Studie: Unsichere Schnittstellen sind ein Hauptproblem von Cloud-Computing

Die Cloud Security Alliance (CSA) und ihr Mitglied Hewlett-Packard haben heute auf dem Cloud Security Summit im Rahmen der RSA Conference in San Francisco eine Studie mit dem Titel „Top Cloud Security Threats Report“ veröffentlicht. Dafür wurden IT-Sicherheitsexperten aus 29 Unternehmen, Lösungsanbietern und Beratungshäusern befragt. Zu den größten Gefahren bei Cloud-Computing gehören demnach neben Schadprogrammen auch unsichere Programmierschnittstellen.

Als Beispiele für Malware nennt die Studie das Zeus-Botnetz und Trojaner wie InfoStealer, die sich als besonders aggressiv gegenüber sensiblen Daten in Cloud-Umgebungen erwiesen hätten. Jedoch stecke nicht hinter jeder Bedrohung eine böse Absicht. Programmierschnittstellen (Application Programming Interface, API) seien schließlich nötig, um einen Austausch zwischen Programmen zu ermöglichen und Daten aus unterschiedlichen Quellen abzubilden. Eine unsichere Schnittstelle habe in Cloud-Umgebungen negative Auswirkungen auf eine große Zahl von Teilnehmern und stelle ein erhebliches Risiko für Daten und Systeme dar.

Zu den weiteren in der Studie behandelten Gefahrenquellen gehören Missbrauch durch unternehmensinterne Vertrauenspersonen, Schwachstellen bei Shared Services, Datenverlust und Datenlecks sowie Diebstahl und Entwendung von Accounts, Services und Datentransfers.

Eine Konferenz zu Cloud-Computing in London hatte vor zwei Wochen offenbart, dass die Auffassungen von Anbietern, Sicherheitsexperten und Nutzern noch stark auseinandergehen. So forderte ein Sicherheitsspezialist ein Umdenken: „Wenn wir Cloud-Nutzer werden, müssen wir unsere Denkweise ändern und uns auf Sicherheit von innen nach außen konzentrieren. Fangen Sie bei Ihren Daten an und vergewissern Sie sich, dass Ihre Daten – egal wo – sicher sind, und dann sorgen Sie dafür, dass Systeme, die mit diesen Daten arbeiten, sich selbst verteidigen können.“

Das ist aber nur schwer möglich, wenn sich Anbieter von Cloud-Diensten – wie am Folgetag konstatiert – nicht für Sicherheit zuständig fühlen. So sagte Microsoft: „Wir sind ja keine Versicherung.“ Und laut Dell ist es „nicht möglich, sich individuellen Sicherheitsrichtlinien anzupassen.“