:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Geteilte Verantwortung für Cloud-Sicherheit Was man aus dem Rechenzentrumsbrand bei OVH lernen sollte
Wenn nach dem Brand in einem Rechenzentrum oder wegen kritischer Schwachstellen in Exchange-Servern Kritik an der Cloud-Sicherheit zu hören ist, sollte man genauer hinschauen. Nach dem Shared-Responsibility-Modell ist nicht immer der Cloud-Provider verantwortlich.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Wir erinnern uns: Am 10. März 2021 ist ein Brand in einem der vier Rechenzentren von OVHcloud in Straßburg ausgebrochen, dem Rechenzentrum SBG2. Der Brand zerstörte hauptsächlich das Rechenzentrum SBG2 und beschädigte das Rechenzentrum SBG1 (von zwölf Serverhallen wurden vier zerstört). Die beiden anderen Rechenzentren waren nicht vom Feuer betroffen. Die Server in SBG3 und SBG4 wurden ausgeschaltet, aber nicht beschädigt.
Im weiteren Verlauf bot OVHcloud seinen Kunden unter anderem eine alternative Infrastruktur an: Bare Metal, Hosted Private Cloud und Public Cloud in den Rechenzentren von Gravelines (GRA), Roubaix (RBX), London (LON), Warsaw (WAW) und Frankfurt (FRA).
Die Folgen des Brandes in Straßburg waren immens. Viele betroffene Cloud-Nutzer beklagten einen Datenverlust, ohne Möglichkeit, die Daten wiederherzustellen. In manchen Medien konnte man lesen, dass das Vertrauen in die Cloud und in Cloud-Sicherheit nun schwer erschüttert sei. Dabei stellt sich allerdings die Frage, in welche Cloud-Sicherheit, die der jeweiligen Unternehmen oder die der Cloud-Provider?
Verantwortung für Cloud-Sicherheit ist geteilt
Unwiederbringlicher Datenverlust in Folge des Rechenzentrumsbrands bedeutet in aller Regel, dass die Cloud-Nutzer keinen Backup-Service gebucht oder selbst Backups erstellt haben. Aus gutem Grund verweist OVHcloud zum Beispiel darauf, dass es notwendig sein kann, dass die betroffenen Kunden eine Meldung bei der jeweils zuständigen Datenschutzaufsicht machen.
Eine solche Meldung müssen immer die Verantwortlichen machen. Und tatsächlich sind die Cloud-Nutzer für ihre Daten verantwortlich und nicht etwa der Cloud-Provider, wenn kein spezieller Backup-Service gebucht wurde. Datenschutzrechtlich bleibt der Cloud-Nutzer in der Verantwortung, wie die Datenschutz-Grundverordnung (DSGVO) zeigt.
Aus Sicht der Cloud-Sicherheit gilt das Shared-Responsibilty-Modell: So findet man zum Beispiel in den „Besonderen Vertragsbedingungen OVH Public Cloud“: Der Kunde ist insbesondere beim Hosting sensibler und/oder für die Fortführung seiner Tätigkeit notwendiger Inhalte und/oder Daten in vollem Umfang selbst verantwortlich für die Sicherung (das Backup) seiner Daten, die Einführung und das Management eines Kontinuitätsplans (Business Continuity Plan) und/oder eines Notfallwiederherstellungsplans (Disaster Recovery Plan) und ganz allgemein für alle technischen und organisatorischen Maßnahmen, die es dem Kunden ermöglichen, seine Geschäftstätigkeit im Falle einer gravierenden Funktionsstörung des Dienstes, welche die Kontinuität seiner Tätigkeit und die Verfügbarkeit und Integrität seiner Inhalte und Daten beeinträchtigen könnte, fortzuführen.
Ebenso findet man in den Vertragsbedingungen: OVHcloud weist den Kunden ausdrücklich darauf hin, dass ein Snapshot keine vollwertige und ordnungsgemäße Sicherung der Daten der Instanz darstellt, sondern nur eine „Momentaufnahme“ davon. Ein Snapshot entbindet den Kunden also in keinem Fall von der Erstellung eines Backups seiner Daten gemäß § 6 der vorliegenden Bedingungen.
Backup der Daten und Patchen von Anwendungen obliegen dem Cloud-Nutzer
Ein zweites Beispiel für massive Sicherheitsprobleme, das man sich ansehen sollte, sind die kritischen Schwachstellen bei Exchange-Servern. So meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang März 2021: Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potenziell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.
Auch wenn man die Dienste des jeweiligen Exchange-Servers über eine Cloud bezieht, ist es nicht automatisch der Cloud-Anbieter, der sich um das Patchmanagement kümmern muss. Vielmehr ist der Anbieter nur dann verantwortlich, wenn dies im Rahmen eines Exchange Managed Service vereinbart wurde. Andernfalls müssen die Cloud-Nutzer, die einen Exchange-Server selbst in der Cloud betreiben (Private Exchange), die Sicherheitslücken selbst angehen.
Cloud-Security-Konzept mit Shared-Responsibility-Modell abgleichen
Die skizzierten Vorfälle machen deutlich, wie wichtig es ist, als Cloud-Nutzer die geteilte Verantwortung in der Cloud-Sicherheit im Blick zu behalten und das eigene Konzept für die Cloud-Sicherheit mit dem Modell der geteilten Verantwortung abzugleichen.
Wenn Sicherheitsaufgaben fälschlich beim Cloud-Anbieter gesehen werden, entsteht eine gefährliche Scheinsicherheit, und es klaffen Sicherheitslücken in der Cloud auf, die schwerwiegende Folgen haben können, wie die aktuellen Vorfälle zeigen. Das Vertrauen in die Cloud an sich sollte also nicht erschüttert sein, vielmehr muss hinterfragt werden, ob das Bild, das man sich von der Cloud-Sicherheit macht, auch wirklich stimmt.
(ID:47339401)
:quality(80)/p7i.vogel.de/wcms/ed/52/ed52708ae572b06e7dc2ab8b5c1e1cb1/0110011261.jpeg "Die Cloud ist aufgrund ihrer Flexibilität, Kosteneffizienz und Benutzerfreundlichkeit zu einer zentralen Komponente der Informationstechnologie geworden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "0111189642 (Bild: gemeinfrei)")