In den vergangenen Wochen kam es gleich zu mehreren Fällen, in denen Kundendaten bzw. Datenbanken verschiedener Unternehmen im Internet frei zugängig waren. Sergej Epp von Palo Alto Networks, beobachtet diese Entwicklung und rät Unternehmen zur Absicherung sensibler Daten in der Cloud vermehrt auf Automatisierung zu setzen.
Sergej Epp kommentiert die aktuellen Beobachtungen: „Die unabsichtliche „Veröffentlichung“ von Kundendaten bzw. Daten im Allgemeinen wie im aktuellen Fall der Autovermietung Buchbinder wird mit Sicherheit kein Einzelfall bleiben. Schon in der Vergangenheit haben bei anderen Unternehmen und Organisationen Konfigurationsfehler dazu geführt, dass externe Zugriffe auf Server sehr einfach möglich wurden.
Mit dem aktuellen und andauernden Hype rund um die Public Cloud und Hyperscaler wie AWS, Azure und GCP können wir noch mehr solcher Angriffe erwarten. Die IT-Analysten von Gartner erwarten beispielsweise, dass in Zukunft 99% der Datenverluste in der Public Cloud aufgrund von mangelhafter Konfigurationen erfolgen werden.
Durch neue Methoden wie DevOps und Trends wir ShiftLeft verlieren die IT-Administratoren leider zunehmend an Kontrollmöglichkeiten, mangelhafte Konfiguration zu erkennen und rechtzeitig einzugreifen. Die Demokratisierung von IT-Ressourcen, die extrem viele Vorteile mit sich bringt, hat eben auch den einen oder anderen Haken, vor allem wenn es um Sicherheit geht.
Wer heute nicht auf weitreichende Automatisierung der IT-Produktionsumgebung und ein damit verbundenes automatisiertes Konfigurationsmanagement setzt, geht ein hohes Risiko ein. Die Herausforderung sind so hoch und vielfältig, dass vor allem kleine und mittlere IT-Abteilungen damit heillos überfordert sind – und auch grosse IT-Teams sind vor (menschlichen) Fehlern nicht gefeit.
Mit der DSGV und den Strafzahlungen in Millionenhöhe, die im Moment von Datenschutzbehörden vorbereitet werden, wird das Thema in der Zukunft nicht nur eine Reputationsthema bleiben sondern bei den Firmen finanzielle Spuren hinterlassen.“