Mission Cloud: Total sicher

Schon mal Tom Cruise in Mission Impossible gesehen? Da laufen Bösewichte und Geheimagenten mit Masken herum und geben vor, jemand anderes zu sein. Eine absolut mögliche Mission ist für Baggenstos die Sicherung von Cloud-Infrastruktur, wenn die Konfigurationen regelmässig überprüft werden.

Man muss kein Geheimagent sein. Bei Baggenstos läuten bildhaft gesagt die Alarmglocken, wenn plötzlich die Datenbank eines Kunden im Internet steht. Was vielleicht aus Sicht der Entwickler im Home Office sinnvoll erscheint, ist ein Horrorszenario für die Cybersecurity-Verantwortlichen und eine offene Angriffsfläche für die digitale Kriminalität.

Schlummernde Angriffsflächen

Hier ein falsches Häkchen, dort ein fehlerhafter Eintrag: Laut Microsoft gehen über 80 Prozent aller Angriffe auf Fehlkonfigurationen der Cloud-Infrastruktur zurück. Eine stille Epidemie sozusagen. Sicherheitsfehlkonfigurationen stehen auf Platz zwei der OWASP Top Ten 2025. Die Zahlen sind alarmierend: 23 % aller Cloud-Sicherheitsvorfälle entstehen durch Fehlkonfigurationen, wobei menschliches Versagen in 82 % der Fälle die Ursache ist.

Hacker loggen sich ein – sie zielen immer häufiger auf die Identitäts- und Rechteverwaltung (IAM) und übernehmen so einen an sich legitimen Account. Bei Microsoft ist dies laut dem hauseigenen Digital Defense Report inzwischen die Hauptursache aller Kompromittierungen: schwache oder gar fehlende Identitätskontrolle.

Je nach Vertrag mit dem Dienstleister trifft die Kunden eine Teilverantwortung für den sicheren Betrieb. Doch im Alltag wirft man aus Bequemlichkeit Sicherheitsbedenken über Bord und richtet schnell mal etwas ein, das aus Sicherheitsgründen unterbunden werden muss. In seinem Alltag begegnet Baggenstos-CTO Eckhard Neuhaus immer wieder denselben Fehlkonfigurationen: öffentlich zur Schau gestellte Endpunkte, überprivilegierte Rollen und fehlerhafte Rechtevergaben.

Mit Kundennähe und präziser Analyse

«Ein Problem, dem konsequent mit klaren Prozessen begegnet werden muss», sagt der CTO. Die Baggenstos-Strategie steht hier auf den Säulen «sichere Konfiguration» und kontinuierliche Kontrolle. Automatisierung und klare Richtlinien verhindern menschliche Fehler. So dürfen etwa Rechte nur laufend zugeteilt und entzogen, nicht permanent vergeben werden. Besonders privilegierte Rechte bedürfen eines Genehmigungs-Workflows.

Baselines bzw. Referenzwerte auf Basis etablierter Frameworks definieren den Sollzustand, während Abweichungen laufend geprüft werden. Dazu hat Baggenstos mehrere Instrumente im Einsatz, darunter neben der Microsoft Defender Suite mit Secure Scores als zentraler Komponente etwa «Darktrace / Cloud» zur Echtzeitalarmierung bei Verstössen gegen die Richtlinien. «Cloud-Fehlkonfigurationen sind kein rein technisches Problem», erinnert Eckhard Neuhaus. Dabei kommt dem Baggenstos-Team seine Kundennähe zugute. 

In gründlichen Workshops wird das Unternehmen in seiner IT-Infrastruktur und den Prozessen dahinter auf Schwachstellen geprüft. Wer die Bedürfnisse der Menschen im Unternehmen und seine Abläufe genau kennt, trifft beim Aufsetzen der Cloud-Sicherheitsarchitektur die richtigen Entscheidungen. «Sicherheit muss gelebt werden», sagt Eckhard Neuhaus. «Sie ist eben manchmal unbequem», sagt er, «doch mit einer falschen Einstellung wird schnell aus der vermeintlich produktiven Lösung ein Cybersecurity-Albtraum.»