VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cloud Security Wolke 574565569 700

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Unternehmensnetze. Die enormen Datenmengen jedoch, die Cloud-Server beherbergen, machen sie zu einem attraktiven Ziel für Hackerangriffe. Pierre Gronau deckt zwölf Risiken auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.

Datenpannen

Ein Unternehmen ist für den Schutz seiner Daten eigenverantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters, besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen. Wie schwerwiegend eine Datenpanne sein kann, zeigt das Beispiel Yahoo: Das kalifornische Internetunternehmen bestätigte im September 2016, dass drei Jahre zuvor eine Milliarde Nutzerkonten gehackt wurden. Tatsächlich waren es sogar alle drei Milliarden Konten, wie im Oktober 2017 bekannt wurde.

Unzureichendes Identitäts- , Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz von Zentralisierung der Identität. Auf der anderen Seite lauert die Gefahr, dass so ein wertvolles zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel darstellt. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier stellte ein Sicherheitsforscher 2016 fest, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Unsichere Schnittstellen

IT-Teams nutzen Schnittstellen und APIs, um Cloud-Services zu verwalten und mit ihnen zu interagieren. Dazu gehören auch Services, die Cloud-Provisionierung, Management, Orchestrierung und Monitoring anbieten. Diese APIs und Schnittstellen stellen in der Regel den am stärksten exponierten Teil eines Systems dar, da sie zumeist offen über das Internet zugänglich sind. Die Cloud Security Alliance (CSA) empfiehlt sicherheitsorientierte Code-Überprüfungen und rigorose Penetrationstests. Sinnvoll sind in diesem Kontext API-Sicherheitskomponenten wie Authentifizierung, Zugriffskontrollen und Aktivitätsüberwachung.

System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe ─ so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

Kontoübernahme

Phishing, Betrug und Software-Ausnutzungen sind nach wie vor erfolgreich. Cloud-Dienste verleihen diesen Bedrohungen eine neue Dimension, wenn Angreifer hier schädigende Aktivitäten forcieren, Transaktionen manipulieren und Daten ändern. Um dies zu vermeiden, sollten Unternehmen alle Konten inklusive Servicekonten überwachen, um jede Transaktion zu ihrem menschlichen Eigentümer zurückzuverfolgen. Der Schlüssel ist, die Zugangsdaten jedes Kontos vor Diebstahl zu schützen.

Böswillige Eingeweihte

Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge an Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: Sie wollten sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Systeme, deren Sicherheit ausschließlich vom Cloud-Serviceprovider abhängen, sind am stärksten gefährdet. Schutz bieten hier effektive Protokollierung sowie Überwachung und Auditierung von Administrator-Aktivitäten. Um die Zugriffsbelastung zu minimieren, sollten Organisationen mit Verschlüsselungsprozessen und Schlüsseln arbeiten sowie den Zugriff auf Systeme quantitativ minimieren.

Fortgeschrittene andauernde Bedrohungen

Die CSA bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme um Fuß zu fassen und exfiltrieren dann heimlich Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte sind neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme dafür, dass Benutzer wachsam und weniger anfällig dafür bleiben, einen Parasiten ins Netz zu lassen.

Datenverlust

Berichte über permanente Datenverluste aufgrund von Cloud-Provider-Fehlern sind äußerst selten geworden. Hacker jedoch zeigen sich nach wie vor von ihrer aktiven Seite, indem sie Cloud-Daten aus Unternehmen und Rechenzentren dauerhaft löschen, um Schaden anzurichten. Hier empfehlen Cloud-Anbieter die Verteilung von Daten und Anwendungen, tägliche Datensicherung sowie Offsite-Speicher. Compliance-Richtlinien legen oft fest, wie lange Unternehmen Auditaufzeichnungen und andere Dokumente aufbewahren müssen ─ der Verlust dieser Daten kann schwerwiegende regulatorische Konsequenzen nach sich ziehen.

Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste nutzen, ohne diese und die damit verbundenen Risiken vollständig zu verstehen, müssen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf nehmen. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. An dieser Stelle müssen Entwickler eine umfassende Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

Missbrauch und schädliche Nutzung von Cloud-Services

Hacker können Cloud-Services zur Unterstützung ihrer kriminellen Aktivitäten einsetzen. Als Beispiel dient die Nutzung von Cloud-Computing-Ressourcen, um einen Verschlüsselungscode zu knacken und einen Angriff zu starten. Weitere Beispiele für missbräuchliche Praktikanten sind DDOS-Angriffe, Spam-Nachrichten sowie das Hosting schädlicher Inhalte. Daher sollten Kunden vorab prüfen, ob ihr Cloud-Anbieter einen Mechanismus zur Meldung von Missbrauch anbietet. Auch wenn Kunden keine direkte Beute für böswillige Handlungen darstellen, kann der Missbrauch dennoch zu Problemen bei der Verfügbarkeit von Diensten und zum Datenverlust führen.

DoS-Attacken

Durch Belästigung oder Erpressung motivierte DoS-Attacken existieren schon seit Jahren. Sie haben dank Cloud-Computing wieder an Bedeutung gewonnen und beeinträchtigen die Verfügbarkeit von Cloud-Diensten. Systeme können sich zu einem Crawling verlangsamen oder komplett ausfallen. Mit einem solchen Totalausfall war auch das „Australian Bureau of Statistics“ konfrontiert, als die Behörde 2016 versuchte, die erste nationale Volkszählung komplett online durchzuführen. Trotz diverser Systemtests und Belastungsproben stürzte die Zensus-Website ab und ging in der Nacht der Volkszählung offline. Kein Australier war in der Lage, sein Volkszählungsformular auszufüllen. Laut CSA haben Cloud-Anbieter DoS-Angriffe tendenziell besser im Griff als ihre Kunden. Geschützt ist, wer einen Plan vorweist, um Angriffe abzuschwächen, bevor sie auftreten. Nur so behalten Administratoren Zugriff auf wesentliche Ressourcen, wenn sie sie benötigen.

Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die Bausteine.

Pierre GronauPierre Gronau, Inhaber, Gronau IT Cloud Computing GmbH

GRID LIST
Tb W190 H80 Crop Int E9da0303902a814cc9295ed544bbcbb6

Tenable erweitert Sicherheitsportfolio für Cloud und Applikationen

Tenable kündigt neue Produkte und Erweiterungen seines Ökosystems rund um Tenable.io an,…
Tb W190 H80 Crop Int 454d4f23d0f7f0f72b8d99c289393a0b

Malware in der Cloud - Best Practices

Das enorme Wachstum von Cloud Services in der Geschäftswelt hat einen leidigen, aber…
Tb W190 H80 Crop Int 1cc249adc87dd12d5b12b915fca30bb3

Der Mittelstand im Cloud-Zeitalter: Toshiba gibt Tipps zur IT-Security

Cloud-Computing, Cloud-Services, Cloud-Speicher – der Begriff ist in aller Munde. Doch…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Cloud, Compliance und OT: Das wird wichtig bei der Cybersecurity

Die Bedrohung durch Cyberkriminalität hat im vergangenen Jahr neue Ausmaße erreicht.…
Tb W190 H80 Crop Int 4af3435e2cda495d376effd0fa1bcc7b

A10 Networks stellt on-premise Enterprise-Lösung für Cloud-Scrubbing vor

A10 Networks stellt gemeinsam mit Verisign die neue A10 DDoS Protection Cloud sowie seine…
Tb W190 H80 Crop Int Acaebebf6c43a1b7a1bbe75789fd2550

Tipps für DSGVO-konformen Datenschutz in der Cloud

Ab 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) verbindlich - doch die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security