Skip to content

Drucksache: Windows Developer 4.17 - Auf in die Cloud?

Im windows.developer 4.17 ist ein Artikel über Sicherheit in der Cloud erschienen.

Auf in die Cloud?
Aber wenn schon, dann so sicher wie möglich!
Denn Sie wissen ja: "Die Cloud" ist nur eine schöne Marketing-Umschreibung für den Computer eines Fremden. Meist eines sehr großen Computers, auf dem außer Ihren Programmen und/oder Daten auch noch die von mehr oder weniger vielen anderen Fremden laufen bzw. verarbeitet und gespeichert werden.

Die Cloud-Betreiber werden schon im eigenen Interesse ihre Infrastruktur so gut wie möglich absichern. Denn käme es erst mal zu einem größeren Angriff, hätte zumindest der betroffene Betreiber danach wohl ein Problem damit, weiter im Geschäft zu bleiben.

Bisher gab es zwar keine direkten Angriffe, wenn man vom Ausspähen von AWS Access Keys absieht. Aber da ein Ausbruch aus virtuellen Maschinen möglich ist, werden die Cyberkriminellen das sicher irgendwann für ihre Zwecke nutzen. Bisher ist es wohl einfach nicht nötig. Mit Ransomware, Onlinebanking-Trojanern und dem Anbieten von DDoS-Angriffen scheinen sie genug Geld zu verdienen.

Trotzdem sollte man sich gut überlegen, was man in der Cloud speichert und was nicht. Für sowieso öffentliche Daten wie Websites ist die Cloud eine gute Möglichkeit, flexibel auf sich ändernde Anforderungen zu reagieren. Für alles andere muss man abwägen, wie groß das Risiko eines Angriffs ist und ob man bereit ist, es einzugehen. So lange Daten nur gespeichert werden sollen, kann man sie verschlüsseln und damit jedem Dritten den Zugriff darauf verwehren. Und das sogar in einer trotzdem durchsuchbaren Datenbank.

Bei unverschlüsselt oder durch den Betreiber verschlüsselten Daten muss man immer damit rechnen, dass sie ausgespäht werden können. Von einem Angreifer, einem neugierigen Betreiber und auf jeden Fall von Geheimdiensten und Strafverfolgern. Die Betreiber werden sich so lange wie möglich gegen einen Zugriff der Behörde wehren. Denn wenn raus kommt, dass sie die Daten ihrer Kunden weiter geben, dürfte das ziemlich schlecht fürs Geschäft sein. Aber im Zweifelsfall sitzen die Behörden am längeren Hebel.

Ob das ein Problem ist, muss jeder selbst entscheiden. Ich persönlich schätze die Gefahr durch Cyberkriminelle oder auch einen Missbrauch der Daten durch die Cloud-Betreiber für höher ein. Die Geheimdienste dürften sich kaum für mich persönlich interessieren. Und wenn doch, hätte ich wohl größere Probleme als eine kompromittierte Cloud.

Soweit es einen Missbrauch der Daten durch den Betreiber betrifft - da würde ich erst gar keinen wählen, dem ich nicht vollständig vertrauen kann, und mich deshalb relativ sicher fühlen.

Ein wirkliches Problem sind nur mögliche Angriffe durch Cyberkriminelle. Denen ist es i.A. egal, wen sie angreifen, so lange sie damit Geld verdienen können. Sollten die es irgendwann auf Cloud-Dienste abgesehen haben, kann sich keiner sicher fühlen. Und dann hilft nur eine bestmögliche Absicherung der Cloud und insbesondere der dort gespeicherten Daten.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks