Ein Kommentar von André Dube, Director of Cyber Security Center bei Skaylink
Wer Systeme in die Cloud hebt, macht sie schneller, skalierbarer und oft günstiger. Was dabei häufig vergessen wird: schneller, skalierbarer und günstiger gilt auch für Angreifer – wenn die Daten, die migriert wurden, niemand mehr auf dem Schirm hat.
Genau das ist beim Angriff auf One Medical passiert. Ausgerechnet die Bestände von Iora Health steckten im Leak – symptomatisch dafür, was passiert, wenn ein Konzern ein kleineres Unternehmen schluckt, die Altsysteme „erstmal weiterlaufen” – und dann liegen Jahre später Gesundheitsdaten auf einer Plattform, die in keinem aktuellen Sicherheitskonzept mehr auftaucht.
Das Muster ist bekannt und wiederholt sich: Externe Speichersysteme von Drittanbietern, archivierte Datenbestände aus Übernahmen, historisch gewachsene Berechtigungsstrukturen – all das wandert in die Cloud mit, wenn niemand vorher aufräumt. Cloud-Sicherheit ist keine Eigenschaft der Plattform. Sie ist das Ergebnis einer Entscheidung, was in die Cloud darf – und in welchem Zustand. AWS, Azure oder Google Cloud sind so sicher wie die Datenhygiene, die man mitbringt. Wer Altlasten ungeprüft migriert, hat sein Risiko nicht reduziert. Er hat es nur in eine neue Umgebung verschoben.
Was im Fall One Medical hätte anders laufen müssen – und was Unternehmen daraus lernen sollten:
- Vollständiges Dateninventar vor der Migration und nach jeder Übernahme: Iora Health wurde 2021 übernommen. Spätestens zu diesem Zeitpunkt hätte eine vollständige Bestandsaufnahme aller Datenspeicher erfolgen müssen – inklusive der Systeme externer Dienstleister. Was nicht erfasst ist, kann weder geschützt noch gelöscht werden.
- Zugriffsrechte neu modellieren, nicht übernehmen: Historisch gewachsene Berechtigungsstrukturen eines übernommenen Unternehmens dürfen nicht einfach mitmigriert werden. Jede Übernahme ist die Gelegenheit, Zugriffsrechte nach dem Prinzip der minimalen Berechtigung neu zu definieren – und nicht die Altlasten des Vorgängers fortzuschreiben.
- Archivdaten aktiv managen: Daten, die nicht mehr operativ benötigt werden, sollten gelöscht oder zumindest strikt isoliert werden. Archivierte Gesundheitsdaten von 2019 sind für Angreifer 2026 genauso verwertbar wie aktuelle Daten. Wer sie aufbewahrt, trägt die Verantwortung dafür – unabhängig davon, wie alt sie sind.
- Drittanbieter-Systeme ins Monitoring einbeziehen: Der Angriff erfolgte nicht auf Amazon selbst, sondern auf ein externes Speichersystem. Wer Daten bei Drittanbietern lagert, muss sicherstellen, dass diese Systeme mit denselben Sicherheitsstandards überwacht werden wie die eigene Infrastruktur.
Der One-Medical-Angriff ist kein Amazon-Problem. Er ist eine Erinnerung daran, dass Cloud-Migration und Sicherheits-Audit zwei verschiedene Dinge sind – und dass das eine ohne das andere gefährlich wird.
Weitere Artikel
Cyberwarfare: Unternehmen in Deutschland müssen jetzt handeln
Der SaaS-Datenschutz-Marktführer Keepit bringt die innovative Lösung Keepit für Power BI auf den Markt
Venafi veröffentlicht die 10 wichtigsten Cybersecurity-Trends für 2023
Cyberangriff auf Telekommunikations-unternehmen Optus: Angreifer erbeuten Millionen persönlicher Kundendaten