Toolgestützte Cloud-Security: Warum die automatisierte Prüfung von Sicherheitseinstellungen unabdingbar ist

Ihr Experte für Fragen

Aleksei Resetko
CISA, CISSP, Partner Cyber Security & Privacy
E-Mail

Fehlerhafte Konfigurationen sind eine wesentliche Ursache für Schwachstellen in der Cloud  

Cloud-Anbieter nutzen unterschiedliche Technologien und sind somit nur bedingt untereinander vergleichbar. Ein wesentliches Unterscheidungsmerkmal sind die einzelnen Sicherkonfigurationen. Unternehmen müssen dadurch vendor-spezifisches Know-how beim Einsatz von Multi-Cloud-Umgebungen in den Reihen der eigenen Mitarbeiter:innen in ausreichender Anzahl vorhalten und dafür Sorge tragen, dass diese in regelmäßigen Abständen ihr Wissen um die technischen Entwicklungen der einzelnen Cloud-Anbieter erweitern. Allerdings wird der Handlungspielraum der Unternehmen oft durch knappe personelle Ressourcen und fehlendes Know-how der Mitarbeiter:innen eingeschränkt. Somit fehlen den Unternehmen Kapazitäten für eine ausreichende, regelmäßige Überprüfung der komplexen Sicherheitseinstellungen.

Um die Cloud-Technologien sicher zu betreiben, müssen darüber hinaus die Feinheiten und die Abhängigkeiten innerhalb der einzelnen Sicherheitskonfigurationen auf den genutzten Cloud-Plattformen der unterschiedlichen Cloud-Anbieter bekannt sein. Ansonsten drohen durch Misskonfigurationen schwerwiegende Schwachstellen für die Unternehmen, die als Einfallstor für Angriffe und Exploits genutzt werden. Als Folge dessen können erfolgreiche Cyberattacken in Compliance-Verstößen, wie z. B. in Verletzung datenschutzrechtlicher Vorschriften münden oder gar negative Auswirkungen auf den Geschäftsbetrieb haben. Das Risiko von Cyberattacken wird von Unternehmensentscheidern daher als eine sehr reelle Bedrohung wahrgenommen. Dies wurde erneut in unserem 24. PwC Global CEO Survey bestätigt. Sowohl auf globaler als auch auf nationaler Ebene betrachtet, werden die Bedrohungen und Risiken, die durch Cyberattacken hervorgehen, von den CEOs unter den Top 2 Bedrohungen genannt.

Es ist daher immens wichtig, dass Unternehmen wissen, welche Sicherheitskonfigurationen auf den genutzten Cloud-Plattformen vorzunehmen sind, wie sie korrekt umgesetzt werden und welche Risiken dadurch mitigiert werden sollen. Dabei kann PwC mit dem selbst entwickelten, Vendor-unabhängigen Tool Cloud Compliance & Security Inspector (CCSI) Unternehmen unterstützen.

Ein Tool – unterschiedliche Einsatzmöglichkeiten

Mit dem Cloud Compliance & Security Inspector (CCSI) bieten wir ein digitales Tool an, welches für eine automatisierte und regelmäßige Überprüfung und Überwachung der Cloud Sicherheit von Unternehmen entwickelt wurde.

Das Ziel von regelmäßigen Assessments ist es eine ganzheitliche Bewertung technischer Sicherheitskonfigurationen von unterschiedlichen Cloud-Umgebungen in Echtzeit zu erhalten. Als Basis der Bewertung nutzen wir ein Scoring-Modell, mit dessen Hilfe wir die zu überprüfenden Sicherheitskonfigurationen einzelner Cloud-Anbieter vergleichen können. Durch die regelmäßige Überprüfung der Sicherheitskonfigurationen werden einerseits Schwachstellen in der Cloud-Umgebung aufgedeckt; andererseits wird so die Konformität zu bewährten (z. B. CIS, ISO27001) oder unternehmenseigenen Standards geprüft.

Der CCSI ist für den Einsatz in Multi-Cloud Umgebungen entwickelt worden und kann unter anderem für Revisionstätigkeiten, die Providersteuerung oder zum Vergleich der Bewertung von Sicherheitseinstellungen in einer Multi-Cloud Umgebung eingesetzt werden. Des Weiteren eignet sich das Tool zur Qualitätssteuerung im Rahmen von Cloud-Transformationen.

Fazit

Unternehmen sollten regelmäßige Assessments zur Minimierung von Schwachstellen bei Sicherheitskonfigurationen durchführen. Durch die Vielzahl und Komplexität von Sicherheitskonfigurationen sollten diese Assessment Toolbasiert erfolgen. Tools wie der Cloud & Compliance Security Inspector unterstützen Unternehmen, Schwachstellen bei Sicherheitseinstellungen in Multi-Cloud-Umgebungen zu identifizieren und Maßnahmen abzuleiten, um diese zu schließen.