Datensicherheit beim Cloud Computing, Episode 2
6. Mai 202120. Juni 2022
2
In Compliance, Fakten

Datensicherheit beim Cloud Computing, Episode 2

Vor einer Woche haben wir den Blog-Zweiteiler „Datensicherheit beim Cloud Computing“ mit der ersten Episode gestartet. Im Folgenden beschäftigen wir uns mit den größten Sicherheitsrisiken beim Cloud Computing.

Die Nutzung von Cloud-Diensten birgt eine etliche Reihe an Bedrohungen. Cloud-Nutzer sind unter anderem folgenden Gefahren ausgesetzt,

  • Identitätsdiebstahl bzw. Missbrauch von Accounts,
  • Verlust der Kontrolle über die Daten und Anwendungen,
  • Verletzung geltender Vorgaben und Richtlinien (z. B. Datenschutzanforderungen),
  • Beeinträchtigungen der Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden,
  • Abfangen und Ausspähen von Daten (bei schlechter oder nicht vorhandener Verschlüsselung).

Im Beitrag der letzten Woche sind wir auf die CSA und das BSI eingegangen, welche ein einheitliches Sicherheitsniveau beim Cloud-Computing erreichen wollen. Das CSA hat unter anderem die sieben größten Sicherheitsrisiken veröffentlicht und gibt hierzu jährlich eine aktualisierte Liste der wichtigsten Bedrohungen heraus. Nachfolgend erläutern wir die aktuelle Sicht der CSA.

1. Zu einfache Registrierung

Der Umstand, dass Registrierungen bei den meisten Anbietern zu einfach gehalten werden, ist der Grund dafür, dass die CSA dies für eines der größten Sicherheitsprobleme in der Cloud hält. Bei einigen Cloud-Anbietern genügt beispielsweise die Eingabe der Kreditkartennummer, um deren Angebote zu nutzen. Mithin ist der Registrierungsvorgang so simpel gehalten, dass komplette Anonymität der Nutzer gegeben ist.

2. Unsichere Schnittstellen

Aufgrund von nachlässigen Authentifizierungen und Zugangskontrollen sieht die CSA eine weitere Schwachstelle in unsicheren Schnittstellen. Hintergrund dessen ist, dass die Cloud-Anbieter meist bestimmte Schnittstellen offenlegen, um den Nutzern die Möglichkeit zu bieten, sich an deren Dienste anbinden zu können. Auf die Aussage der Cloud-Anbieter, dass bei der Offenlegung der Schnittstellen hohe Sicherheitsstandards gegeben sind, kann nicht in jedem Fall vertraut werden.

3. Kriminelle Mitarbeiter

Kriminelle Mitarbeiter spielen beim Cloud Computing eine entscheidende Rolle, da die Nutzer ihre eigenen Daten einem fremden Unternehmen anvertrauen, wobei sie in aller Regel nicht wissen, in welchem Maße der Cloud-Anbieter den korrekten Umgang seiner Mitarbeiter mit den fremden Daten sicherstellt, so zum Beispiel durch schriftliche Regeln, Schulungen und technische Maßnahmen.

4. Unsichere Infrastruktur

Ein weiteres Sicherheitsrisiko kann in einer unsicheren Infrastruktur des Cloud-Anbieters liegen. Obwohl Bereiche auf Festplatten und Arbeitsspeichern in der Cloud zumeist von mehreren Nutzern genutzt werden, sind die Komponenten, auf denen die entsprechenden Dienste aufsetzen, vorwiegend nicht geeignet, diese strikt voneinander abzugrenzen.

5. Mängel bei der Verschlüsselung

Die Gefahr von Datenverlust wird aufgrund von unzureichenden Zugangskontrollen und nicht durchgängig im Einsatz befindlichen Verschlüsselungsmethoden als hoch angesehen. Namhafte wirtschaftliche Schäden als Folge des Datenverlustes sind hierbei nicht auszuschließen.

6. Diebstahl von Zugangsdaten

Auch der Diebstahl von Zugangsdaten und der anschließende Missbrauch von Nutzerkonten in der Cloud ist nicht unwahrscheinlich. Angreifer haben durch den Zugriff auf die in der Cloud gelagerten Daten die Möglichkeit, auf die Vorgänge eines Unternehmens zuzugreifen und Daten zu manipulieren, Vorgänge zu verheimlichen oder diese auf andere (kriminelle) Web-Seiten umzuleiten.

7. Intransparente Sicherheitslage

Zuletzt stellt die undurchsichtige Sicherheitslage beim Cloud Computing eine Gefahr dar. Die Cloud-Anbieter offenbaren den Nutzern gegenüber zwar viele Funktionen ihrer Angebote im Rahmen ihrer Dienstleistung, allerdings verbleiben Einzelheiten über interne Vorkehrungen beim Cloud-Anbieter.

Sofern personenbezogene Daten in der Cloud erhoben, verarbeitet oder genutzt werden, ist es aus datenschutzrechtlicher Sicht unerlässlich, dass der Schutz nach den datenschutzrechtlichen Bestimmungen gewährleistet wird. Neben die datenschutzrechtlichen Anforderungen treten auch die rechtlich relevanten Anforderungen, welche sich beispielsweise aus dem Telekommunikationsgesetz, der Abgabeordnung und bei der Verarbeitung von steuerrechtlichen Daten, auch aus dem Handelsgesetzbuch, ergeben.

Auch wenn die Unternehmen im Rahmen der Nutzung von Cloud-Diensten meist durch Kostenersparnis, schnelle Realisierung von Geschäftsideen und Effizienz und Geschwindigkeit im Marktzugang profitieren, sollten die Sicherheitsrisiken dem gegenüber sehr gut abgewogen werden.

Essenz

  • Nutzung von Cloud-Diensten birgt eine etliche Reihe an Bedrohungen: Identitätsdiebstahl, Missbrauch von Accounts, Abfangen und Ausspähen von Daten u.v.m.
  • gemäß CSA existieren sieben große Sicherheitsrisiken beim Cloud Computing
  • datenschutzrechtlich und rechtlich relevante Anforderungen müssen eingehalten werden
  • Vorteile sollten gegenüber Sicherheitsrisiken bei Auslagerung der (Unternehmens-) Daten in die Cloud abgewogen werden