Cloud-Dienste für DSGVO-Compliance und Security
Risiken in der Public Cloud
Viele Firmen nehmen die Gefahren offensichtlich nicht ernst genug. Einige von ihnen scheinen zum Beispiel der Überzeugung zu sein, ein Cloud-Backup böte bereits genügend Schutz vor der Datenvernichtung durch Ransomware (Erpresser-Malware). Josh Mayfield, Direktor der Sicherheitsfirma FireMon, hält das für einen Irrglauben, da Ransomware auch Cloud-Backups verseuchen könne. Eine häufige Ursache seien Konfigurationsfehler von S3-Buckets auf AWS durch den Kunden. AWS habe "mühsam", so Mayfield, "so robuste Sicherheitskontrollen wie in einer Public Cloud nur möglich" geschaffen, nur damit AWS-Nutzer diese Mechanismen konsequent ignorierten.
Unternehmen sollten indessen gewarnt sein, denn das Szenario eines grösseren Datendiebstahls aufgrund fehlkonfigurierter S3-Buckets bei AWS hat sich schon mehrfach abgespielt, etwa bei Firmen wie dem Datenanalyse-Spezialisten Alteryx und dem US-Telekommunikationsanbieter Verizon. Alteryx hatte im Oktober 2017 rund 3,5 Milliarden Datensätze der US-Kreditauskunftei Experian in einem falsch konfigurierten S3-Bucket an die Öffentlichkeit durchsickern lassen. Dabei liessen sich Konfigurationsfehler dieser Art mit dem Sicherheitsdienst AWS Trusted Advisor in wenigen Sekunden aufspüren.
Neuartige Risikokategorie
Eine neuartige Risikokategorie stellen kritische Infrastrukturen sowie andere cyberphysische Systeme dar - insbesondere solche, die zur Entscheidungsfindung auf Daten oder KI-Dienste aus der Cloud vertrauen und/oder dort ihre Messwerte ablegen. Die steigende Frequenz von Attacken auf diese Daten bereitet vielen Sicherheitsfirmen sorgen. ESET etwa weist darauf hin, dass Sicherheitsforscher und Unternehmen gleichermassen mit der Notwendigkeit, solche Anlagen zu schützen, in der täglichen Praxis noch grösstenteils völliges Neuland betreten.
Angesichts dieser Situation empfiehlt Reto Häni, Leiter Cybersicherheit bei PwC Schweiz: "Unternehmen sollten potenzielle Cloud-Lösungen - zusätzlich zur Beurteilung ihrer Funktionalitäten - auf die zur Verfügung stehenden Mechanismen zur Risikobeurteilung hin evaluieren." Dabei sollten sie nicht nur auf traditionelle Compliance-Zertifizierungen achten. Ebenso gelte es zu überprüfen, ob der Zugriff auf ein Kontrollsystem möglich ist und ob der Cloud-Service über Schnittstellen zum Audit verfügt. Und es sei besonders zu beachten, ob "eine GDPR-Compliance der Cloud-Plattform gegeben ist und ob die Lösung darüber hinaus auch bei der GDPR-Compliance unterstützt - beispielsweise indem Möglichkeiten zur Data Exploration bestehen, um datenschutzrelevante Informationen zu identifizieren". Letzteres sei unter anderem für das sogenannte Auskunftsrecht zentral, betont der Sicherheitsexperte.