Zunehmend verlagern auch Netzbetreiber ihre Workloads in die Cloud. Doch Cloud-Fehlkonfigurationen können die Datensicherheit empfindlich gefährden.

Cloud-Fehlkonfigurationen zählen nach wie vor zu den häufigsten Ursachen für Sicherheitslücken bei Unternehmen (Bild: Trend Micro)

Mit zunehmender Digitalisierung entscheiden sich immer mehr Unternehmen und Organisationen, ihre großen Datenbestände in die Cloud zu verlegen. Auch Netzbetreiber verwalten Kundendaten und andere Angaben, die sie für ihre Arbeit benötigen, virtuell. Häufig geht mit der Einführung einer Cloud-­Lösung auch die Überzeugung einher, dass diese auch eine Garantie für die Datensicherheit bedeutet. Doch dies ist nicht notwendigerweise der Fall. Gerade wenn die ­Migration sehr schnell erfolgt und das eigene IT-Team überlastet ist, kommt es häufig zu Cloud-Fehlkonfigurationen. Diese zählen nach wie vor zu den häufigsten Ursachen für Sicherheitslücken bei Unternehmen. Und sie ziehen empfind­liche Folgen nach sich, denn ein einziges falsch gesetztes Häkchen in der Konfiguration eines S3-Buckets etwa genügt, um sensible Daten öffentlich zugänglich zu machen. Ein Fest für Hacker, die diese Daten nicht nur abgreifen, sondern auch mit krimineller Absicht nutzen können – z. B., um die Stromversorgung einer Kommune gegen ein Lösegeld zu kapern. Um die Datensicherheit aufrecht zu erhalten, müssen Netzbetreiber daher eine Strategie entwickeln, die auf zwei Grundpfeilern aufbaut. Sie müssen einerseits die Verantwortlichkeiten für die Datensicherheit zwischen ihrem Unternehmen und dem Cloud Service Provider im Rahmen eines Shared-Responsibility-Modells festlegen. Und sie müssen eine für ihre Zwecke passende Cloud-Architektur erstellen.

Die Verantwortung aufteilen

Mit einem Shared-Responsibility-Modell sichern sich sowohl die Anbieter von Cloud-Diensten als auch die Anwender in Sachen Security ab. Im Rahmen einer entsprechenden Vereinbarung teilen sie die für die Datensicherheit notwendigen Maßnahmen und damit die Verantwortung untereinander auf. So übernimmt beispielsweise der Cloud-Anbieter die Absicherung seiner Server, Datenbanken und weiteren Hardware, während der Anwender für den Schutz seiner Daten, Zugriffe und Berechtigungen zuständig ist. In einem solchen Modell kann der Cloud-Anbieter dem Anwender durchaus Werkzeuge zur Datensicherung zur Verfügung stellen. Diese zu implementieren, zu nutzen und zu sichern liegt jedoch in der Verantwortung des Anwenders. Zum Schutz des Cloud-Computings stehen dem Anwender sehr vielfältige Modelle zur Auswahl. Er muss sich nur für das passende entscheiden. Im Prinzip ist dies ähnlich, wie wenn man eine Pizza bestellt: Diese lässt sich nicht nur vielfältig belegen, sie lässt sich auch auf verschiedene Arten ordern – direkt im Restaurant oder beim Lieferservice – oder auch komplett in der eigenen Küche zubereiten.

Mit Pizza und Lego die richtige Entscheidung treffen

Netzwerk-Betreiber, die eine Cloudlösung einführen wollen, können beispielsweise ein Software as a Ser­vice (SaaS) von ihrem IT-Dienstleister übernehmen und sich damit auf standardmäßig angebotene Dienste verlassen. Dann liegt die Verantwortung für die Sicherheit der Daten hauptsächlich beim Anbieter. Dies entspräche sozusagen der Pizza im Restaurant. Sie können sich darüber hinaus für Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) entscheiden, ihre eigenen Dienste darauf aufbauen und somit mehr Eigenverantwortung übernehmen (Pizza-Lieferdienst). Oder sie lagern ihre Dienste komplett vor Ort und entscheiden sich dafür, die Pizza selbst zu backen.  
Ist die Frage nach Grad und Verteilung der Verantwortung für die Datensicherheit geklärt, gibt es noch einen weiteren Punkt zu beachten. Um die Dienste auf Grundlage der jeweiligen Variante eines Shared-Responsibility-Modells bestmöglich aufzubauen, müssen sich Netzbetreiber zwingend mit der Frage beschäftigen, wie die Cloud-Architektur beschaffen sein soll.

Um auch dies in einer Analogie zu verdeutlichen: Die Bausteine der Cloud gleichen Legosteinen. Frame­works, wie sie Amazon Web Services und andere Cloudanbieter zur Verfügung stellen, sind sozusagen die Anleitungen in der Lego-Packung. Dem Anwender ist es freigestellt, diesen Anleitungen auf den Punkt genau zu folgen oder sein eigenes System zu erschaffen. Die Errichtung einer Cloud-Architektur ist dem Bauen mit Legosteinen insofern ähnlich, als dass es die Auswirkung jedes einzelnen Elements auf die Gesamtstruktur zu berücksichtigen gilt. Wer also eine eigene Lösung konzipiert, muss genau hinsehen und die richtigen Lösungen kombinieren, um zu einem ­guten Ergebnis zu kommen. Netz­werkbetreiber müssen beispielsweise alle Prozesse betrachten, die nicht in die Cloud verlagert werden können, aber mit ihr in Verbindung stehen bzw. kommunizieren. Die Kommunikation von Geräten, die zur Infrastruktur gehören (Zähler, Sensoren, Umspannwerke usw.) geschieht meist über öffentliche Kanäle. Sie muss abgesichert werden. Cloud-Hersteller liefern hierzu auf Wunsch Gesamtpakete, die RTOS, Device Management und Security-Funktionen einschließen und bereits viele Security-Aufgaben abdecken.

1 / 2

Ähnliche Beiträge