Sicherheit trotz oder wegen der Cloud

Sicherheit trotz oder wegen der Cloud

09.08.2019 / Markus Schaub / Referent

Markus Schaub

Laut dem Cloud-Monitor 2019 von KPMG bescheinigen 54% der befragten Public-Cloud-Nutzer, dass sich die Datensicherheit durch die Nutzung der Cloud erhöht habe. Laut derselben Studie geben 73% der Nicht-Cloud-User an, dass sie unberechtigten Datenzugriff befürchten, 64% sogar Datenverlust (vgl. [1]). Damit liegt die Datensicherheit an der Spitze der Hemmnisse, Cloud-Dienste zu nutzen; noch vor der Datenschutzgrundverordnung (DSGVO).

Wenn ich mit meinen durchaus Technik-affinen Kollegen über die Cloud rede, treffe ich auf ein ähnliches Bild: während ein Kollege, der gerade ein Haus baut, erklärt, er würde jeden Elektriker vom Hof jagen, der ihm mit Cloud-Diensten käme, hat ein anderer damit keine Probleme und schwärmt von Cloud-basierter Videoüberwachung und sprachgesteuerten Wetterstationen in allen Räumen seines Heimes. Was aber stimmt?  

Macht die Cloud unser Leben nun sicherer oder unsicherer?  

Die Antwort darauf ist überraschenderweise ganz einfach: es gibt keine Antwort darauf. Der Grund: die Frage ist der Beweis, dass es doch dumme Fragen gibt!  

Bleiben wir zunächst bei der Digitalisierung des heimischen Umfeldes: dass Alexa und Konsorten eher dazu geeignet sind, uns auszuspionieren, unsere Lebensgewohnheiten zu erfassen und alles Mögliche an Daten und Gesprächen ihrem Herrn und Meister zu melden, wurde in letzter Zeit oft genug nachgewiesen und auch in diversen Publikationen öffentlich gemacht. Diese Geräte greifen uns zwar nicht an, aber unterm Strich kann man wohl mit Fug und Recht behaupten, dass sie eine Gefahr für unsere Privatsphäre sind. 

Auf der anderen Seite kann die Videoüberwachung der Räume und des eigenen Gartens mittels Cloud-Diensten durchaus ein immenser Sicherheitszugewinn sein: die Videos auf dem eigenen Network Attached Storage (NAS) zu hosten, bringt mal gar nichts, wenn die Einbrecher das NAS mitnehmen und eine Videoüberwachung durch einen Sicherheitsdienst wird sich nur eine Minderheit leisten können. Richtig eingebaut und angewandt, ist die eigene Privatsphäre dabei auch nur bedingt gefährdet. Sicher, wer Zugriff auf die Cloud hat, kann einen Eindruck von den Lebensgewohnheiten bekommen:  

  • wann ist jemand zu Hause, wann nicht;  
  • wie oft mäht er den Rasen;  
  • einige Einrichtungsgegenstände werden womöglich auch auf den Kamerabildern zu sehen sein, egal wie gut man den Ausschnitt wählt.  

Unterm Strich ist die Sicherheit jedoch größer als zuvor, insbesondere wenn mit der Überwachung eine Alarmmeldung einhergeht. Persönlich überwache ich damit auch die Bewegungen meines Hundes im Haus, was mir bei Abwesenheit ein gutes Gefühl gibt, kann ich doch eben mal nachsehen, ob alles in Ordnung ist. 

Diese beiden einfachen Beispiele zeigen, dass die ursprüngliche Frage falsch gestellt war, weil sie zu allgemein war. Je nachdem, wem man die Frage stellt, wird man wahlweise die Antwort bekommen, die Cloud sichert das eigene Heim oder aber sie ist eine Gefahr für die Privatsphäre. Während der eine nämlich gerade ein Videoüberwachungssystem verbaut hat, hat ein anderer eben erst einen Artikel über die Spionagetätigkeiten von Alexa gelesen. Die Antworten sind somit streng subjektiv und auch von dem Moment geprägt. 

Sicherheits-Chancen und Risiken für Unternehmen bei der Cloud-Nutzung  

Bei der Frage nach der Cloud und den Unternehmensdaten ist es genauso: auf der einen Seite gibt es Cloud-Dienstanbieter wie Zscaler, die das Leben mit der Cloud einfacher und sicherer machen, als es in den meisten Fällen im Eigenbetrieb möglich wäre. Auf der anderen Seite gibt es immer wieder Berichte von Datenlecks, bei denen in der Cloud gespeicherte Daten öffentlich zugänglich wurden. 146 Gbyte Facebook-Daten bei den Amazon Web Services (AWS) sind dafür ein unrühmliches Beispiel aus diesem Jahr (vgl. [2]). 

Aber gerade dieses letzte Beispiel von Facebook in Kombination mit dem Speicherdienst S3 von AWS zeigt, dass das ursächliche Problem nicht die Cloud an sich ist, sondern deren falsche Bedienung. Es ist durchaus möglich, auf S3 Daten so abzulegen, dass sie nicht öffentlich verfügbar sind. Streng genommen ist das sogar der Default bei der Speicherung in S3 (vgl. [3]). Wenn auch nicht die Ursache, so ist die Cloud jedoch ein Verstärker oder Multiplikator: setzt man die Rechte im Unternehmen falsch, so bekommen Mitarbeiter Zugriff auf Daten, die sie nichts angehen. Passiert einem das bei Cloud-Speicher, so ist es gleich die ganze Welt. Die Probleme sind also dieselben, nur deren Reichweite kann deutlich größer sein und die Folgen dramatischer. 

Die Frage nach Cloud und Sicherheit ist also keine Alternativfrage, die sich mit Ja oder Nein beantworten ließe. Vielmehr muss sie für jede Anwendung neu gestellt und ein individuelles Sicherheitskonzept entwickelt werden. Dass man die Cloud als generell unsicher einstuft, sorgt womöglich sogar dafür, dass die IT am Ende sicherer ist, da sich die Sensibilität der Verantwortlichen für das Thema erhöht. 

Gerne diskutieren meine Kollegen und ich mit Ihnen ausführlich die unterschiedlichen Aspekte zu diesem Themenkomplex, der hier nur angerissen wurde, auf unseren Herbstkongressen, den ComConsult Technologietagen im Oktober und dem ComConsult Cloud Forum im November. Wer sich intensiver damit befassen möchte, dem sei hiermit das Seminar Cloud Security oder Hybrid Cloud Seminar nahegelegt, je nach persönlichem Schwerpunkt. 

Verweise 

[1] Cloud-Monitor 2019: Public Clouds und Sicherheit im Fokus (https://hub.kpmg.de/cloud-monitor-2019) 

[2] UpGuard, 03.04.2019: Losing Face: Two More Cases of Third-Party Facebook App Data Exposure (https://www.upguard.com/breaches/facebook-user-data-leak) 

[3] Amazon, AWS Docs, „Berechtigungen für den Amazon S3-Bucket“ (https://docs.aws.amazon.com/de_de/config/latest/developerguide/s3-bucket-policy.html) 

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.