendungsrisiken und Applikationsschwachstellen in die Cloud Einzug halten. Ein Beispiel sind hier ERP-Systeme.

Beispiel: ERP aus der Cloud

Laut einer Umfrage der Cloud Security Alliance (CSA) migrieren 69 Prozent der Unternehmen Daten gängiger ERP-Anwendungen in die Cloud und wechseln zu großen Cloud-Infrastrukturanbietern. Die überwältigende Mehrheit von fast 90 Prozent gibt an, dass diese Anwendungen in der Cloud geschäftskritisch sind.

Während 60 Prozent der Umfrageteilnehmer der Meinung sind, dass der Cloud-Dienstanbieter für einen möglichen Compliance-Verstoß verantwortlich ist, glauben 77 Prozent, dass das Unternehmen selbst für die Sicherung ihrer ERP-Anwendungen verantwortlich ist. Werden ERP-Dienste aus der Cloud bezogen, fallen aber viele Bereiche der Verantwortung für die Cloud und für das ERP-System zusammen.

Diese Wahrnehmungslücke zwischen Verantwortung für die Cloud und Verantwortung für ERP-Daten zeigt, dass Unternehmen mehr Kontrolle über ihre geschäftskritischen Anwendungen übernehmen müssen, während sie in die Cloud migriert werden, wie die Cloud Security Alliance betont.

Beispiel: AI aus der Cloud

Ein weiteres Beispiel für neue und zusätzliche Schwachstellen, die bei Cloud Computing Berücksichtigung finden müssen, sind moderne Services, die vermehrt aus der Cloud bezogen werden, wie Artificial Intelligence (AI) und Machine Learning (ML).

So ergab die Studie „State of AI in the Enterprise Survey 2019“ von Deloitte: Statt Künstliche Intelligenz aufwendig selbst zu entwickeln, verwenden deutsche Unternehmen vielfach Algorithmen, Applikationen oder komplette AI-Lösungen „von der Stange“. Sie nutzen Artificial Intelligence entweder „as a Service“ oder als Teil von Software-Lösungen. Die Umsetzung von AI-Projekten erfolgt in den befragten Unternehmen überwiegend im Zusammenspiel externer Spezialisten und interner Ressourcen. Nur 15 Prozent der Studienteilnehmer implementieren AI primär mit firmeneigenen Kräften.

Künstliche Intelligenz wird mehrheitlich eingekauft: der Anteil der Unternehmen, die AI „as a Service“ einsetzen, liegt laut Studie bei 65 Prozent – in den Vergleichsmärkten (USA, UK, China, Frankreich, Kanada, Australien) sind es derzeit nur knapp die Hälfte, die diesen Ansatz verfolgen.

Schwachstellen, die mit der Nutzung von AI in Verbindung stehen, werden so zu möglichen Cloud-Schwachstellen, gerade für deutsche Unternehmen, die AI as a Service bevorzugen.

Multi-Clouds bedeuten auch Multi-Schwachstellen

Alle bisher erwähnten Entwicklungen, die zu noch mehr Schwachstellen oder neuen Arten von Schwachstellen bei Nutzung von Cloud Computing führen, gilt es nicht nur einmal zu identifizieren und zu bewerten, denn Unternehmen verfolgen in aller Regel einen Multi-Cloud-Ansatz und setzen im Durchschnitt fünf verschiedene Clouds parallel ein.

Nicht jede Art von Schwachstelle kommt in jeder der genutzten Clouds vor, aber es gilt, nach allen mögliche Schwachstellen bei allen genutzten Cloud-Diensten zu suchen. Einen guten Startpunkt für die Suche nach Cloud-Schwachstellen bietet die Übersicht der Cloud Security Alliance (CSA) - zu finden im eBookCloud Security: Schwachstellen in der Wolke“. Das komplette Werk steht registrierten Usern zum Download zur Verfügung.

(ID:46238668)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research