InfoGuard Cyber Security & Cyber Defence Blog

Sicheres Cloud Computing: So bleiben Compliance-Verstösse aussen vor

Geschrieben von Michael Fossati | 03. Feb 2025

Doch was passiert, wenn Daten durch ein Konfigurationsfehler ausserhalb der Schweiz oder Europäischen Union gespeichert werden? Welche Schritte verhindern derartig unbeabsichtigte Verstösse gegen das schweizerische oder europäische Datenschutzgesetz (nDSG, DSGVO)? Wir haben die Ursachen bekannter Compliance-Verstösse analysiert und untersucht, weshalb Cloud-Anbieter allein keine vollständige Compliance garantieren können.

Die häufigsten Stolpersteine unter der Lupe

Compliance-Verstösse in der Cloud können verschiedene Ursachen haben: Fehlerhafte Konfigurationen, unzureichende Zugangskontrollen und menschliches Versagen (basierend auf dem Shared Responsibility Model in der Verantwortung der nutzenden Organisation), um nur einige wenige zu nennen.

Nachfolgend eine Übersicht bemerkenswerter Beispiele, inklusive Analyse der Ursache:

Ursache

Problem

Analyse

Fehlkonfiguration von Sicherheitssystemen

Eine Fehlkonfiguration der Sicherheitssysteme ermöglichte unbefugten Zugriff auf Telefonnummern und persönliche Daten von Millionen Nutzenden durch falsch konfigurierte Zugriffsrechte in der Datenbank (Facebook 2019). 

Die Hauptursache war die falsche Konfiguration von Zugriffsrechten und somit menschliches Versagen.

Daten-Scraping*

Ein Software-Entwickler extrahierte Millionen Benutzerinformationen von der Alibaba-Website durch unzureichend geschützte API-Zugänge (Alibaba 2019).

Das Scraping wurde durch mangelhafte Implementierung von Ratenbegrenzungen und Zugriffskontrollen ermöglicht.

Millionen von Linkedin-Nutzerdaten wurden aus öffentlich zugänglichen Profilen extrahiert (LinkedIn 2021).

Ursache war die unzureichende Überwachung der API-Zugriffe und fehlende Mechanismen zur Erkennung und Abwehr automatisierter Abfragen.

Unzureichende Zugangskontrollen

Bei Amazon Web Services (AWS) kam es zu mehreren Datenlecks. 

Dies geschah, weil öffentlich zugängliche S3-Buckets aufgrund mangelnder Standard-Sicherheitseinstellungen und fehlerhaft implementierter Zugriffskontrollen ungeschützt blieben.

Beim Anbieter FlexBooker kam es zu einem Datenleck.

Das Datenleck betraf die Daten von über 3 Millionen Nutzenden, da schwache Zugangskontrollen und unzureichende Verschlüsselung unbefugten Zugriff auf die Datenbank ermöglichten.

Unbefugte Veröffentlichung von Daten

Daten von 538 Millionen Nutzenden (Sina Weibo 2020) wurden im Darknet veröffentlicht.

Dieser Vorfall ist auf unzureichende interne Kontrollen und die mangelnde Überwachung von Datenzugriffen zurückzuführen. Interne Sicherheitslücken und menschliches Versagen wurden als Hauptursachen identifiziert.

Falsche Konfiguration von Datenspeicherorten

Fehlerhafte geografische Konfigurationen von Datenspeicherorten führten zum Verstoss gegen Datenschutzgesetze wie das nDSG und die DSGVO.

Die Ursache liegt in der  geografisch unkorrekt verorteten Speicherung von Daten, was unzulässig ist.

Fehlkonfigurierte, öffentliche Cloud-Speicher-Buckets

Ein fehlkonfigurierter Cloud-Speicher-Bucket führte dazu, dass sensible Daten öffentlich zugänglich waren. 

Ursache sind inkorrekte Konfiguration von Cloud-Ressourcen, einschliesslich der Implementierung strikter Zugriffskontrollen und regelmässiger Sicherheitsüberprüfungen.


*Daten-Scraping bezeichnet den Einsatz automatisierter Programme oder Skripte, um Informationen gezielt von Websites zu extrahieren.

Die Learnings für ein sicheres Cloud Computing

Die Analyse vergangener Verstösse liefert wertvolle Erkenntnisse zur Verbesserung von Sicherheitsmassnahmen und zur Prävention zukünftiger Vorfälle. Sie unterstreicht die Notwendigkeit einer proaktiven und umfassenden Sicherheitsstrategie zur Vermeidung von Cyber-Sicherheitsvorfällen:

  • Zuverlässiges Konfigurationsmanagement und regelmässige Audits zur Erkenntnis von Fehlkonfigurationen.
  • Robuste Datenschutzmechanismen und Überwachung ungewöhnlicher Zugriffsmuster auf Unternehmensdaten.
  • Interne Kontrollen und Überwachungen der öffentlich zugänglichen Informationen.
  • Die Wahl der Länder zur Speicherung von Daten erfordert ein bewusstes Geolokations-Management.
  • Öffentliche und private Ressourcen müssen korrekt und sicher konfiguriert sein.
Obwohl Cloud-Anbieter robuste Sicherheitsmassnahmen gewährleisten, liegt die finale Verantwortung für die Einhaltung der Vorschriften beim Unternehmen. 

Für ein sicheres Cloud-Computing ist entscheidend, dass Unternehmen eigene Sicherheitsstrategien und -massnahmen erarbeiten und diese sorgfältig umsetzen. 

Wir empfehlen, zur Wahrung der Compliance folgende Aspekte zu bedenken:

  • Shared Responsibility Model: Die Cloud-Sicherheit basiert auf einem gemeinsamen Verantwortungsmodell. Der Anbieter sichert die Infrastruktur, während das Unternehmen (Kunde) für die Sicherung seiner Daten, Anwendungen und Konfigurationen verantwortlich ist.
  • Anpassung und Kontrolle: Organisationen passen Cloud-Umgebungen an ihre spezifischen Bedürfnisse an, was es den Anbietern erschwert, einheitliche Sicherheits- und Compliance-Massnahmen für alle Kunden durchzusetzen.
  • Kenntnis der regulatorischen Anforderungen: Die Compliance-Anforderungen variieren je nach Branche und Region. Cloud-Anbieter sind möglicherweise nicht in der Lage, alle spezifischen regulatorischen Anforderungen jedes Kunden zu erfüllen. Das Unternehmen ist gefordert, sich den nötigen Überblick über die branchenspezifischen Regulatorien zu verschaffen.
  • Menschliches Versagen: Viele Verstösse werden durch Benutzerfehlkonfigurationen oder Fehler verursacht, die Cloud-Anbieter nicht immer verhindern können. Organisationen sollten Kontrollmechanismen implementieren, um menschliches Versagen zu unterbinden.

7 Empfehlungen, wie Sie Compliance-Verstösse erfolgreich vermeiden 

Die Prävention von Compliance-Verstössen erfordert einen proaktiven Ansatz, der robuste Sicherheitsmassnahmen, kontinuierliche Überwachung und die Einhaltung bewährter Verfahren umfasst:

  1. Sorgfältige Konfiguration von Sicherheitssystemen: Sicherstellung, dass Sicherheitssysteme korrekt konfiguriert sind, insbesondere Zugriffsrechte und Berechtigungen. Eine regelmässige Überprüfung und Anpassung der Konfigurationen kann unbefugten Zugriff verhindern.
  2. Robuste API-Sicherheitsmassnahmen: Implementieren strenger Zugangskontrollen und Überwachungsmechanismen für APIs. Volumenbegrenzungen und Sicherheitsprotokolle können das Risiko von Daten-Scraping verringern.
  3. Starke Zugangskontrollen und IAM-Richtlinien: Verwenden starker Zugangskontrollen sowie Identitäts- und Zugriffsmanagement-Richtlinien (IAM), um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf sensible Daten haben. Regelmässige Überwachung und Audits sind unerlässlich.
  4. Interne Kontrollen und Überwachungsmassnahmen: Etablieren umfassender interner Kontrollen und Überwachungsmassnahmen, um unbefugtes Posten oder Leaken von Daten zu verhindern. Dies schliesst die regelmässige Überprüfung von Mitarbeitendenzugriffen ein.
  5. Einhaltung von Datenschutzgesetzen: Sicherstellen, dass die Speicherung und Verarbeitung von Daten den gesetzlichen Anforderungen entsprechen, insbesondere hinsichtlich der geografischen Lage. Vermeiden von Fehlkonfigurationen durch klare Richtlinien und Schulungen.
  6. Sicherheitsüberprüfungen von Cloud-Ressourcen: Regelmässige Sicherheitsüberprüfungen und -audits von Cloud-Ressourcen, um Fehlkonfigurationen zu vermeiden. Implementieren von klaren Trennungen zwischen öffentlichen und privaten Datenbereichen und verwenden von Verschlüsselung zum Schutz sensibler Informationen.
  7. Automatisierte Konfigurationsprüfung: Überwachen der Einstellungen und alarmieren der Verantwortlichen über Abweichungen zum definierten Zustand (Baseline). Die Überwachung der Konfiguration erfolgt dabei meist über direkte Schnittstellen zum Cloud Provider via API oder leicht zeitverzögert über die Auswertung von Logdateien (Auditlogs inkl. konfigurierten Änderungen). Unbewusste Fehlkonfiguration können so rasch aufgedeckt und behoben werden.

Top-11-Gefahren im Cloud Computing 2025: Report der Cloud Security Alliance (CSA)

Die Cloud Security Alliance (CSA) listet ihre Top-11-Gefahren im Bereich Cloud Computing für 2024. Diese Liste deckt sich mit den Erfahrungen aus unseren Kundenengagements und soll hiermit zusätzlich erwähnt werden:

  1. Fehlkonfiguration und unzureichende Änderungskontrolle
  2. Identitäts- und Zugriffsverwaltung
  3. Unsichere Schnittstellen und APIs
  4. Unzureichende Auswahl/Implementierung einer Cloud-Sicherheitsstrategie
  5. Unsichere Drittanbieter-Ressourcen
  6. Unsichere Softwareentwicklung
  7. Versehentliche Offenlegung der Cloud
  8. Systemschwachstellen
  9. Eingeschränkte Sichtbarkeit der Cloud-Ressourcen
  10. Nicht authentifizierte gemeinsame Ressourcennutzung
  11. Fortgeschrittene persistente Bedrohungen

Unsere Learnings für Ihre Compliance-Strategie

Compliance-Verstösse in Cloud-Umgebungen lassen sich oft durch sorgfältiges Konfigurationsmanagement, starke Zugangskontrollen, regelmässige Sicherheitsüberprüfung und kontinuierliche Überwachung verhindern.

Die Lehren aus vergangenen Verstössen können zur Entwicklung robusterer Sicherheitspraktiken beitragen. Während Cloud-Anbieter grundlegende Sicherheitsmassnahmen bieten, liegt die ultimative Verantwortung für die Einhaltung der Vorschriften beim Unternehmen.

Ein proaktiver und informierter Ansatz zur Cloud-Sicherheit ist daher wichtig, um das Risiko von Compliance-Verstössen zu minimieren, sensible Daten zu schützen und das Vertrauen von Kunden und Regulierungsbehörden zu erhalten.

Durch die Integration dieser Praktiken in Ihre Cloud-Strategie kann das Risiko von Compliance-Verstössen minimiert, sensible Daten geschützt und das Vertrauen von Kunden und Regulierungsbehörden gesichert werden.

Sicher compliant: Handlungsempfehlungen zur Behebung von Compliance-Risiken

Ihr Ziel ist es letztendlich, cloud-basierte Dienste in Ihrem Unternehmen mit gutem Gewissen zu nutzen, weil Sie damit Compliance-Verstösse zuverlässig ausschliessen können. Möchten Sie Gewissheit, dass Sie alle notwendigen Schritte unternommen haben? Lassen Sie sich von unserem Expertenteam mittels Cloud Security Assessment aufzeigen, ob trotz aller Sicherheitsmassnahmen dennoch Risiken in Ihrem Sicherheitsdispositiv bestehen.

Das ist längst nicht alles: Denn von unseren Spezialist*innen erhalten Sie auch konkrete technische, organisatorische und personelle Handlungsempfehlungen sowie Vorschläge zur Umsetzung von Quick Wins.

Unterstützung bei der Umsetzung konkreter Massnahmen

Planen Sie eine Verlagerung Ihrer Unternehmens-IT in die Cloud? Ein Team von über 350 InfoGuard-Expert*innen unterstützt Sie dabei. Ob mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center (CDC), wir begleiten Sie bei der Umsetzung.

Bildlegende: eigenes Bildarchiv
Vollständigen Beitrag anzeigen