Juli 2023
Fehlkonfigurationen in der Cloud
Cloud-Angebote sind immer weiter im Aufschwung: Sie bieten viele Vorteile gegenüber On-Premise-Lösungen und erweitern die Anwendungsfälle auf eine nahezu unendliche Anzahl von Möglichkeiten. Doch diese endlosen Möglichkeiten bringen auch einen Risikofaktor mit sich: eine ebenso endlose Anzahl von Konfigurationen – und damit verbundene Fehlkonfigurationen.
Aber fangen wir vorne an:
Was ist eine Fehlkonfiguration?
Unter Fehlkonfiguration versteht man Versäumnisse oder das Begehen von Fehlern während der Konfiguration von Cloud-Diensten oder -Anwendungen, die zu Sicherheitslücken oder Risiken führen können. Einige Möglichkeiten für solche Konfigurationsfehler sind die folgenden:
- Fehlkonfigurierte Zugriffskontrollen
- Unsichere Netzwerkkonfigurationen
- Falsche Einstellungen der Sicherheitsgruppen
- Fehlkonfigurierte Speicher-Buckets
Basierend auf den Beispielen kann bereits erahnt werden, dass eine fehlerhafte Konfiguration von „Zugriffskontrollen“ drastische Konsequenzen haben kann, einschließlich Datenlecks, unbefugtem Zugriff, Verstößen gegen Compliance und finanziellen Verlusten. Im schlimmsten Fall kann ein solcher Fehler sogar zur Insolvenz eines Unternehmens führen. Einige prominente Beispiele sind der Datenverstoß bei Capital One im Jahr 2019 oder das AWS S3 Bucket-Datenleck im Jahr 2018.
Aber wie kommen diese Fehlkonfigurationen zustande?
Wie der Name bereits vermuten lässt, geschehen diese Dinge aufgrund von Fehlern bei der Konfiguration der Dienste. Diese können aus verschiedenen Gründen entstehen, sei es aufgrund fehlenden Wissens, Misskommunikation oder einfach menschlichen Versagens.
Und was kann ich tun, um Fehlkonfigurationen zu vermeiden?
Es gibt viele Möglichkeiten, das Risiko von Fehlkonfigurationen zu reduzieren. Organisationen können Schulungs- und Sensibilisierungsprogramme anbieten, bewährte Verfahren implementieren oder automatisierte Tools zur Erkennung von Fehlkonfigurationen verwenden. Sie sollten auch regelmäßige Sicherheitsaudits durchführen und, falls selbst die beste Vorbereitung nicht geholfen hat, über einen umfassenden Krisenreaktionsplan verfügen.
Natürlich hilft dir unser Team bei it-economics gerne weiter. Wir haben zertifizierte Cloud-Expert:innen, die dabei helfen können, Fehlkonfigurationen zu vermeiden und deinem Team Strategien beizubringen, um zukünftige Fehlkonfigurationen zu verhindern. Kontaktiere mich gerne unter tkrichel@it-economics.de!
Autor
Tobias Krichel
Managing Consultant & Security IT-Experte
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen