Studie: Verantwortung für die Sicherheit in der Cloud ist oft unklar

Laut einer Umfrage von Palo Alto Networks herrscht in Unternehmen oft Unklarheit darüber, ob der Cloud-Anbieter oder das Unternehmen selber für die Sicherheit in der Public Cloud zuständig ist. Insbesondere das Konzept der gemeinsamen Verantwortung (Shared Responsibility) scheint bei weitem nicht allen Sicherheitsverantwortlichen deutlich zu sein.

Gemäss der Studie von Palo Alto ist rund ein Drittel der befragten Sicherheitsexperten von Unternehmen der Auffassung, der Cloud-Service-Provider trage die Hauptverantwortung für den Schutz der Unternehmensdaten in der Public-Cloud-Infrastruktur. Zwar ist eine Mehrheit von 83 Prozent zuversichtlich, dass der Cloud-Service-Provider die Infrastruktur schützt. Nur 51 Prozent der Befragten sind sich aber offenbar des Modells der gemeinsamen Verantwortung (Shared Responsibility) voll bewusst. Darüber hinaus ist offenbar jeder zehnte Befragte fälschlicherweise der Ansicht, die «gemeinsamen Verantwortung» beziehe sich auf mehrere Cloud-Anbieter, die sich die Sicherheitsverantwortung teilen.

Was bedeutet «gemeinsame Verantwortung»?

Damit legen die Resultate der Umfrage eine Reihe grundsätzlicher Irrtümer beim Thema Cloud-Sicherheit offen. So macht das Modell der gemeinsamen Verantwortung (Shared Responsibility) den Service-Provider nur für die Cloud-Infrastruktur verantwortlich. Die Verantwortung für den Schutz der eigenen Daten und Anwendungen liegt jedoch weiterhin bei den Unternehmen. Das «Shared» bezieht sich zudem auf die Beziehung zwischen Kunde und Anbieter und nicht auf mehrere Anbieter.

«Unsere Umfrage wirft ein Licht auf eine aufschlussreiche Anomalie: Cybersicherheitsexperten haben grosses Vertrauen in Cloud-Service-Provider, sind sich aber immer noch nicht ganz sicher bezüglich ihrer eigenen Verantwortung für ihre Daten- und Anwendungssicherheit», kommentierte Greg Day, Vice President und CSO für die EMEA-Region bei Palo Alto Networks, die Ergebnisse. «Cybersicherheitsteams können nämlich nicht davon ausgehen, dass die von den Cloud-Betreibern angebotenen Sicherheitsmassnahmen einen konsistenten und ganzheitlichen Schutz bieten.»

«Shared Responsibility» in der Praxis

Das Modell der gemeinsamen Verantwortung (Shared Responsibility)lässt sich am besten anhand eines Praxisbeispiels verdeutlichen. Beim vielgenutzten Cloudanbieter Amazon Web Services (AWS) bedeutet die «gemeinsame Verantwortung», dass der Anbieter die Sicherheit des Backend, inklusive der Rechenzentren und der physischen Infrastruktur gewährleistet. Zudem gibt er den darauf aufbauenden Cloudanwendungen automatisch grundlegende Sicherheitsmerkmale mit. Die Aufgabe der Amazon-Kunden bleibt es jedoch weiterhin, ihre Anwendungen vor Datendiebstahl, unbefugtem Zugriff oder Datenverlusten zu schützen.

AWS unterstützt die Kunden mit Dokumentationen zum Thema Cloudsicherheit und so genannten «Best Practices». Zum Angebot gehört zudem, dass eine Anzahl von Sicherheitsfunktionen als Teil der Infrastruktur bereitgestellt wird.

Mehrere Cloud-Anbieter erhöhen das Sicherheitsrisiko

Eine weitere Quelle von Unsicherheiten hinsichtlich des Themas Cloud-Sicherheit ist die Tatsache, dass Unternehmen oft mehrere Cloud-Anbieter nutzen – so arbeitet laut der Palo Alto-Studie die Mehrheit der befragten Betriebe mit zwei Cloud-Providern, bei rund 44 Prozent sind es sogar drei oder mehr. Mehr als die Hälfte der Sicherheitsverantwortlichen (52 Prozent) sind zudem der Ansicht, ihr Unternehmen habe bei der Auswahl eines Cloud-Providers in Bezug auf die Sicherheits-Anforderungen nicht die nötige Vorsicht walten lassen. Dies deutet laut der Sudie darauf hin, dass die Sicherheit, nicht immer der Projektgrösse entsprechend ausgerichtet werden kann.

Für Palo Alto ist zudem die Tatsache besorgniserregend, dass nur etwas mehr als jeder zehnte Cybersicherheitsexperte angegeben hat, in der Lage zu sein, konsistente Sicherheitsrichtlinien über die gesamte IT-Umgebung aufrechterhalten zu können, einschliesslich typischerweise über mehrere Clouds. Eine Situation, die sich laut Palo Alto-VP Greg Day «deutlich verbessern muss».