iX Security Kolumne: Risikofaktor Cloud trotzdem sicherer als On-Prem

Immer mehr Unternehmen ziehen von On-Premises- zu Cloud-Systemen um. Das bringt sowohl Datenschutz-Herausforderungen (wo fängt man da nur an?) als auch geschäftliche Relevanz (Vendor Lock-in). Aber was die Cloud-Migration für die IT-Security bedeutet, ist umstritten.

Oft treiben CISOs (Chief Information Security Officer) viele dieser Umstellungen voran. In einer Welt steigender Securityanforderungen bei immer knapperem Personal scheint das Outsourcing aus Gründen der (vermeintlichen oder tatsächlichen) Kompetenz geboten. Das bedeutete früher für Securityberater und -beraterinnen wie uns zunächst Nachfrage en masse. Geholfen hat es oft wenig, stattdessen bekamen die Unternehmen von den Consultants Aufgaben vorgekaut, die sie gar nicht bewältigen konnten: 80-Seiten-Bericht Gap-Analyse – ick hör Dir in meinen Albträumen trapsen. Aber: Gleich eine Auftragsgarantie für erneute Beratung.

Ein Kommentar von Janis König

Janis König wollte eigentlich Software-Archäologin werden. Bei intcube verwirklicht sie nun ihre Begeisterung für Kryptographie, gute Prozesse und Softwarearchitektur. Für die iX schreibt sie über ihre Vorstellungen für eine bessere Informationssicherheit.

Dann kam Outsourcing-Stufe 2: Anstatt die eigene Security unter Kontrolle zu bringen, wird das gesamte Hosting ausgelagert. Hin zu Firmen, die (hoffentlich) ein besseres Securityteam haben als man selbst. Und keine Sorge, Beratungsunternehmen können weiter auf großem Fuße leben, immerhin gibt’s ja Deployments zu planen und Konfigurationsfehler zu machen.

Der Freund hört mit

Aber was ist dran an der "Turn-Key Solution", der schlüsselfertigen Lösung? In der Tat sind Microsoft, Amazon, Google und Co. im Zweifel in Sachen Infrastruktursicherheit besser aufgestellt als die meisten anderen. Einer der sichersten Orte für ein Dokument ist Google Drive – solange man interessierte Blicke von Drei-Buchstaben-Einrichtungen und Google selbst verkraften kann.

IT-Security ist jedoch nicht alles. Wie der gravierende Hack beim Exchange-Hoster Rackspace Ende 2022, das peinliche Leck beim Passwortmanager LastPass im selben Monat oder die spektakuläre Entwendung eines Master-Keys von Microsoft in diesem Jahr demonstriert haben: Auch die Cloud ist nicht absolut sicher (wen überrascht’s?). Für mich ist besonders der letzte Fall interessant. Er zeigt, dass die Microsoft Cloud mittlerweile ein so interessantes Ziel geworden ist, dass Angreifer Jahre an Vorbereitung investieren, um dann auf sehr aufwendige Weise Daten zu exfiltrieren. Sicherlich werden eventuell betroffene kleine und mittelständische Unternehmen dabei vor allem nur als Beifang ausgeschlachtet.

Abkehr von Cloud-Diensten ist unrealistisch

Diese Zentralisierung hat durchaus das Potenzial, vielen Verschlüsselungstrojanern, die eher auf On-Premises-Systeme ausgerichtet sind, das Wasser abzugraben. Gleichzeitig werden damit diese großen Systeme immer interessanter und gerade im Bereich der KRITIS auch zu einer möglichen Gefahr: Wenn ein Angriff nicht "nur" ein Land, sondern gleich ganz eu-central-1 ausknocken könnte, hat das durchaus geopolitische Relevanz.

Eine Abkehr von Cloud-Diensten ist aber unrealistisch, besonders in Zeiten, wo Datenverlust oder Kompromittierung noch wenig mit finanziellen Konsequenzen verbunden sind – die Verfügbarkeit jedoch schon. Und besonders hier glänzt die Cloud nicht immer, aber oft. Wer weiß, vielleicht entscheidet der CISO deshalb bald eine Migration weiterer Systeme zu Azure, ins Blaue hinein? Aus Securitysicht können wir es kaum übel nehmen.

(ur)