Cloud Security Operations – Wie die Verantwortung neu verteilt wird

Wie viele Provider hat auch Amazon mit seinem “Shared Responsibility Model” seine Sicht der Verantwortung formuliert: Die unteren Schichten der Infrastruktur verantwortet der Provider, die höheren Schichten der Anwender. Die Grenze liegt da, wo der Anwender selber die Konfiguration bestimmen kann. Ab dort greift der Provider nicht mehr ein.

Von den Technikern, vor allem in Startups, wird diese Grenzziehung akzeptiert, aber gerade Entscheider in traditionellen Firmen haben damit tendenziell ein Problem: Sie sind es bisher gewohnt, dass Ihnen im Outsourcing mit dem Betrieb der IT auch die Sorge für die IT-Sicherheit abgenommen wurde. Mit preisgünstigen Cloud-Services kommt aber auch die leidige Verantwortung wieder zurück. Und die Anwender sind schlecht gerüstet, denn zumindest anfangs fehlt ihnen das Security-Knowhow in den jeweiligen Cloud-Umgebungen.

Aber Cloud-Verträge sind anders als Outsourcing, weil die Cloud-Provider viele Kunden gleichzeitig bedienen müssen, um Skaleneffekte zu erreichen. Dementsprechend können sich Cloud Provider nicht um kundenspezifische Sicherheitsanforderungen kümmern, sondern bieten „one size fits all“.

Dadurch entsteht Reibung in der Kundenbeziehung, die gerade auch kundenorientierten Unternehmen wie Amazon nicht egal sein kann. Egal, wie sparsam ein Provider wirtschaften möchte, ernsthafte Sorgen seiner Kunden wird er adressieren müssen. Und Sicherheitsthemen stehen bei den Kunden im Kontext der Nutzung von Public Cloud-Diensten und -Plattformen ganz oben auf der Liste, wie Crisp Research ermittelt hat:

Die Technical Evangelists von Amazon Web Services haben zwar schon jahrelang das Shared Responsibility Model gepredigt, aber nicht alle Kunden haben es verinnerlicht, wie es eine „Shared Responsibility“ in der Praxis – Kunden sehen den Provider stärker in der Pflicht Untersuchung von Crisp Research aufzeigt: Kunden sehen weit überwiegend (>50%) den Provider in der Verantwortung, auch in Aufgaben, die nicht direkt im Zugriff des Providers liegen. Besonders interessant sind die Antworten bei „Verschlüsselung der Kunden-Daten“, einem Grundbedürfnis nach Sicherheit. Nur 40% der Kunden sehen die Verantwortung bei sich, dagegen 60% beim Anbieter. Offensichtlich ist der Wunsch nach Entlastung größer als nach Wirksamkeit der Schutzmaßnahme.

Aufteilung von Verantwortung funktioniert, wenn beide Seiten sich darüber im Klaren sind und jede ihren Teil wahrnehmen kann. Dass es manchmal nicht funktioniert, zeigen vier Sicherheitsvorfälle in den letzten 3 Monaten, die in Zusammenhang mit Dow Jones, der Republikanischen Partei, dem US-Militärdienst NGA und dem Internetprovider Verizon publik wurden.

Gemeinsam ist den Vorfällen, dass diese nicht vom Provider zu verantworten sind sondern durch ungenügende Achtsamkeit der Kunden verursacht wurden. Anscheinend waren die Berechtigungen auf dem „Simple Storage Service“ S3 fehlerhaft eingestellt. Das ist sehr bemerkenswert, denn AWS übernimmt bei S3 Verantwortung für fast den gesamten Stack von Datacenter, Server, Betriebssystem, Netzwerk bis hin zur Storage-Applikation. Kunden müssen sich bei S3 eigentlich nur um Zugriffskontrolle und ggf. Verschlüsselung kümmern und versagen auf spektakuläre Weise so, dass es auch für AWS selbst peinlich wird.

Amazon muss das Ausmaß der vermutlich fehlerhaften Zugriffsberechtigungen bekannt gewesen sein, ähnliche Vorfälle gibt es seit Jahren und sie sind häufiger geworden. In erster Linie hat AWS reagiert, indem Kunden zur Selbsthilfe mehr Dokumentation und Tools an die Hand gegeben wurden. So kann z.B. jeder Kunde im Supportvertrag mit dem Trusted Advisor die Sicherheit aller Speichertöpfe (Buckets) selbst überprüfen (neben einigen anderen Checks). Offensichtlich möchte AWS auch bei Security-Services Skaleneffekte nutzen und sich damit von den Wettbewerbern differenzieren. Doch das Angebot zum Self-Service im Sinne der Cloud-Philosophie wird offensichtlich nur von einem Teil der Kunden wahrgenommen, Sicherheitsprobleme werden nicht konsequent genug reduziert.

Wenn schon die von AWS selbst angebotenen Tools nicht genutzt werden, wird auch das Angebot von Sicherheitsdienstleistern nicht in der Breite helfen, weil vor deren Beauftragung zusätzlich noch eine Vertrauenshürde genommen werden müsste.

Amazon ist schon immer in der Lage gewesen, die Zugriffsberechtigungen der Kunden zu analysieren und Speichertöpfe zu identifizieren, die weltweit lesbar sind. Doch erst nachdem Mainstream-Medien die Sicherheitsvorfälle in den letzten Wochen aufgegriffen hatten, ergriff Amazon die Initiative. In einer Mail wurde jeder Kunde individuell informiert und gebeten, auffällige Zugriffsrechte zu überprüfen.

„Shared Responsibility“-Konzept wird nachjustiert – Cloud Provider tun mehr für die Sicherheit der Kunden

Damit leistet AWS freiwillig mehr, als es nach dem Shared Responsibility´-Model tun müsste, wohl um weitere negative Presse zu vermeiden. Denn viele Entscheider bei den Kunden kennen ihre Verantwortung nicht, oder wissen nicht, welche Vorkehrungen notwendig wären. Unsere Analyse stützt sich zwar nur auf einen der ältesten und meistgenutzten Dienste von AWS, aber wir erwarten ähnliches für andere Dienste und auch bei den Mitbewerbern.

Diese Hinwendung zum Kunden, anstelle der bisher praktizierten Abgrenzung, erscheint uns als wesentliche Richtungsänderung. Hatten Provider bisher darauf geachtet, ihr eigenes Haus „sauber“ zu halten, fangen sie jetzt an vor der eigenen Türe zu kehren. Das liegt vermutlich auch an neuen Zielgruppen: Waren anfangs noch Entwickler im Fokus, wird in Folge steigender Cloud-Nutzung die Ansprache von Betriebsverantwortlichen wichtiger, und letztere erwarten praktikable Maßnahmen zur vertrauensvollen Zusammenarbeit.

Im Endeffekt können Cloud Anwender darauf hoffen, dass sich das Machtgefüge weiter verschiebt und Provider ihnen mit proaktiven Sicherheitsmaßnahmen entgegenkommen werden. Das nächste große Thema steht mit GDPR quasi vor der Tür, und jede konkrete Hilfe der Provider bei den „technisch-organisatorischen Maßnahmen“ würde von den Sicherheitsverantwortlichen sicherlich gut aufgenommen. Von einer Stärkung in der Mitte des Bogens durch Verbesserungen in der Sicherheitsorganisation würden die Kunden – und damit letztendlich auch die Provider – am meisten profitieren.

Cloud Security Design & Operations – Expertise und Professionalität als Antwort auf dynamische Bedrohungspotenziale und komplexe Datenschutzanforderungen (GDPR)

In Kontext von Cloud Security spannt sich der Bogen von geschäftlichen Anforderungen über Sicherheitsarchitektur und Sicherheitsorganisation zu Services, Produkten und der technischen Umsetzung. In der folgenden Grafik sind die zentralen Handlungsfelder aufgelistet, um welche sich CIOs und CISOs kümmern müssen, wenn sie im Bereich von „Cloud Security Design & Operations“ zu den exzellenten und gut gerüsteten Unternehmen zählen wollen, die in der Lage sind, sich bestmöglich auf dynamische Bedrohungslagen und komplexe Rechtssituationen einzustellen.

Als unabhängiges und auf Cloud Computing spezialisiertes Research- und Beratungshaus bietet Crisp Research Workshops, Tools und Methoden zur Entwicklung und Implementierung ganzheitlicher Cloud Security Strategien an. Mehr zu unseren Workshops und Cloud Security Advisory Services erfahren Sie von Dr. Carlo Velten und Dr. Ekkard Schnedermann.

Mehr zu den Themen AWS Cloud Computing Cloud Security GDPR Security-Services Shared-Responsibility Trusted Advisor

Share on:


Über den Autor:

Senior Analyst

Cloud Security

Ekkard SchnedermannDr. Ekkard Schnedermann ist beim IT-Research- und Beratungsunternehmen Crisp Research AG als Senior Analyst tätig. Der promovierte Physiker verfügt über mehr als 20 Jahre Erfahrung als IT-Sicherheitsexperte in den Feldern Identity & Access Management, System Security, Application Security und Security Architecture und SOX Audits. Im Rahmen seiner Laufbahn war er u.a. für Siemens, Hypovereinsbank, Unicredit, T-Systems und ATOS verantwortlich tätig.
Als Co-Initiator und aktives Mitglied des German Chapter der Cloud Security Alliance (CSA) gilt er als einer der Pioniere im Kontext Cloud Security im deutschsprachigen Raum. Dr. Schnedermann zeichnet sich vor allem durch die Verbindung wissenschaftlich-fundierter Vorgehensweisen und langjährige praktische Erfahrung als Security Operations Manager aus, die in einer Vielzahl von Zertifizierungen zum Ausdruck kommen (CCSK, AWS Certified Solution Architect, CGEIT, CISA und CISSP).
Seit einigen Jahren fokussiert Dr. Schnedermann seinen Research sowie seine Beratungsaktivitäten auf das Security Management von Public Cloud-Infrastrukturen und hybriden IT-Landschaften. Seine Erfahrungen in der Absicherung insbesondere der AWS Cloud, sind in der Entwicklung eigener Security Technologien- und Produkte gemündet, die über die Firma „Elefantshop“ vertrieben werden.
Als aktives Mitglied der Cloud Security Community in Deutschland ist Dr. Schnedermann ein gefragter Key Note-Speaker und Moderator. Bei Crisp Research ist er als Senior Analyst-in-Residence für das Thema Security verantwortlich und berät Startups, Konzerne und Cloud Provider bei der Konzeption, Einführung und Operations ganzheitlicher Cloud-Sicherheitsstrategien.