In wenigen Jahren wird eine beträchtliche Mehrheit an Organisationen auf Cloud Computing angewiesen sein. Umfangreiche Cloud-Dienstleistungen werden über zehnfache Millionen von End-Nutzern verfügen. Was geschieht wenn eine dieser Cloud-Dienstleistungen ausfällt oder angegriffen wird?
“Aus einer Sicherheitsperspektive heraus ist die Datenanhäufung ein ´zweischneidiges Schwert´; große Dienstleister können aktuelle Sicherheitstechnik und Geschäftskontinuität gewährleisten, indem sie die Kosten über zahlreiche Nutzer verteilen. Wenn jedoch ein Stromausfall oder eine Verletzung der Sicherheit eintritt, ist der Einfluss größer, da er zahlreiche Organisationen und Bürger auf einmal betrifft”, so Dr. Marnix Dekker. Während der letzten Jahre gab es zahlreiche Beispiele von Störungen, die äußerst umfangreiche Seiten mit Millionen von Nutzern in Mitleidenschaft zogen (z.B. Ausfall bei einem Schaltjahr).
Der Bericht betrachtet die Gefahren aus einer CIIP-Perspektive, d.h. wie man umfangreiche Cyberstörungen und Internetangriffe verhindert. Die Kernaussagen des Berichtes sind:
- Kritische Infrastruktur: Bald wird die weitgehende Mehrheit an Organisationen Cloud Computing auch in datensensiblen Sektoren wie Finanz-, Energie- und Transportwesen nutzen. Cloud-Dienstleistungen selbst werden zu einer kritischen Informationsstruktur.
- Naturkatastrophen und DDoS-Angriffe: Ein Vorteil des Cloud Computing ist die Widerstandsfähigkeit gegenüber Naturkatastrophen und DDoS-Attacken (Distributed Denial of Service, dt: Verteilte Dienstblockade), deren Abwehr mit herkömmlichen Herangehensweisen schwierig ist (Vor-Ort-Server oder Einzeldatenzentrum).
- Cyberangriffe: Cyberangriffe, die Softwareschwachstellen ausnutzen, können weitreichende Datenmissbräuche verursachen, die aufgrund der erheblichen Konzentration von Nutzern und Daten Millionen von Endnutzern in Mitleidenschaft ziehen. Die örtliche Unabhängigkeit schützt nicht gegen bestimmte Cyberangriffe, wie Datenmissbrauch aufgrund von Softwarefehlern.
Der Bericht bietet zudem neun Empfehlungen für Institutionen, die für kritische Informationsstrukturen verantwortlich sind. Eckpunkte beinhalten umfangreiche Cloud-Dienstleistungen im Bereich der nationalen Risikobeurteilungen, der Nachverfolgung von Cloud-Abhängigkeitsverhältnissen und der Arbeit mit Anbietern von Vorfallberichtsystemen.
Der geschäftsführende Direktor der ENISA, Professor Udo Helmbrecht, kommentierte: Cloud Computing ist eine Realität und daher müssen wir vorausplanen, um auf Störungen sowie Cyberangriffe auf Cloud-Dienstleistungen vorbereitet zu sein. Die Europäische Internetsicherheits- und Cloud Computing Strategien beinhalten dafür einen Plan.
ENISA will eine neue Arbeitsgruppe mit dem Fokus auf CIIP und staatlicher Cloud-Sicherheit ins Leben rufen.
Zum ganzen Bericht und den Empfehlungen hier klicken