Roman Sakhno - Fotolia

Wichtige Schritte, um die Risiken der Shadow Cloud zu minimieren

Verwenden Mitarbeiter eines Unternehmens unkontrolliert Cloud-Services, dann kompromittieren sie mit der Shadow Cloud die Sicherheit der Systeme.

Die Nutzung von Cloud Computing nimmt immer weiter zu und es finden sich mehr Verbrauchergeräte durch BYOD am Arbeitsplatz wieder. Für die IT-Abteilungen wird es daher immer schwieriger, die Software und Hardware im Auge zu behalten und angemessen zu verwalten. Die Umgebung soll schließlich weiterhin sicher bleiben. Verwenden die Angestellten Systeme und Anwendungen, mit denen die IT-Abteilung nicht direkt etwas zu tun hat oder darüber gar nichts weiß, nennt man das häufig auch Shadow IT oder Schatten-IT.

Der Report Cloud Adoption Practices and Priorities (PDF) der Cloud Security Alliance zeigt einen wachsenden Trend dahin, dass Unternehmen keine Kontrolle über Anwendungen und Services in der Shadow Cloud haben. Ein Großteil der Firmen besitzt nicht einmal ein Programm, um diese zu managen. Dieser Umstand ist aber schon bekannt. Im Jahre 2013 hat McAfee (Intel Security) den Report The Hidden Truth Behind Shadow IT (PDF) zum Thema Shadow Software as a Service (SaaS ) in Unternehmen veröffentlicht. Das Resultat war, dass eine nicht unbeträchtliche Anzahl der Befragten keine Richtlinien für die Verwendung von SaaS-Anwendungen haben oder ganz einfach nach dem Motto leben: Was ich nicht weiß, macht mich nicht heiß.

Es lauern Gefahren in der Shadow Cloud

Shadow Cloud Services und zugehörige Betriebsmittel können zu vielen Problemen und Risiken führen. Dazu gehören:

  • Verschwendung von Zeit, Energie und Investitionen: Shadow Cloud kann ein echter Fresser in Sachen Zeit, Energie und Investitionen für die konventionelle IT sein. Benutzen Mitarbeiter nicht genehmigte Anwendungen, können Schulungen für genehmigtes rausgeworfenes Geld sein. Das gilt auch für Richtlinien bei der Security, die Shadow Cloud nicht beinhaltet. Audits und Untersuchungen liefern weniger genaue oder weniger effiziente Resultate. Bemühungen für Vorfälle und Reaktionen darauf sind durch nicht genehmigte Technologie außer Kraft gesetzt. Weiterhin wirkt es sich auf Help Desk und Support aus. Natürlich umgeht so eine Praxis die Kontrollmechanismen der Technologie oder Security im Allgemeinen.
  • Ineffizienz: Ein gern übersehener Bereich, der von der Shadow Cloud heftig beeinflusst wird, ist der Prozess für Entwicklung und Durchführung. Wollen Unternehmen Prozesse für den Betrieb weiterentwickeln und ausgereifter machen, kann die Shadow Cloud ein großer Rückschritt sein. Die Shadow Cloud führt zu Ineffizienz und Ineffektivität bei Audits, sowie bei Prozessen und Praktiken für Inventarisierung und Konfigurations-Management. Das gilt auch für Programme für Patching und Schwachstellen-Management, sowie allgemeine Initiativen für Effizienz bei Prozessen wie zum Beispiel Six Sigma. Die allgemeinen Prozesse für den IT-Betrieb leiden natürlich ebenfalls darunter.
  • Datenverlust oder Datenlecks: Die Shadow Cloud kann sehr einfach zu Datenverlust oder Datenlecks führen. Benutzen Mitarbeiter unerlaubterweise Cloud Services wie zum Beispiel Dropbox und andere Storage-Dienste, um dort sensible Daten zu hinterlegen, dann werden Daten außerhalb des Unternehmens gespeichert. Sollte beim Cloud-Provider eingebrochen werden, sind diese Daten möglicherweise exponiert. Sämtliche Daten oder Systeme, die sich in der Cloud befinden, sind ein potenzielles Ziel und könnten bei einem Angriff auf den Cloud-Provider enthüllt werden.
  • Unbekannte Schwachstellen: Werden Systeme und Anwendungen ohne Wissen der IT-Abteilung eingesetzt, befinden sie sich auch nicht in einem Inventar für Systeme oder Applikationen. Sehr wahrscheinlich erfüllen sie nicht die Anforderungen für das Management von Konfiguration und Patching. Betriebsmittel und Anwendungen in der Shadow Cloud werden möglicherweise von Schwachstellen heimgesucht, die von der IT-Abteilung nicht wahrgenommen oder überwacht werden. Weiterhin ist die Gefahr hinsichtlich sogenannter Zero-Day-Lücken groß, für die es keine Patches oder Fixes gibt. Jedes dieser Probleme hat das Potenzial, das Risiko zu erhöhen. Das komplette Risikoprofil eines Unternehmens kann gründlich auf den Kopf gestellt werden, wenn einige Mitarbeiter verwundbare Systeme und Apps in der Shadow Cloud verwenden.
  • Unbekannte Ziele für Angriffe: Ähnlich zu den unbekannten Schwachstellen, konzentriert sich diese Kategorie explizit auf das Fehlen eines intakten Systems oder eines Inventars für die Daten. Kennt das Inventar die Systeme nicht, sind sie anfällig für Angriffe. Das gilt vor allen Dingen für Cloud-Services, wodurch die Angriffsfläche plötzlich wesentlich höher sein kann.

Licht ins Dunkel der Shadow Cloud bringen

Mit der Shadow Cloud sind ganz offensichtlich diverse Risiken verbunden. Allerdings kann das für die Security zuständiges Team Strategien entwickeln, um damit fertig zu werden. Nachfolgend finden Sie einige wichtige Schritte, um die Risiken zu mildern:

  • Richtlinien und Leitfäden: Richtlinien für die Sicherheit müssen granularer sein. Treibende Kräfte dafür müssen auf der einen Seite Geschäftsprozesse und auf der anderen Seite Risiken sein. CISOs müssen der Geschäftsleitung die risikobasierten Sicherheitsrichtlinien und die Durchsetzung für Cloud-Implementierungen näher bringen. Die Business-Manager müssen dem Security-Team wiederum verständlich machen, wie Geschäftsprozesse funktionieren und nicht funktionieren, wenn man Cloud-Services einsetzen möchte. Ein erster Schritt zu Kontrolle der Shadow Cloud ist die Klarstellung, welche Nutzung von Cloud-Services erlaubt und welche nicht gestattet ist.
  • Monitoring und Zugriffsbeschränkung: Das Monitoring von Daten und Traffic, die Richtung Cloud gehen, ist sehr wichtig. Das gilt zumindest dann, wenn Sie entdecken möchten, ob eine Shadow Cloud genutzt wird. Einschränkung des Zugriffs auf interne Netzwerke, Systeme und Daten kann ebenfalls sinnvoll sein, um unbekannte Systeme und Applikationen zu erkennen. Ein guter Ausgangspunkt ist der Einsatz von Inhaltsfiltern (Content Filter) für das Internet, genau genommen URL-Filter. Cloud-spezifische Filterung von Inhalten und Applikationen gibt es von Anbietern wie zum Beispiel Skyhigh Networks und Netskope. Damit können Sie die Verwendung der Shadow Cloud sehr einfach erkennen und unterbinden. Auch wenn ein Unternehmen den Zugriff nicht komplett einschränkt, lassen sich durch Monitoring und Logging feststellen, was im Einsatz ist. Das Resultat könnten Alternativen und Priorisierung der Risiken sein.
  • Kontrollmechanismen für die Infrastruktur: Grundsätzliche Kontrollmechanismen wie zum Beispiel Regeln für die Firewalls, Abgrenzung der Subnetze, VLANs und ACLs können hilfreich sein. Die Konfigurationen des Systeme sollten abgehärtet werden. Scanning und Patching hilft bei der Vermeidung unautorisierter Installationn von Anwendungen innerhalb der bekannten Cloud-Umgebungen.

Shadow Cloud zeigt Notwendigkeit für andere Bereich auf

Es ist kein Geheimnis, dass es ein langwieriger Prozess sein kann, die Nutzung der Shadow Cloud unter Kontrolle zu bringen. In der Regel signalisiert die Shadow Cloud firmenpolitische Probleme oder zeigt auf, dass es Lücken beim Angebot der Services gibt. Ein Unternehmen muss hier mit Offenheit an die Sache herangehen und die Probleme aktiv adressieren. Die eigentliche Aufgabe des Security-Teams in der IT-Abteilung ist es nun, sichere Alternativen zur Verfügung zu stellen, wo immer das möglich ist. Glücklicherweise gibt es eine Vielzahl an Tools und Technologien, die dabei helfen können.

Über den Autor:
Dave Shackleford ist der Eigentümer und leitender Consultant von Voodoo Security. Er hat bereits mehrere Hundert Unternehmen in den Bereichen Security, Compliance und Netzwerk-Architektur beraten. Zudem ist er erfahrener VMware-Experte für das Design und die Konfiguration von sicheren virtualisierten Umgebungen. Shackleford hat als CSO für Configuresoft, als CTO beim Center for Internet Security und für diverse Fortune-500-Unternehmen als Security-Architekt, Analyst und Manager gearbeitet. Er ist Autor des Buchs „Virtualization Security: Protecting Virtualized Environmentssowie Co-Autor von „Hands-On Information Security” von Course Technology. Vor kurzem war er Co-Autor für die Erstausgabe des vom SANS-Institut entworfenen Kurses über Virtualisierungs-Security tätig. Derzeit ist er im Vorstand des SANS Technology Institutes und unterstützt die Leitung der Cloud Security Alliance.

 Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close