Eine umfassende, aktuelle Studie mit Antworten von 2.800 (252 in Deutschland) Sicherheitsexperten und Führungskräften gibt interessante Einblicke in die Cloud-Nutzung weltweit und in Deutschland.
Die unter dem Namen Thales Cloud Security Study 2022 erschienenen Daten zeigen wichtige Trends und Erkenntnisse:
- 72 % der Unternehmen nutzen mehrere IaaS-Anbieter (Vorjahr 57 %)
- 71 % der Unternehmen in Deutschland (66 % weltweit) speichern 21 Prozent bis 60 Prozent ihrer sensiblen Daten in der Cloud
- 46 % haben im Studienzeitraum eine Datenschutzverletzung erlebt oder ein Audit nicht bestanden
- Weltweit nutzen Unternehmen durchschnittliche 110 SaaS-Anwendungen (im Jahr 2015 nur acht)
Diese Fakten zeigen, dass die Nutzung von Cloud-Infrastruktur und Cloud-Services im geschäftlichen Alltag fest verankert ist.
Problematisch ist dabei, dass nur 11 Prozent der Unternehmen (weltweit und auch in Deutschland) angeben, dass zwischen 81 und 100 Prozent der Daten verschlüsselt in der Cloud abgelegt sind.
Vor dem Hintergrund des jüngst bekannt gewordenen Bugs in Microsoft Azure Synapse Analytics sind diese Zahlen besorgniserregend. Synapse ist ein Azure-Dienst, der dazu dient, Daten beispielsweise aus Multi-Cloud-Umgebungen zur Datenanalyse zusammenzuführen. Über eine interne Programmierschnittstelle war es den Angreifern möglich, Zugangsdaten für andere Server zu bekommen und das ohne großen Aufwand. Die kritische Sicherheitslücke konnte laut ihrem Entdecker, Orca Security, erst nach einem halben Jahr geschlossen werden. So lange bestanden für Angreifer folgende Möglichkeiten:
- Zugangsdaten für andere Azure-Synapse-Kundenkonten zu erlangen
- Kontrolle über deren Azure-Synapse-Arbeitsbereiche
- Code auf gezielten Kundenrechnern innerhalb des Azure Synapse Analytics-Dienstes auszuführen
- Weitergabe von Kundenzugangsdaten an Datenquellen außerhalb von Azure
Die Daten zeigen erneut, wo die Risiken von Public Cloud Services liegen. Zusätzliche Angebote oder „Fancy Tools“ mögen scheinbar und auf den ersten Blick das IT-Leben erleichtern, sie bringen aber auch Risiken durch die geteilten Ressourcen mit sich und in vielen Fällen eine Anbieterbindung, die nachhaltig handelnde Unternehmen stets vermeiden sollten.
In einer Public Cloud stellt der Provider zentrale Applikationsdienste bereit, in denen alle Kunden ihre Daten speichern und verarbeiten. Die Abgrenzung zwischen den Kunden findet nicht auf Basis von (virtueller) Hardware und Netzwerken statt, sondern alleine durch die Applikation des Providers selbst.
Dieses Modell verlangt vom Kunden Vertrauen nicht nur zum Provider und seiner Organisation, sondern auch zu den Fähigkeiten des Providers, diese Abgrenzungen mit den jeweiligen Entwickler- und Wartungsmannschaften lückenlos zu erstellen.
Uptime IT bietet mit der Uptime Cloud und seinen weiteren Services daher ausschließlich Lösungen an, bei denen Applikationen wie Datenbanken und Anmeldeverzeichnisse stets kundenspezifisch installiert werden. Mittels Hypervisors der Virtualisierungssoftware und vLAN-Netzwerk findet eine verlässliche Abgrenzung der jeweiligen Kundeninstallationen statt. Die heutzutage dafür eingesetzten Technologien sind so gut, dass es allgemein anerkannt ist, dass eine dedizierte Hardware wie bei der Leased Cloud keinen Vorteil mehr bezüglich der Datensouveränität gegenüber der Virtual Private Cloud bietet.