Bundesamt für Sicherheit in der Informationstechnik

G 3.122 Fehlerhafte Nutzung eines Cloud Services

Werden Cloud Services innerhalb einer Institution abweichend zu den Vorgaben aus der Planungs- und Konzeptionsphase eingesetzt, liegt eine fehlerhafte Nutzung vor, aus der sich unterschiedliche Gefährdungen, insbesondere der Vertraulichkeit, ergeben können.

In der Praxis sind folgende Ausprägungen fehlerhafter Nutzung relevant:

  • Cloud Services werden von Benutzern für Informationen eingesetzt, deren Schutzbedarf höher klassifiziert ist als der Schutzbedarf, für den der verwendete Cloud Service ursprünglich definiert wurde.
  • Der Zugriff auf einen Cloud Service erfolgt über nicht autorisierte Kanäle oder Schnittstellen. In der Folge kann es zum Aufbau unerwünschter und nicht kontrollierter Kommunikationsverbindungen kommen. Die entstandenen Verbindungen können sowohl vom Cloud-Diensteanbieter zum Cloud-Anwender als auch von der Cloud nach außen aufgebaut werden. Gerade ein solcher Verbindungsaufbau kann durch nachfolgende Verkettung zu weiteren unerwünschten Kommunikationsverbindungen führen (Chaining).
  • Durch die Nutzung spezieller Funktionen, wie beispielsweise die Freigabe von Dateien oder Ordnern für andere Benutzer, kommt es zu einer ungewollten Erteilung von Zugriffsrechten. In der Folge haben Unberechtigte Zugriff auf Informationen der Institution. Die Vertraulichkeit und Integrität der Daten ist damit nicht mehr gewährleistet.

Beispiel:

  • Ein Mitarbeiter verwendet einen Online-Speicher-Dienst. Mithilfe der zur Verfügung stehenden Optionen gibt er einen Teil seines Laufwerks für andere Benutzer frei. Auf diesem Laufwerk befinden sich neben den Daten, die für die Freigabe vorgesehen waren, auch schützenswerte Daten, deren Veröffentlichung nicht vorgesehen war. Durch die erfolgte Freigabe des Laufwerks können auch Unberechtigte Zugriff auf diese Daten erlangen.

Stand: 14. EL Stand 2014