Suchen

Warnung von McAfee IaaS-Umgebungen gehören viel besser geschützt

| Autor / Redakteur: Dr. Dietmar Müller / Stephan Augsten

McAfee warnt vorm Schludern bei der Nutzung von Infrastructure-as-a-Service. Die Anzahl der Datendiebstähle in IaaS-Umgebungen sei pro Jahr um 248 Prozent (!) gestiegen.

Firmen zum Thema

Die Anzahl der Datendiebstähle in IaaS-Umgebungen ist laut McAfee pro Jahr um 248 Prozent gestiegen.
Die Anzahl der Datendiebstähle in IaaS-Umgebungen ist laut McAfee pro Jahr um 248 Prozent gestiegen.
(Bild: gemeinfrei, JuergenPM / Pixabay)

Der neue „Cloud-Native: Infrastructure-as-a-Service Adoption and Risk“-Report des Sicherheitsunternehmens hat nach den Gründen gefahndet. Demnach entdecken IT-Fachkräfte nur etwa ein Prozent der Fehlkonfigurationen in IaaS-Umgebungen. Pro Monat sind das etwa 37 – tatsächlich handele es sich jedoch um etwa 3.500 Fehlkonfigurationen pro Monat, so McAfee.

Rolf Haas, Senior Enterprise Technology Specialist bei McAfee, mutmaßt, dass in der IT-Branche wenig Bewusstsein für sogenannten „Cloud-Native Breaches“ (CNB) bestehe. Diese Breaches unterschieden sich grundlegend von den bekannten Vorfällen in Verbindung mit Malware. Die Täter nutzten dabei native Funktionen der Cloud-Infrastruktur, um sich Zugriff zu verschaffen, den Angriff auf benachbarte Cloud-Instanzen auszuweiten und letztendlich wertvolle Daten abzugreifen.

In den meisten Fällen gelinge ihnen das, indem sie Fehler bei der Einrichtung der Cloud-Umgebung oder Fehlkonfigurationen ausnutzen. Haas erklärt, dass deswegen spezielle Sicherheitstools nötig werden, die selbst Cloud-nativ sind und speziell für den Einsatz in Cloud-Umgebungen konzipiert wurden. Insbesondere müssten Sicherheitsexperten dafür sorgen, dass IaaS-Implementierungen kontinuierlich auf Fehlkonfigurationen überprüft werden können.

„Viele Organisationen wollen bei der Integration von IaaS möglichst wenig Zeit verlieren. Dabei vergessen sie oft, dass Cloud-Sicherheit auf einem Shared-Responsibility-Model basiert. Das bedeutet, dass nicht der Cloud-Provider allein für das Thema Sicherheit verantwortlich ist, sondern auch der Nutzer“, so Haas.

Denn was viele Unternehmen nicht wissen: Zwar ist der Cloud-Provider für die Sicherheit verantwortlich – aber lediglich für die Service-Schichten, die er seinen Kunden anbietet. Bei Infrastructure-as-a-Service (IaaS) sind dies Netzwerk, Speicher, Server und Virtualisierung. Für die restlichen IaaS-Schichten Betriebssysteme, Middleware, Runtime, Daten und Applikationen trägt der Kunde die Verantwortung und muss sich selbst um die Sicherheit kümmern.

(ID:46157069)

Über den Autor

Dr. Dietmar Müller

Dr. Dietmar Müller

Journalist