Cloud Computing: SATW

Cybersecurity Map Mittwoch, 21. Oktober 2020 12:02

Stand der Dinge

Cloud Computing ist ein Modell, das einen allgegenwärtigen, bequemen und bedarfsgerechten Netzwerkzugang zu einem gemeinsamen Pool konfigurierbarer Computing-Ressourcen ermöglicht (z. B. Netzwerke, Server, Speicher, Anwendungen und Dienste). Die Ressourcen können mit minimalem Verwaltungsaufwand oder mit minimaler Interaktion mit dem Dienstanbieter schnell bereitgestellt und freigegeben werden. Die zur Verfügung gestellten Dienste lassen sich grob in drei Kategorien einteilen: Infrastruktur-as-a-Service (IaaS), Plattform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Bei der Bereitstellung von Cloud-Diensten wird zwischen public und private Cloud unterschieden. Es sind auch hybride Cloud-Umgebungen möglich, in denen Organisationen sowohl private als auch öffentliche Ressourcen nutzen.

Der Hauptvorteil der Cloud besteht darin, dass sie Organisationen Folgendes ermöglicht:

Rechenressourcen nach Bedarf zu beziehen und zu bezahlen, wodurch grosse Vorabinvestitionen vermieden werden können und nur die variablen Betriebskosten anfallen.
Zugang zu einem ständig verfeinerten, verbesserten und professionell verwalteten Technologiepaket, das es Organisationen ermöglicht, sich auf das eigentliche Geschäftsmodell zu konzentrieren, anstatt die dafür notwendige Technologieinfrastruktur zu implementieren und zu betreiben.
von Grössenvorteilen zu profitieren, da die öffentliche Cloud-Infrastruktur von vielen Kunden gemeinsam genutzt wird.

Die Entwicklung hin zur Bereitstellung von Computing-Ressourcen über Cloud Computing weist einige Ähnlichkeiten mit dem Übergang von der Stromerzeugung in firmeneigenen kleinen Kraftwerken zum Verbrauch von Strom aus grossen Kraftwerken in Fremdbesitz auf. Im Gegensatz zur Stromerzeugung wird Cloud Computing weltweit von einigen wenigen grossen Akteuren dominiert, und ihre Dienste sind nicht einfach austauschbar. Dies hat wichtige Konsequenzen, wie wir weiter unten sehen werden.

Mit der Einführung der Elastic Compute Cloud durch Amazon Web Services wurde 2006 das öffentliche Cloud Computing in grossem Massstab breit verfügbar gemacht. In der Zwischenzeit wird die globale Cloud-Infrastruktur von Amazon, Google, Microsoft und Alibaba dominiert. Die Verfügbarkeit der Cloud-Computing-Infrastruktur hat zum Aufkommen zahlreicher Software-as-a-Service-Angebote geführt (z.B. Salesforce, ServiceNow, Microsoft 365, etc.).

Die Schweiz hat bei der Einführung von Cloud Computing nicht zuletzt aufgrund von Bedenken bezüglich Compliance (einschliesslich Privatsphäre) und Sicherheit keine Spitzenposition eingenommen. Es gibt jedoch eine zunehmende Dynamik, da Cloud-Dienste in Bezug auf Sicherheit und Kontrollen (und die damit verbundene Transparenz) gereift sind und grosse globale Cloud-Anbieter (Google, Microsoft, AWS) Cloud-Rechenzentren in der Schweiz eröffnet haben.

Herausforderungen

Die wichtigsten Cyber-Risiken im Zusammenhang mit Cloud Computing sind:

Compliance: Es ist nicht trivial, die Daten gemäss geltenden Gesetzen, Vorschriften und organisatorischen Richtlinien zu verarbeiten. Diese können widersprüchlich, mehrdeutig oder basierend auf einer traditionelleren technologischen Infrastruktur konzipiert worden sein. Darüber hinaus gibt es einen allgemeinen Trend zu einer verstärkten Regulierung der Datenverarbeitung, die den freien Datenfluss aufgrund von Datenschutzbedenken oder nationalen (Sicherheits-)Interessen einschränkt.
Es gibt zudem Bedenken, dass gewisse Gesetze und Vorschriften Bestimmungen enthalten, die ausgeweitet bzw. missbraucht werden können und (ausländischen) staatlichen Stellen über den Cloud-Provider Zugang zu den Daten einer Organisation ermöglichen (z.B. US Cloud Act, chinesisches Cyber-Gesetz). Um dieses Risiko zu minimieren, sollten Organisationen bei der Auswahl des Cloud-Anbieters sorgfältig vorgehen und sicherstellen, dass in den Vertragsklauseln der Zugriff auf Daten durch Dritte, insbesondere auch ausländische Behörden, geregelt ist. Eine Ende-zu-Ende Verschlüsselung der Daten, sowohl bei der Übertragung als auch im Ruhezustand, ist ebenfalls eine sinnvolle Massnahme.
Schatten-IT: Organisationen haben oft Schwierigkeiten zu verstehen, wo und wie ihre Daten verarbeitet werden. Das liegt daran, dass Organisationseinheiten häufig Cloud-Infrastrukturen und -Anwendungen, wie z.B. Google Drive, Dropbox oder Slack nutzen, um etablierte Governance-Mechanismen zu umgehen, die typischerweise von der IT-Funktion einer Organisation durchgesetzt werden. Daher wird eine Schatten-IT eingerichtet, die nicht den geltenden Unternehmensrichtlinien entspricht und möglicherweise nicht über angemessene Sicherheitskontrollen verfügt.
Sicherheit und Resilienz: Da öffentliche Cloud-Anbieter die Daten vieler Kunden auf ihre Recheninfrastruktur konzentrieren, sind sie ein attraktives Ziel für Cyberattacken. Dieses Problem wird bis zu einem gewissen Grad durch die Tatsache ausgeglichen, dass die grossen Cloud-Anbieter über die Ressourcen und das Know-how verfügen, um Sicherheitskontrollen auf dem neuesten Stand der Technik zu implementieren und zu betreiben. Nichtsdestotrotz müssen Organisationen, die Cloud-Dienste in Anspruch nehmen, ein tiefes Verständnis dafür haben, wie der Zugang zu den in der Cloud verarbeiteten Daten kontrolliert und überwacht und die Vertraulichkeit und Integrität dieser Daten geschützt werden kann.
Dazu gehört oft auch die Verschlüsselung von Daten während der Übertragung und im Ruhezustand. Während der Datenverarbeitung sind die Daten jedoch überwiegend unverschlüsselt. Das damit verbundene Risiko muss entsprechend bewertet und gehandhabt werden: Die möglichen Risiken bezüglich Vertraulichkeit und Integrität der Daten sind den Verbesserungen der Resilienz im Bereich der Verfügbarkeit gegenüberzustellen. Auch hier ist somit die Anwendung eines risikobasierten Ansatzes mit entsprechenden Massnahmen und Security Controls erforderlich.
Cloud Migration: Um die erwarteten Vorteile nutzen zu können, muss der Umstieg auf Cloud Computing mit dem Übergang zu agileren und häufig automatisierten Betriebsprozessen zur Entwicklung, Bereitstellung und Sicherung der IT einhergehen. Der Umstieg auf die Cloud ist daher oft mit der Implementierung neuer Konzepte wie (Sec)DevOps verbunden, die erhebliche Veränderungen bezüglich Organisation und Verhalten erfordern.
Anpassung der Kontrollen: während die Verantwortlichkeit für die Daten beim Unternehmen verbleibt, das Cloud Computing-Dienste nutzt, müssen sich Unternehmen darauf verlassen, dass die Cloud-Anbieter einen wesentlichen Teil der Sicherheitskontrollen ordnungsgemäss anwenden und durchführen. Daher ist es von entscheidender Bedeutung, dass die Kontrollrahmen des Kunden und des Anbieters richtig aufeinander abgestimmt sind, die Wirksamkeit der Kontrollen überwacht wird und die Verantwortlichkeiten geklärt sind. Oftmals lassen sich Cloud Anbieter extern zertifizieren (z.B. ISO, PCI, DSS, FIPS, etc.). Die Zertifizierungen stellen für die Kunden eine grosse Hilfe dar, indem sie keine eigenen Audits oder Due Diligence Prüfungen der Cloud Anbieter umsetzen müssen.
Auch wenn dies kein Cyberrisiko darstellt, soll hier auch die Herausforderung der Anbieterbindung – d.h. die Unmöglichkeit, den Cloud-Anbieter aus technischen oder anderen Gründen zu wechseln – erwähnt werden. In bestimmten Situationen kann der Wechsel weg von einem Anbieter die einzig mögliche Massnahme sein, um die oben diskutierten Cyberrisiken angemessen zu mindern. Der Trend zu Multi-Cloud-Lösungen, die von den grossen Cloud-Anbietern und anderen Technologiefirmen angeboten werden, ebenso wie der wachsende Einsatz von Container-Lösungen, die von einem Cloud-Provider zum nächsten migriert werden können, tragen zur Abschwächung dieses Risikos bei.

Handlungsbedarf für Politik, Wirtschaft und Gesellschaft: Diese Lücken bestehen aktuell

In der Schweiz fehlt ein Rechtsrahmen für die Cloud: Gesetzgeber und regulierende Stellen sollen sich über die Grundlagen, Chancen und Risiken des Cloud Computing informieren, um eine intelligente Gesetzgebung und Regulierung zu ermöglichen.
- Bildungsveranstaltungen mit Politikerinnen und Politikern sowie Regulierungsbehörden könnten helfen, das Verständnis für die zu erarbeitenden Gesetzgebungsdokumente zu fördern.
- Internationale Regulierungen wie der US Cloud Act oder die Chinese Cyber Law wurden in der Schweiz im Finanzsektor und im öffentlich-rechtlichen Bereich bereits diskutiert und durch entsprechende Rechtsgutachten begleitet. Eine Anwendung in anderen Sektoren könnte erneuten Diskussionsbedarf mit sich bringen.
Die Forschung auf dem Gebiet der sicheren Datenverarbeitung (einschliesslich homomorpher Verschlüsselung1, Pseudonymisierung, Confidential Computing, Trusted Execution Environments und anderer Konzepte) und die Entwicklung verwandter Produkte soll gefördert werden.

Empfehlungen: So kann die Politik, Wirtschaft und Gesellschaft die Lücken schliessen

Cloud Computing ist aus unserem Alltag nicht mehr wegzudenken. Gesetze und Vorschriften, die sich auf die Datenverarbeitung oder auf Betriebsmodelle auswirken (Datenschutzgesetze, Cyberrisikovorschriften usw.), sollten den neuen Gegebenheiten Rechnung tragen, wobei Chancen und Risiken für Wirtschaft und Gesellschaft sorgfältig gegeneinander abzuwägen sind.
Organisationen müssen die Auswirkungen des Cloud Computing über die rein technologischen Aspekte hinaus verstehen.
- Ein Verständnis für die Chancen des Cloud Computing entwickeln, in Bezug auf Geschäfts- und Betriebsmodelle, verbesserte Innovation, Produkteinführungszeit, usw.
- Chancen und Risiken sorgfältig gegeneinander abwägen, Optionen zur Risikominderung verstehen.
- Das Verschieben von Daten und Applikationen in die Cloud nur bei einer geeigneten Cloud-Strategie durchführen: Der Umzug sollte als organisatorisches Veränderungsprojekt behandelt werden (im Gegensatz zu einer reinen Technologiemigration). Ausserdem muss sichergestellt sein, dass die Risiken verstanden und wirksam minimiert werden.