Cloud-Migration

One-Medical-Angriff zeigt Risiken ungeprüfter Datenbestände bei Cloud-Migrationen

, Skaylink | Autor: Herbert Wieler

One-Medical-Angriff zeigt Risiken ungeprüfter Datenbestände bei Cloud-Migrationen

Warum alte Daten in neuen Umgebungen zum Risiko werden

Cloud-Migration gilt in vielen Unternehmen als Modernisierungsschub. Doch wer Daten nur verschiebt, ohne sie vorher zu prüfen, verschiebt auch alte Sicherheitsrisiken. Der Angriff auf One Medical zeigt, warum gerade übernommene Altbestände, Archivdaten und Drittanbieter-Systeme zur gefährlichen Schattenzone werden können.

Cloud-Infrastrukturen versprechen Tempo, Skalierbarkeit und Kostenvorteile. Für Unternehmen ist das ein starkes Argument, Anwendungen, Datenbanken und Geschäftsprozesse in moderne Plattformen wie AWS, Microsoft Azure oder Google Cloud zu verlagern. Doch genau hier entsteht ein gefährliches Missverständnis: Eine Migration in die Cloud ist noch lange kein Sicherheits-Audit.

Darauf weist André Dube, Director of Cyber Security Center bei Skaylink , mit Blick auf den Angriff auf One Medical hin.

Besonders brisant ist der Fall, weil offenbar Datenbestände von Iora Health betroffen waren — einem Unternehmen, das bereits 2021 übernommen wurde. Damit rückt ein Problem in den Fokus, das viele Organisationen unterschätzen: Was passiert mit alten Daten, wenn Unternehmen fusionieren, übernommen werden oder ihre Systeme modernisieren?

André Dube, Director of Cyber Security Center bei Skaylink
André Dube, Director of Cyber Security Center bei Skaylink

Bei Cloud-Projekten liegt der Fokus häufig auf Effizienz: Systeme sollen schneller verfügbar sein, besser skalieren und einfacher betrieben werden. Sicherheitsfragen werden zwar mitgedacht, doch oft erst auf Ebene der Zielplattform. Genau das reicht nicht.

Denn Cloud-Sicherheit beginnt nicht erst in der Cloud. Sie beginnt bei der Frage, welche Daten überhaupt migriert werden, wo sie liegen, wer Zugriff darauf hat und ob sie noch benötigt werden.

Alte Daten, neue Plattform — gleiches Risiko

Wer alte Datenbestände ungeprüft in eine neue Umgebung überführt, reduziert sein Risiko nicht. Er verlagert es lediglich. Besonders kritisch wird das bei Gesundheitsdaten, Finanzinformationen, Kundendaten oder sensiblen Unternehmensinformationen. Solche Daten bleiben für Angreifer wertvoll — auch dann, wenn sie aus alten Systemen stammen oder längst nicht mehr aktiv genutzt werden.

Übernahmen schaffen blinde Flecken in der IT-Sicherheit

Der Fall One Medical zeigt ein bekanntes Muster: Ein größeres Unternehmen übernimmt ein kleineres, bestehende Systeme laufen zunächst weiter, Daten werden archiviert oder in externe Speichersysteme ausgelagert. Jahre später ist unklar, welche Daten noch vorhanden sind, welche Dienstleister Zugriff haben und ob diese Systeme noch Teil des aktuellen Sicherheitskonzepts sind.

Genau hier entstehen blinde Flecken. Historisch gewachsene Berechtigungen, alte Cloud-Buckets, externe Speicherlösungen und Archivplattformen bleiben bestehen, obwohl sie operativ kaum noch eine Rolle spielen. Für Angreifer sind sie dennoch attraktiv — oft gerade deshalb, weil sie weniger streng überwacht werden als produktive Kernsysteme.

Die entscheidende Lehre: Jede Übernahme muss auch als Sicherheitsprojekt verstanden werden. Wer nur Prozesse, Kunden und Technologien integriert, aber keine vollständige Dateninventur durchführt, übernimmt auch die Risiken des übernommenen Unternehmens.

Cloud-Anbieter sind nicht das eigentliche Problem

Wichtig ist die Einordnung: Ein solcher Vorfall ist nicht automatisch ein Problem von Amazon, Microsoft oder Google. Große Cloud-Plattformen stellen umfangreiche Sicherheitsfunktionen bereit. Doch sie ersetzen nicht die Verantwortung der Unternehmen für Datenhygiene, Zugriffskontrolle und Governance.

Cloud-Sicherheit ist keine Eigenschaft, die beim Umzug automatisch mitgeliefert wird. Sie ist das Ergebnis bewusster Entscheidungen: Welche Daten dürfen migriert werden? Welche müssen gelöscht werden? Welche müssen isoliert werden? Welche Systeme von Drittanbietern müssen überwacht werden?

Unternehmen, die diese Fragen nicht beantworten, schaffen eine moderne Infrastruktur mit alten Schwachstellen.

Was Unternehmen aus dem One-Medical-Fall lernen sollten

Vor jeder Cloud-Migration und spätestens nach jeder Übernahme braucht es ein vollständiges Dateninventar. Unternehmen müssen wissen, wo personenbezogene, geschäftskritische oder regulierte Daten liegen — auch bei externen Dienstleistern und in historischen Systemen.

Zugriffsrechte sollten nicht einfach übernommen werden. Gerade bei übernommenen Unternehmen sind Berechtigungen häufig über Jahre gewachsen. Statt alte Rollenmodelle in neue Umgebungen zu kopieren, sollten Unternehmen Zugriffe nach dem Prinzip der minimalen Berechtigung neu definieren.

Archivdaten brauchen aktives Management. Daten, die nicht mehr benötigt werden, sollten gelöscht werden. Müssen sie aus rechtlichen oder geschäftlichen Gründen aufbewahrt werden, sollten sie streng isoliert, verschlüsselt und überwacht werden. Alter schützt Daten nicht vor Missbrauch.

Auch Drittanbieter-Systeme müssen in Monitoring, Risikoanalysen und Sicherheitsprozesse eingebunden werden. Wenn sensible Informationen außerhalb der eigenen Kerninfrastruktur gespeichert werden, dürfen dort keine niedrigeren Sicherheitsstandards gelten.

Fazit: Erst aufräumen, dann migrieren

Der Angriff auf One Medical ist ein Warnsignal für alle Unternehmen, die Cloud-Migration als rein technisches Modernisierungsprojekt betrachten. Der Umzug in die Cloud macht Daten nicht automatisch sicherer. Ohne Dateninventar, Berechtigungsprüfung, Archivstrategie und Drittanbieter-Kontrolle können alte Risiken in neuen Umgebungen weiterbestehen. Cloud-Migration und Sicherheits-Audit sind zwei verschiedene Aufgaben. Wer das eine ohne das andere macht, gewinnt vielleicht Geschwindigkeit — aber verliert Kontrolle.