Wer haftet für den Schaden, wenn Daten in der Cloud missbraucht werden?

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Es ist immer wieder erstaunlich zu hören, dass allgemein IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Sie sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection bzw. Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept verspricht im Vergleich zu Onpremise-Datencenter.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich. Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit, die über die physische Security, des Sicherheitspersonals sowie Basis-Perimetersicherheit der genutzten Computerumgebung hinaus geht aus. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS)  und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der bestechenden wirtschaftlichen und technischen Vorteile, die Anwender von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud, und ist es nur eine Frage der Zeit bis zum ersten Missbrauchsvorfall. Zwar können Unternehmen die Verantwortung für die Sicherheit abgeben, indem sie auf den Security-Maßnahmen des IaaS-Anbieters vertrauen oder einem Managed Security Service Provider (MSSP), doch wenn etwas schief geht, wird der Besitzer der Daten dafür zur Verantwortung gezogen.

Wie lassen sich die Risiken minimieren, wenn es um Anwendungen in der Cloud geht, die kritische Informationen beinhalten? Die Anwendungsentwickler werden wohl zu einem Deployment in der Cloud raten mit dem Zusatz, „sicher, solange Sie die folgenden Schritte unternehmen …“. Zu diesen Schritten gehört auch der Schutz der einzelnen Hosts innerhalb des IaaS-Perimeters mithilfe von Host-basierter Technik, die etwa Deep Packet Inspection für IDP/IPS und Firewalls umfasst, sowie Integritäts-Checking der Dateien und Log-Analysen. Ein für all diese Zwecke ideales Tool ist das neue, auf zahlreiche Cloud-Sicherheits- und Compliance-Fragen zugeschnittene Trend Micro Deep Security.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*