G 2.184 Fehlendes oder unzureichendes Rechte- und Rollenkonzept in Cloud-Infrastrukturen

Im Cloud-Umfeld ist die gemeinschaftliche Nutzung von IT-Systemen durch mehrere Institutionen weit verbreitet. Wird in einem solchen Umfeld gänzlich auf die Durchsetzung eines Rollen- und Rechtekonzeptes verzichtet oder ist dieses unzureichend umgesetzt, stellt dies eine Gefährdung für die Institution dar. Der unberechtigte Zugriff auf Anwendungsdaten oder auf die Komponenten einer Speicherlösung können die Folge sein.

Die Gefahr solcher unberechtigten Zugriffe besteht dabei immer innerhalb eines Mandanten oder auch über mehrere Mandanten hinweg (mandantenübergreifend). Es ist daher notwendig, ein ausreichendes Rechte- und Rollenkonzept einzusetzen.

Folgende Ausprägungen für unberechtigte Zugriffe in Cloud-Infrastrukturen sind zu unterscheiden:

Je nach Ausprägung des Zugriffs können alle drei Sicherheitsziele (Vertraulichkeit, Verfügbarkeit und Integrität der Informationen) gefährdet sein.

Beispiel: