169
Risiken aufgrund der mit anderen Cloud‐Nutzern geteilten Technologien
<P2>Die Virtualisierung birgt das Risiko, dass bei
unzureichender Konfiguration und schwacher oder fehlender
Abschottung zwischen Systemen unterschiedlicher Kunden
unautorisierte Zugriffe auf Fremdsysteme erfolgen können. Im
Falle von CRM‐Systemen könnte dies bedeuten, dass APIs
(
Programmierschnittstellen
zur
Anbindung
von
Fremdsoftware) zur Integration von externen Cloud‐CRM‐
Services mit internen ERP‐Services beispielsweise aufgrund von
Fehlern in der Authentifizierung den Zugriff auf fremde Daten
ermöglichen. Fehler dieser Art werden immer wieder
insbesondere im Spannungsfeld der Authentifizierung und des
direkten Systemzugriffs beobachtet.
Unsichere Schnittstellen
Cloud‐Provider stellen häufig Schnittstellen in Form von
Datenbankschnittstellen oder APIs zur Verfügung. Die Qualität der
Schnittstellen ist entscheidend dafür, ob die Datensicherheit das
erforderliche Niveau hat oder ob fremde Daten eingesehen und/oder
verändert werden können. Dies beinhaltet sowohl den vorsätzlichen als
auch den zufälligen Zugriff aufgrund fehlerhafter Schnittstellen.
Diebstahl (Hijacking) von Benutzerkonten oder Cloud‐Diensten
Um die problemlose und angenehme Nutzung von Cloud‐Diensten zu
gewährleisten, setzen viele Cloud‐Anbieter auf einen einfachen und
schnellen Anmeldeprozess (Benutzername und Passwort). Gelingt es einem
Angreifer, die Zugangsdaten eines Kundenkontos zu erlangen, kann er mit
den Rechten dieses Kunden auf Daten zugreifen, Ressourcen missbräuchlich
verwenden und Schaden anrichten. Der Diebstahl von Benutzerkonten oder
Cloud‐Diensten mittels gestohlener Berechtigungen und das dadurch
verursachte Manipulieren von Prozessen, Daten oder Transaktionen ist
deshalb ein zentrales Risiko beim Cloud‐Computing, das besonders die
Vertraulichkeit, Integrität und Verfügbarkeit der Dienste gefährdet.
Böswillige Insider
Die besten technischen Sicherheitsmaßnahmen sind schnell wirkungslos,
sobald Mitarbeiter des Cloud‐Providers Rechte und Zugriffsmöglichkeiten
missbrauchen, um sich finanzielle oder sonstige Vorteile auf Kosten der
Kunden zu verschaffen. Hierzu zählen auch physische Angriffe im
Rechenzentrum wie z.B. der Diebstahl von Festplatten aus Servern, auf
denen die Cloud‐Services betrieben werden. Durch die gleichzeitige