Wie der aktuelle IBM-X-Force-Report zeigt, gehen mehr als 85 Prozent der insgesamt 8,5 Milliarden im Jahr 2019 gestohlenen Datensätze auf falsch konfigurierte Cloud-Server und andere falsch konfigurierte Systeme zurück.
„Wir müssen uns darauf einstellen, dass Fehlkonfigurationen von Server- und Cloud-Umgebungen in den nächsten 10 Jahren noch weiter zunehmen werden, da immer mehr Unternehmen Cloud-basierte Dienste nutzen. Auf ihrem Weg in die Cloud haben viele Unternehmen vor allem eine Steigerung ihrer Geschäftseffizienz im Auge. Dabei übersehen sie oft fundamentale Sicherheitsmaßnahmen und erwarten gleichzeitig, dass ihre bisherigen on-premises-Tools und -Strategien weiterhin reibungslos in diesen neuen Umgebungen funktionieren.
Natürlich macht nicht jedes Unternehmen, das in der Cloud arbeitet, diese Fehler, doch bestimmte Fehlkonfigurationen sind einfach weit verbreitet und entsprechende Verantwortlichkeiten werden oft weitergegeben. So hat erst jüngst ein amerikanisches Unternehmen nach einem Sicherheitsvorfall die dafür verantwortlichen Sicherheitsmängel auf kleinere Unternehmen abgeschoben, welche kürzlich übernommen wurden.
Dabei erklärte das betroffene Unternehmen, dass eine Bewertung aller neuen IT-Assets eine große Herausforderung für sie sei. Dieser Fall ist ein perfektes Beispiel aus der Praxis, das deutlich macht, dass Sicherheitsteams endlich Wege finden müssen, starke Sicherheitsrichtlinien in ihren sich ständig weiterentwickelnden und expandierenden Cloud-Umgebungen zu definieren und konsequent durchzusetzen.
Der beste Weg, dies umzusetzen, besteht darin, den Sicherheitsteams volle Transparenz über den Entwicklungsprozess und alle Cloud-Instanzen – einschließlich Container, Kubernetes, Mikrodienste usw. – zu gewähren und eine richtliniengesteuerte Automatisierung innerhalb des CI/CD-Lebenszyklus durchzusetzen.“
Thorsten Geissel ist Director Sales Engineering EMEA bei Tufin Technologies.