Herausforderungen der Cloud-Sicherheit bleiben weitgehend ungelöst

Nach mehr als einem Jahrzehnt verschiedenster Erfahrung im Einsatz von Cloud-Ressourcen haben IT-Unternehmen noch immer mit Sicherheitsproblemen zu kämpfen. In einer vom IT-Security-Anbieter Aptum veröffentlichten Umfrage unter 400 leitenden IT-Fachleuten gaben 85nbsp% der Befragten an, über keinen klaren Mechanismus zur Erkennung und Bekämpfung von Bedrohungen für alle Cloud-Umgebungen zu verfügen.

Weniger überraschend ist, dass 82 % der Befragten das Zugriffsmanagement für mehrere Cloud-Umgebungen als Hindernis für Security, Governance und Compliance anführten, während für 81 % die fehlende Einsicht in alle Cloud-Umgebungen über ein einziges Portal ein Hindernis darstellte.

Das Paradoxe an dieser Umfrage ist, dass mehr als die Hälfte der Befragten (51 %) gleichzeitig angab, Sicherheit sei der wichtigste Antriebsmotor beim Wechsel in die Cloud. Das erscheint kontraintuitiv, und doch ist es Fakt, dass die meisten lokalen IT-Umgebungen nicht unbedingt sicher sind. Tatsächlich ist die Infrastruktur, die durch einen Anbieter von Cloud-Services verwaltet wird, in der Regel sehr viel sicherer.

Komplizierter wird es hinsichtlich des Modells der Shared Security, das Anbieter von Cloud-Services für Unternehmen voraussetzen. Die Grundidee besteht darin, dass Unternehmen für die Sicherheit ihrer Anwendungen sowie die korrekte Konfiguration aller genutzten Cloud-Services verantwortlich sind. Das Problem ist, dass den meisten Unternehmen nicht klar ist, was dieses Konzept bedeutet. Eine kürzlich von Oracle und KPMG durchgeführte Umfrage unter 750 IT-Fachleuten ergab, dass nur 8 % das Modell der Shared Security vollständig verstehen.

Leider verschlimmert sich die Situation meistens erst, bevor sie wieder besser wird. Anwendungs-Workloads migrierten lange vor der COVID-19-Pandemie stetig in die Cloud. Die Akzeptanz stieg erheblich, als Unternehmen zunehmend die Tatsache zu schätzen wussten, dass sich Cloud-Anwendungen leichter entwickeln, einsetzen und verwalten lassen. Das ist unabdingbar in einer Zeit, in der die meisten IT-Teams von zu Hause arbeiten. Mit der Akzeptanz stieg auch die Anzahl der eingesetzten Cloud-Plattformen. Die Angriffsfläche, die es zu verteidigen gilt, wächst unablässig weiter.

Eine noch größere Herausforderung ist allerdings, dass Plattformen für Cloud Computing von Tag zu Tag komplexer werden. Entwickler nutzen eine Vielzahl an cloudnativen Technologien wie Container, Kubernetes und Serverless-Computing-Frameworks, um Anwendungen auf Basis von Microservices zu entwickeln. In der Theorie sind solche Anwendungen sicherer, weil sich ein Microservice mit potenzieller Schwachstelle leichter entfernen und ersetzen lässt. In der Praxis müssen IT-Teams aufgrund der Abhängigkeiten zwischen Microservices sicherstellen, dass sich Malware nicht lateral ausbreitet, wenn ein Microservice kompromittiert wird. In der Tat sind Microservice-basierte Anwendungen nicht sicherer.  Sie sind einfach nur auf andere Weise unsicher als eine herkömmliche monolithische Anwendung.

Natürlich lässt sich der Übergang zur Cloud nicht aufhalten. Die Herausforderung für Cybersecurity-Teams besteht nun darin, die Fähigkeiten und Fachkenntnisse zu erwerben, die zum Schutz dieser Umgebungen erforderlich sind. Es bleibt zu hoffen, dass mit der Einführung von Best Practices für DevSecOps in Unternehmen die Cybersecurity-Teams auf mehr Hilfe von Entwicklern zählen können. Im Moment verursachen jedoch genau diese Entwickler die Fehlkonfiguration von Cloud-Services, die für die meisten Sicherheitsprobleme in der Cloud verantwortlich sind.

Unabhängig vom Ergebnis ist es offensichtlich, dass der aktuelle Status quo beim Thema Cloud-Sicherheit nicht haltbar ist. So oder so wird sich bald etwas ändern müssen, hoffentlich zum Besseren.