Es ist ein wichtiger Unterschied, ob ein Sicherheitsverstoß bewusst oder aus Versehen geschieht. Wie lässt sich das nachweisen? In folgendem Fall funktioniert dies sehr einfach: Damit ein unautorisierter Nutzer den nötigen Zugang erhält, um S3-Buckets einsehen oder auf Datenbanken zugreifen zu können, muss jemand absichtlich die dafür standardmäßig voreingestellten Sicherheitsmechanismen entfernen oder umstellen.
Dabei kann es sich nicht um eine falsche Konfiguration aufgrund eines Fehlers handeln, der jedem einmal passieren und entschuldigt werden kann. In diesem Fall ist es also keine Unachtsamkeit. Diese Ressourcen wurden bewusst geöffnet, sodass praktisch jeder Nutzer Zugang dazu erhält.
Aktuelle Studienergebnisse
Forscher von F5 Labs analysierten die seit 2017 bekannt gewordenen Fälle, bei denen in Unternehmen Cloud-Ressourcen aufgrund bewusster Sicherheitsmängel offengelegt wurden. Die Wachstumsrate stieg von 2017 bis 2018 um alarmierende 200 Prozent.
Bei bislang durchschnittlich 2,5 Verstößen pro Monat im Jahr 2019 ist davon auszugehen, dass die Gesamtzahl bis zum Jahresende auf 30 ansteigen wird. Die Wachstumsrate von 2017 auf 2018 weist jedoch darauf hin, dass die Schätzung für 2019 vermutlich viel zu niedrig ausfällt. Bei einer Steigerungsrate von 200 Prozent ist mit 90 Sicherheitsverstößen im Bereich Cloud im Jahr 2019 zu rechnen. Und was noch schlimmer ist: Die von den Forschern zusammengestellten Fälle stellen mit ziemlicher Sicherheit nur die Spitze des Eisbergs dar.
Konkrete Beispiele
Das ist nicht akzeptabel. Denn es werden nicht nur persönliche Daten offengelegt. Einige dieser Sicherheitsverstöße können darüber hinaus sehr reale und extrem negative Konsequenzen für die Person haben, der die Daten letztlich gehören. Dies gilt sowohl für den Kollegen im Büro nebenan als auch der Frau, die gerade aus dem Bus steigt, oder den Teenager, der sich auf die Schule vorbereitet. Hier nur einige Beispiele für solche Sicherheitsverstöße:
Alle Branchen betroffen
Die wachsende Liste erstreckt sich über sämtliche Branchen. Von Behörden bis zu Dienstleistern, von der Fertigung bis zur Politik, vom Finanzwesen bis hin zum Unterhaltungssektor – aus jeder Branche gibt es Teilnehmer im Wettbewerb „Wer kann mit Hilfe von schlechten Sicherheitsmaßnahmen die meisten Daten verlieren?“. Ein Wettbewerb, den niemand gewinnen will – und bei dem vor allem niemand mitmachen sollte.
Unternehmen und Behörden sind inzwischen fest verwurzelt in der digitalen Wirtschaft. Die Bits und Bytes, durch die sie angetrieben wird, repräsentieren jedoch nicht einfach nur Dollar, Euro oder Pfund. Sie stehen für Menschen. Diese Menschen sind von den Sicherheitsverstößen dann auf verschiedene Arten betroffen. Doch niemand erfährt davon, da die Vorfälle nicht gemeldet werden.
Wie und warum geschieht dies?
Warum sollte aber jemand mit Absicht deren Sicherheit gefährden, indem er S3-Buckets und Cloud-Datenbanken so konfiguriert, dass sie öffentlich zugänglich sind? Gemäß der Erfahrung von F5 lassen sich die Verursacher selten auf der operativen Seite finden: Datenbankadministratoren, Netzwerk-, System- und Sicherheitstechniker wissen es besser und tun so etwas in der Regel nicht.
Es kann aber dazu kommen, dass bei der Produktentwicklung beschlossen wird, bereits bestehende Sicherheitsfunktionen nicht einzubinden. In vielen Fällen geschieht dies, um den laufenden oder zu erwartenden Umsatz nicht zu beeinträchtigen, etwa aufgrund von Verzögerungen im Zeitplan oder dem möglichen Auftreten neuer Bugs.
Durch eine Migration in die Cloud können Entwickler die herkömmlichen IT-Rollen im Unternehmen wie Sicherheitsexperten und Datenbankadministratoren umgehen. Doch diese werden angesichts der wachsenden Zahl an Cloud-Sicherheitsverstößen ganz offenkundig benötigt. Denn sonst installieren Entwickler möglicherweise Systeme mit schlecht konfigurierten Sicherheitsfunktionen. Dies geschieht bewusst – wenn auch nicht unbedingt mit der Absicht, dem Unternehmen oder Einzelpersonen zu schaden. Stattdessen erkennen und verstehen sie vielleicht nicht die Konsequenzen oder nehmen an, dass das Auftreten einer Sicherheitslücke unwahrscheinlich ist.
Lücken in der Cloud-Sicherheit vermeiden
Doch wie lässt sich dieses Problem lösen? Niemand will in die Zeit zurückkehren, als lange Verzögerungen bei der Implementierung von Systemen an der Tagesordnung waren. Häufig und lange genug haben sich Entwickler darüber beklagt.
Unternehmen sollten jedoch über den Ansatz DevSecOps für den Einsatz bewährter Sicherheitsmaßnahmen im Entwicklungsbereich sorgen. Dabei müssen alle Teams einbezogen werden. Denn bei der standardmäßigen Nutzung von Clouds stehen oft nur begrenze Sicherheitsmaßnahmen zur Verfügung: Es gibt keine vertrauenswürdigen Netzwerk- oder Systemtechniker, von denen man eine Liste an Subnetzen und ACLs anfordern kann, und keine Active-Directory-Gruppen und Genehmigungen. Bei den meisten Public Clouds müssen Unternehmen spezielle Sicherheitsüberwachungstools von Drittanbietern kaufen, um die Berichte zu erhalten, die bislang interne Kollegen lieferten.
Fazit
Natürlich ist die Gewährleistung von hoher Sicherheit schwierig und die entsprechenden Maßnahmen können Projekte verzögern. Es ist jedoch einfach nicht akzeptabel und ziemlich sicher sogar unethisch, die Sicherheit bewusst zu ignorieren oder abzuschwächen, nur weil dies Abläufe vereinfacht und beschleunigt. Denn das kann negative Konsequenzen für echte Personen haben – und nicht nur finanzieller Art.
So sollten diese Verstöße nicht mehr als einfache Fehler behandelt werden, sondern als das, was sie tatsächlich sind: absichtliche und vorsätzliche Sicherheitsmängel. Und was noch wichtiger ist: Sicherheitsexperten müssen mit mehr Nachdruck auf dieses regelwidrige Verhalten aufmerksam machen. Vielleicht mit einer Erinnerung daran, dass schlechte Sicherheitspraktiken nicht nur Unternehmensprozesse betreffen, sondern auch Menschen.
Durch den verstärkten Einsatz neuer Technologien entstehen auch gänzlich neue gesellschaftliche, ethische und rechtliche Herausforderungen.…
Michael Heitz, Regional Vice President von Citrix Germany, erklärt, wie dieser wachsende Teil der Workforce…
Der Energiebedarf digitaler Technologien wird allzu oft mit dem Stromverbrauch von Rechenzentren gleichgesetzt. Dabei ergeben…
Deutsche nutzen immer mehr digitale Dienste wie Apps – und zwar zunehmend unbewusst. Dieser Griff…
Im Zuge der digitalen Transformation basieren die heutigen Geschäftsprozesse auf Apps. Um erfolgreich zu sein,…
Die Datenschutz-Grundverordnung ist seit Mai 2018 in Kraft und noch immer gibt es Firmen, die…