Einen weiteren blinden Fleck in Sachen Cloud Safety sieht Roy während Fusionen und Übernahmen. Er mahnt Unternehmen dazu, in solchen Fällen proaktiv vorzugehen: “Führen Sie eine Due Diligence durch, berücksichtigen Sie diese auch und stellen Sie sicher, dass Sie den richtigen Cybersecurity-Investitionsplan haben.”
Laut Scott Wheeler, Cloud Follow Lead bei Asperitas, treten mit steigender Unternehmensgröße auch weniger Cloud-Konfigurationsfehler auf. Das liegt laut dem Cloud-Experten vor allem an der Aufsicht durch Regulierungsbehörden. Kleine Firmen hätten hingegen enorme Probleme, da sie weder über das Private noch die nötigen Instruments verfügten, um Risiken im Zusammenhang mit der Cloud-Konfiguration zu managen – etwa exponierte Speicher-Buckets oder Internet Providers.
“Das gesamte Konzept von Zero Belief basiert auf der Tatsache, dass man den Zugriff auf das benötigte Minimal beschränken kann. Aber das ist in der Praxis schwer zu bewerkstelligen”, erklärt Wheeler. Oftmals würden während der Entwicklung Berechtigungen erweitert und nach der Inbetriebnahme nicht wieder zurückgesetzt, wie er beispielhaft anführt. Der regelmäßig größte Fehler, den Wheeler beobachtet, sind jedoch Datenbanken oder andere Cloud-Belongings, die über nicht sichere, non-public Netzwerke kommunizieren. “Viele dieser Providers unterstützen das nicht ‘out of the field’. Es erfordert einiges an Arbeit, sie so zu konfigurieren, dass ausschließlich privater Netzwerkverkehr in non-public Cloud- oder lokale Umgebungen fließt. Das ist ein großes Drawback, das oft von kriminellen Hackern ausgenutzt wird.”
