Geteilte Verantwortung für Cloud-Sicherheit Was man aus dem Rechenzentrumsbrand bei OVH lernen sollte

Wenn nach dem Brand in einem Rechenzentrum oder wegen kritischer Schwachstellen in Exchange-Servern Kritik an der Cloud-Sicherheit zu hören ist, sollte man genauer hinschauen. Nach dem Shared-Responsibility-Modell ist nicht immer der Cloud-Provider verantwortlich.

Firma zum Thema

Cloud-Nutzer sollten die aktuellen Vorfälle zum Anlass nehmen, ihre eigenen Cloud-Security-Konzepte zu prüfen.
Cloud-Nutzer sollten die aktuellen Vorfälle zum Anlass nehmen, ihre eigenen Cloud-Security-Konzepte zu prüfen.
(Bild: © Feuerwehr Kehl)

Wir erinnern uns: Am 10. März 2021 ist ein Brand in einem der vier Rechenzentren von OVHcloud in Straßburg ausgebrochen, dem Rechenzentrum SBG2. Der Brand zerstörte hauptsächlich das Rechenzentrum SBG2 und beschädigte das Rechenzentrum SBG1 (von zwölf Serverhallen wurden vier zerstört). Die beiden anderen Rechenzentren waren nicht vom Feuer betroffen. Die Server in SBG3 und SBG4 wurden ausgeschaltet, aber nicht beschädigt.

Im weiteren Verlauf bot OVHcloud seinen Kunden unter anderem eine alternative Infrastruktur an: Bare Metal, Hosted Private Cloud und Public Cloud in den Rechenzentren von Gravelines (GRA), Roubaix (RBX), London (LON), Warsaw (WAW) und Frankfurt (FRA).

Die Folgen des Brandes in Straßburg waren immens. Viele betroffene Cloud-Nutzer beklagten einen Datenverlust, ohne Möglichkeit, die Daten wiederherzustellen. In manchen Medien konnte man lesen, dass das Vertrauen in die Cloud und in Cloud-Sicherheit nun schwer erschüttert sei. Dabei stellt sich allerdings die Frage, in welche Cloud-Sicherheit, die der jeweiligen Unternehmen oder die der Cloud-Provider?

Verantwortung für Cloud-Sicherheit ist geteilt

Unwiederbringlicher Datenverlust in Folge des Rechenzentrumsbrands bedeutet in aller Regel, dass die Cloud-Nutzer keinen Backup-Service gebucht oder selbst Backups erstellt haben. Aus gutem Grund verweist OVHcloud zum Beispiel darauf, dass es notwendig sein kann, dass die betroffenen Kunden eine Meldung bei der jeweils zuständigen Datenschutzaufsicht machen.

Eine solche Meldung müssen immer die Verantwortlichen machen. Und tatsächlich sind die Cloud-Nutzer für ihre Daten verantwortlich und nicht etwa der Cloud-Provider, wenn kein spezieller Backup-Service gebucht wurde. Datenschutzrechtlich bleibt der Cloud-Nutzer in der Verantwortung, wie die Datenschutz-Grundverordnung (DSGVO) zeigt.

Aus Sicht der Cloud-Sicherheit gilt das Shared-Responsibilty-Modell: So findet man zum Beispiel in den „Besonderen Vertragsbedingungen OVH Public Cloud“: Der Kunde ist insbesondere beim Hosting sensibler und/oder für die Fortführung seiner Tätigkeit notwendiger Inhalte und/oder Daten in vollem Umfang selbst verantwortlich für die Sicherung (das Backup) seiner Daten, die Einführung und das Management eines Kontinuitätsplans (Business Continuity Plan) und/oder eines Notfallwiederherstellungsplans (Disaster Recovery Plan) und ganz allgemein für alle technischen und organisatorischen Maßnahmen, die es dem Kunden ermöglichen, seine Geschäftstätigkeit im Falle einer gravierenden Funktionsstörung des Dienstes, welche die Kontinuität seiner Tätigkeit und die Verfügbarkeit und Integrität seiner Inhalte und Daten beeinträchtigen könnte, fortzuführen.

Ebenso findet man in den Vertragsbedingungen: OVHcloud weist den Kunden ausdrücklich darauf hin, dass ein Snapshot keine vollwertige und ordnungsgemäße Sicherung der Daten der Instanz darstellt, sondern nur eine „Momentaufnahme“ davon. Ein Snapshot entbindet den Kunden also in keinem Fall von der Erstellung eines Backups seiner Daten gemäß § 6 der vorliegenden Bedingungen.

Backup der Daten und Patchen von Anwendungen obliegen dem Cloud-Nutzer

Ein zweites Beispiel für massive Sicherheitsprobleme, das man sich ansehen sollte, sind die kritischen Schwachstellen bei Exchange-Servern. So meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang März 2021: Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potenziell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Auch wenn man die Dienste des jeweiligen Exchange-Servers über eine Cloud bezieht, ist es nicht automatisch der Cloud-Anbieter, der sich um das Patchmanagement kümmern muss. Vielmehr ist der Anbieter nur dann verantwortlich, wenn dies im Rahmen eines Exchange Managed Service vereinbart wurde. Andernfalls müssen die Cloud-Nutzer, die einen Exchange-Server selbst in der Cloud betreiben (Private Exchange), die Sicherheitslücken selbst angehen.

Cloud-Security-Konzept mit Shared-Responsibility-Modell abgleichen

Die skizzierten Vorfälle machen deutlich, wie wichtig es ist, als Cloud-Nutzer die geteilte Verantwortung in der Cloud-Sicherheit im Blick zu behalten und das eigene Konzept für die Cloud-Sicherheit mit dem Modell der geteilten Verantwortung abzugleichen.

Wenn Sicherheitsaufgaben fälschlich beim Cloud-Anbieter gesehen werden, entsteht eine gefährliche Scheinsicherheit, und es klaffen Sicherheitslücken in der Cloud auf, die schwerwiegende Folgen haben können, wie die aktuellen Vorfälle zeigen. Das Vertrauen in die Cloud an sich sollte also nicht erschüttert sein, vielmehr muss hinterfragt werden, ob das Bild, das man sich von der Cloud-Sicherheit macht, auch wirklich stimmt.

(ID:47339401)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research