Seite 169 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

169 
Risiken aufgrund der mit anderen Cloud‐Nutzern geteilten Technologien  
<P2>Die Virtualisierung birgt das Risiko, dass bei 
unzureichender Konfiguration und schwacher oder fehlender 
Abschottung zwischen Systemen unterschiedlicher Kunden 
unautorisierte Zugriffe auf Fremdsysteme erfolgen können. Im 
Falle von CRM‐Systemen könnte dies bedeuten, dass APIs 
(
Programmierschnittstellen 
zur 
Anbindung 
von 
Fremdsoftware) zur Integration von externen Cloud‐CRM‐
Services mit internen ERP‐Services beispielsweise aufgrund von 
Fehlern in der Authentifizierung den Zugriff auf fremde Daten 
ermöglichen. Fehler dieser Art werden immer wieder 
insbesondere im Spannungsfeld der Authentifizierung und des 
direkten Systemzugriffs beobachtet. 
Unsichere Schnittstellen 
Cloud‐Provider stellen häufig Schnittstellen in Form von 
Datenbankschnittstellen oder APIs zur Verfügung. Die Qualität der 
Schnittstellen ist entscheidend dafür, ob die Datensicherheit das 
erforderliche Niveau hat oder ob fremde Daten eingesehen und/oder 
verändert werden können. Dies beinhaltet sowohl den vorsätzlichen als 
auch den zufälligen Zugriff aufgrund fehlerhafter Schnittstellen. 
Diebstahl (Hijacking) von Benutzerkonten oder Cloud‐Diensten  
Um die problemlose und angenehme Nutzung von Cloud‐Diensten zu 
gewährleisten, setzen viele Cloud‐Anbieter auf einen einfachen und 
schnellen Anmeldeprozess (Benutzername und Passwort). Gelingt es einem 
Angreifer, die Zugangsdaten eines Kundenkontos zu erlangen, kann er mit 
den Rechten dieses Kunden auf Daten zugreifen, Ressourcen missbräuchlich 
verwenden und Schaden anrichten. Der Diebstahl von Benutzerkonten oder 
Cloud‐Diensten mittels gestohlener Berechtigungen und das dadurch 
verursachte Manipulieren von Prozessen, Daten oder Transaktionen ist 
deshalb ein zentrales Risiko beim Cloud‐Computing, das besonders die 
Vertraulichkeit, Integrität und Verfügbarkeit der Dienste gefährdet. 
Böswillige Insider 
Die besten technischen Sicherheitsmaßnahmen sind schnell wirkungslos, 
sobald Mitarbeiter des Cloud‐Providers Rechte und Zugriffsmöglichkeiten 
missbrauchen, um sich finanzielle oder sonstige Vorteile auf Kosten der 
Kunden zu verschaffen. Hierzu zählen auch physische Angriffe im 
Rechenzentrum wie z.B. der Diebstahl von Festplatten aus Servern, auf 
denen die Cloud‐Services betrieben werden. Durch die gleichzeitige