Zur Einsch\u00e4tzung der Sicherheitslage im Bereich Cloud-Computing hat das BSI ein halbes Jahr lang verschiedene \u00f6ffentliche Quellen wie Informationsportale und Selbstausk\u00fcnfte von Cloud-Anbietern ausgewertet. Um die festgehaltenen Vorf\u00e4lle verorten zu k\u00f6nnen, wurden sie in ein Cloud-Schichtenmodell der IETF (Internet Engineering Task Force) nach Risiken wie Manipulation, Informationsabfluss, Dienstausfall oder Rechteausweitung klassifiziert.<\/p>\n
![\"\"](\"https:\/\/one2.sem-webagentur.de\/wp-content\/uploads\/2023\/08\/Cloud_Schichtenmodell.png\" "\\"\\"")
<\/p>\n
Abb. 1: Cloud-Schichtenmodell der IETF (Quelle: BSI)<\/em><\/p>\n In den besagten sechs Monaten wurden 404 Vorf\u00e4lle aufgezeichnet. 98 Prozent davon betrafen die Verf\u00fcgbarkeit der Services. Wobei sich das aus den Selbstausk\u00fcnften der Cloud-Anbieter erkl\u00e4rt, die sich fast ausschlie\u00dflich auf die Verf\u00fcgbarkeit beziehen. Die Serviceausf\u00e4lle lassen sich zu 78 Prozent (317 Vorf\u00e4lle) direkt in der Serviceschicht der Cloud verorten. Wobei die Fehler zumeist in der Software oder bei Update-Problemen liegen. Von 317 Ausf\u00e4llen in dieser Schicht sind 92 auf technisches, 13 auf menschliches Versagen und zwei auf vors\u00e4tzliche Handlungen zur\u00fcckzuf\u00fchren \u2013 zum Rest fehlen Angaben. Die zweith\u00e4ufigsten Ausf\u00e4lle mit 12 Prozent (46 Vorf\u00e4lle) sind in der virtuellen Ressourcenschicht auszumachen. Ausf\u00e4lle in dieser Schicht bedeuten, dass der Software des Dienstes nicht gen\u00fcgend virtualisierte Ressourcen (Rechenleistung, Arbeitsspeicher, Festplattenspeicher und Netzwerkdienste) zur Verf\u00fcgung standen. Davon wurden jeweils sechs F\u00e4lle durch technisches und menschliches Versagen ausgel\u00f6st, bei 34 F\u00e4llen ist die Ursache unbekannt. Die restlichen 10 Prozent der Vorf\u00e4lle zur Verf\u00fcgbarkeit betrafen das Cloud Management und physische Ressourcen.<\/p>\n Laut dem BSI-Bericht wurde der Gro\u00dfteil der Ausf\u00e4lle (377) innerhalb von einer Stunde, weitere zw\u00f6lf Ausf\u00e4lle innerhalb von vier Stunden behoben. Dabei ist besonders hervorzuheben, dass 91 von 92 Ausf\u00e4llen in der Cloud-Services-Schicht, die auf technisches Versagen zur\u00fcckgehen, binnen einer Stunde gel\u00f6st werden konnten. Zusammenfassend ist festzuhalten, dass die untersuchten Cloud-Anbieter im Wesentlichen eine Verf\u00fcgbarkeit von rund 99,9 Prozent (bis zu neun Stunden Ausfall pro Jahr) erreichen. Das hei\u00dft, dass Cloud-Anbieter durch Cyberangriffe nur unwesentlich in der Verf\u00fcgbarkeit ihrer Dienste eingeschr\u00e4nkt zu sein scheinen, da sie \u00fcber ausreichend Gegenma\u00dfnahmen verf\u00fcgen. Die Gefahr in puncto Cloud sieht das BSI eher an anderer Stelle, n\u00e4mlich beim Stehlen von Kundendaten, die bei Cloud-Anbietern ein attraktives Ziel f\u00fcr Datendiebe darstellen. Hier k\u00f6nnten sich auch komplexe Angriffe mit hohem Aufwand f\u00fcr Angreifer lohnen. Um dieser Gefahr zu begegnen, seien gemeinsame Anstrengungen bei Pr\u00e4vention und Detektion von Cyberangriffen sowie bei der Reaktion der Cloud-Anbieter darauf n\u00f6tig.<\/p>\n Begr\u00fc\u00dfenswert ist, dass gro\u00dfe Cloud-Anbieter wie Amazon Web Services, Google, Microsoft und SAP mittlerweile Informationsplattformen bereitstellen, auf denen detailliert \u00fcber den aktuellen Sicherheitsstatus verschiedener Teile der Cloud berichtet wird. Dies bietet mehr Transparenz f\u00fcr Kunden und dient als Quelle f\u00fcr Lageeinsch\u00e4tzungen zur IT-Sicherheit<\/a>.<\/p>\n Anfang 2016 war Deutschland au\u00dferdem von einer massiven Welle von Ransomware-Angriffen betroffen. Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschr\u00e4nken oder verhindern und diese Ressourcen nur gegen Zahlung eines L\u00f6segeldes (Ransom) wieder freigeben. Die h\u00e4ufigsten Angriffsvektoren, \u00fcber die Systeme mit Ransomware infiziert werden, sind Anh\u00e4nge von Spam-E-Mails, die h\u00e4ufig \u00fcber Botnetze verschickt werden sowie Drive-by-Angriffe mittels Exploit-Kits. Es handelt sich also vorwiegend um ungezielte Massenangriffe. Da die Angreifer zumeist kryptografisch starke Algorithmen zur Verschl\u00fcsselung der Nutzerdaten einsetzen, bieten vor der Infektion angelegte Backups oft die einzige M\u00f6glichkeit, die Daten wiederherzustellen.<\/p>\n Nach dem Bericht des Bundesamtes werden t\u00e4glich rund 380 Tausend neue Schadprogrammvarianten entdeckt. Zu den h\u00e4ufigsten Infektionswegen eines Systems mit Schadprogrammen z\u00e4hlen E-Mail-Anh\u00e4nge und die von Anwendern unbemerkte Infektion beim Besuch von Webseiten (Drive-by-Downloads). Schadprogramme werden meist durch Mitwirkung des Nutzers installiert, wodurch technische Schutzma\u00dfnahmen umgangen werden und Angreifer in abgesicherte Netze eindringen k\u00f6nnen. Auf klassische Antivirus-L\u00f6sungen und Firewalls allein k\u00f6nnen sich Anwender nicht mehr verlassen. Deshalb sollte IT-Sicherheit als Gesamtkonzept verstanden und umgesetzt werden, wobei auch das Nutzerverhalten einzubeziehen ist. F\u00fcr Angreifer ist es einfacher, die Schwachstelle Mensch als oftmals schw\u00e4chstes Glied der IT-Sicherheitskette zu \u00fcberwinden, anstatt komplexe technische Sicherheitsma\u00dfnahmen mit viel Aufwand zu umgehen. Entsprechende Schulungsma\u00dfnahmen sollten deshalb in einem Unternehmen nicht nur einmalig, sondern als Teil eines Gesamtkonzepts regelm\u00e4\u00dfig durchgef\u00fchrt werden.<\/p>\n99,9 Prozent Verf\u00fcgbarkeit der Cloud-Dienste<\/strong><\/h2>\n
IT Sicherheit: Immer mehr Cloud-Anbieter gew\u00e4hren Einblick<\/strong><\/h2>\n
Zuwachs an kriminellen Ransomware-Angriffen<\/strong><\/h2>\n
IT-Sicherheit als Gesamtkonzept verstehen<\/strong><\/h2>\n