Wer ist für Cloud Security verantwortlich?

Eine Sache ist klar: Cloud-Umgebungen sind nicht einfach zu verwalten – das ist ein Grund dafür, dass Cybersicherheit immer wichtiger wird. Eine aktuelle Studie des Cloud-Sicherheitsunternehmens Venafi ergab, dass 81 % der befragten Organisationen in den letzten 12 Monaten einen Cloud-bezogenen Cybersicherheitsvorfall erlebt haben. Fast die Hälfte (45 %) der Befragten war von mindestens vier Vorfällen betroffen. Die Studie unterstreicht außerdem, dass der Einsatz von Cloud-Lösungen zu einer zunehmenden Komplexität in relevanten Sicherheits- und Betriebsbereichen geführt hat, die mit der Bereitstellung der Systeme in Verbindung steht.

Die an der Studie beteiligten Unternehmen hosten derzeit zwei Fünftel (41 %) ihrer Anwendungen in der Cloud, erwarten aber, dass dieser Anteil in den nächsten 18 Monaten auf 57 % steigen wird. Das lässt künftig auf eine weitere Zunahme der Komplexität schließen. Darüber hinaus glaubt mehr als die Hälfte (51 %) der befragten Sicherheitsverantwortlichen, dass die Risiken in der Cloud größer sind als vor Ort.

Am häufigsten nannten Befragte folgende Sicherheitsvorfälle in Verbindung mit der Cloud-Nutzung:

• Laufzeit-Sicherheitsereignisse (34 %)
• unbefugter Zugriff (33 %)
• falsche Einstellungen (32 %)
• nicht behobene Sicherheitslücken (24 %)
• fehlgeschlagene Audits (19 %)

Doch auch mit der Migration von Daten in die Cloud sind betriebliche und sicherheitstechnische Bedenken verbunden. Hierzu zählen laut Umfrage insbesondere:

• Hijacking von Konten, Diensten oder Datenverkehr (35 %)
• Malware oder Ransomware (31 %)
• Datenschutz- oder Datenzugriffsprobleme (31 %)
• unbefugte Zugriffe (28 %)
• Angriffe durch Nationalstaaten (26 %)

Die Studie untersuchte auch, wer in den befragten Teams für den Schutz von Cloud-Anwendungen verantwortlich ist. Dies ist von Unternehmen zu Unternehmen sehr unterschiedlich. Den größten Anteil machten die internen Sicherheitsteams mit 25 % aus. Dicht gefolgt waren diese von den für die Cloud-Infrastruktur zuständigen Betriebsteams (23 %) sowie geteilten Teams (22 %), Entwicklern von Cloud-Anwendungen (16 %) und DevSecOps-Teams (10 %). Die Zahl der Sicherheitsvorfälle zeigt jedoch, dass keines dieser Modelle die bestehenden Risiken wirksam reduzieren konnte.

Venafi untersuchte zudem, welche dieser Gruppen in den Augen der Befragten für die Sicherheit von Cloud-Anwendungen verantwortlich sein sollte. Dabei gingen die Meinungen stark auseinander. Am häufigsten (24 %) schlugen Befragte eine gemeinsame Zuständigkeit von zwei Gruppen vor: Dem Sicherheitsteam im Unternehmen und der Arbeitseinheit, die für den Betrieb der Cloud-Infrastruktur verantwortlich ist. Ein vergleichbarer Anteil der befragten Personen sah die Verantwortung bei den geteilten Teams (22 %). Entwicklern (16 %) und DevSecOps-Teams (14 %) wurde ebenfalls Zuständigkeit für die Cloud Security zugeschrieben.

„Sicherheitsteams wollen die Verantwortung für die Cloud Security gerne mit Entwicklern, den eigentlichen Experten, teilen. In der Realität bleiben diese bei Sicherheitsentscheidungen allerdings oftmals außen vor. Auf der anderen Seite treffen auch die Software-Entwickler Entscheidungen, ohne die Sicherheitsteams einzubeziehen – sei es in Bezug auf Cloud-native Tools oder hinsichtlich der Architektur. Das Ergebnis ist die rasante Zunahme von Sicherheitsvorfällen in der Cloud“, so Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi.

Für Kevin Bocek ist es an der Zeit, den Ansatz für Cloud Security neu zu definieren – also konsistente, beobachtbare und kontrollierbare Dienste für Cloud-Umgebungen und -Anwendungen zu schaffen. Dabei sollte dieser Ansatz den Sicherheitsaspekt von Vornherein in den Entwicklungsprozess einbetten. Andererseits muss er es den Sicherheitsteams ermöglichen, das Unternehmen effektiv zu schützen, ohne die Software-Ingenieure auszubremsen.

Risiken bestätigen, Wege aufzeigen

Auch eine Studie des Unternehmens Snyk bestätigt: Der Schutz von Cloud-Umgebungen vor Bedrohungen und Risiken geht für Sicherheitsexperten sowie Entwickler mit einer enormen Komplexität einher. Cloud-Sicherheitsvorfälle sind deshalb keine Seltenheit. In der Synk-Umfrage gaben erneut 80 % der befragten Unternehmen an, im vergangenen Jahr mindestens einen scherwiegenden Vorfall erlebt zu haben. Dabei wurden neben Datenverletzungen auch Datenlecks und Eindringlinge genannt. Ein Anteil von 41 % der Befragten war sich einig, dass Cloud-native Dienste die Komplexität der Umgebungen erhöhen und die Sicherheitsbemühungen weiter erschweren.

„Diese neue Studie sollte ein Weckruf sein. Die Risiken im Bereich der Cloud Security sind allgegenwärtig und werden sogar noch zunehmen, wenn wir weiterhin mit veralteten Ansätzen und Tools arbeiten. Doch es gibt auch Lichtblicke: Denn die Studie zeigt deutlich, dass Unternehmen ihr Innovationstempo durch eine effektive Zusammenarbeit im Bereich DevSecOps durchaus beibehalten können – ohne dabei auf Sicherheit verzichten zu müssen.“, sagt Josh Stella, Vice President und Chief Architect bei Snyk.