Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Cloud Security Wolke 574565569 700

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Unternehmensnetze. Die enormen Datenmengen jedoch, die Cloud-Server beherbergen, machen sie zu einem attraktiven Ziel für Hackerangriffe. Pierre Gronau deckt zwölf Risiken auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.

Datenpannen

Ein Unternehmen ist für den Schutz seiner Daten eigenverantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters, besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen. Wie schwerwiegend eine Datenpanne sein kann, zeigt das Beispiel Yahoo: Das kalifornische Internetunternehmen bestätigte im September 2016, dass drei Jahre zuvor eine Milliarde Nutzerkonten gehackt wurden. Tatsächlich waren es sogar alle drei Milliarden Konten, wie im Oktober 2017 bekannt wurde.

Unzureichendes Identitäts- , Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz von Zentralisierung der Identität. Auf der anderen Seite lauert die Gefahr, dass so ein wertvolles zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel darstellt. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier stellte ein Sicherheitsforscher 2016 fest, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Unsichere Schnittstellen

IT-Teams nutzen Schnittstellen und APIs, um Cloud-Services zu verwalten und mit ihnen zu interagieren. Dazu gehören auch Services, die Cloud-Provisionierung, Management, Orchestrierung und Monitoring anbieten. Diese APIs und Schnittstellen stellen in der Regel den am stärksten exponierten Teil eines Systems dar, da sie zumeist offen über das Internet zugänglich sind. Die Cloud Security Alliance (CSA) empfiehlt sicherheitsorientierte Code-Überprüfungen und rigorose Penetrationstests. Sinnvoll sind in diesem Kontext API-Sicherheitskomponenten wie Authentifizierung, Zugriffskontrollen und Aktivitätsüberwachung.

System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe ─ so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

Kontoübernahme

Phishing, Betrug und Software-Ausnutzungen sind nach wie vor erfolgreich. Cloud-Dienste verleihen diesen Bedrohungen eine neue Dimension, wenn Angreifer hier schädigende Aktivitäten forcieren, Transaktionen manipulieren und Daten ändern. Um dies zu vermeiden, sollten Unternehmen alle Konten inklusive Servicekonten überwachen, um jede Transaktion zu ihrem menschlichen Eigentümer zurückzuverfolgen. Der Schlüssel ist, die Zugangsdaten jedes Kontos vor Diebstahl zu schützen.

Böswillige Eingeweihte

Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge an Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: Sie wollten sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Systeme, deren Sicherheit ausschließlich vom Cloud-Serviceprovider abhängen, sind am stärksten gefährdet. Schutz bieten hier effektive Protokollierung sowie Überwachung und Auditierung von Administrator-Aktivitäten. Um die Zugriffsbelastung zu minimieren, sollten Organisationen mit Verschlüsselungsprozessen und Schlüsseln arbeiten sowie den Zugriff auf Systeme quantitativ minimieren.

Fortgeschrittene andauernde Bedrohungen

Die CSA bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme um Fuß zu fassen und exfiltrieren dann heimlich Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte sind neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme dafür, dass Benutzer wachsam und weniger anfällig dafür bleiben, einen Parasiten ins Netz zu lassen.

Datenverlust

Berichte über permanente Datenverluste aufgrund von Cloud-Provider-Fehlern sind äußerst selten geworden. Hacker jedoch zeigen sich nach wie vor von ihrer aktiven Seite, indem sie Cloud-Daten aus Unternehmen und Rechenzentren dauerhaft löschen, um Schaden anzurichten. Hier empfehlen Cloud-Anbieter die Verteilung von Daten und Anwendungen, tägliche Datensicherung sowie Offsite-Speicher. Compliance-Richtlinien legen oft fest, wie lange Unternehmen Auditaufzeichnungen und andere Dokumente aufbewahren müssen ─ der Verlust dieser Daten kann schwerwiegende regulatorische Konsequenzen nach sich ziehen.

Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste nutzen, ohne diese und die damit verbundenen Risiken vollständig zu verstehen, müssen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf nehmen. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. An dieser Stelle müssen Entwickler eine umfassende Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

Missbrauch und schädliche Nutzung von Cloud-Services

Hacker können Cloud-Services zur Unterstützung ihrer kriminellen Aktivitäten einsetzen. Als Beispiel dient die Nutzung von Cloud-Computing-Ressourcen, um einen Verschlüsselungscode zu knacken und einen Angriff zu starten. Weitere Beispiele für missbräuchliche Praktikanten sind DDOS-Angriffe, Spam-Nachrichten sowie das Hosting schädlicher Inhalte. Daher sollten Kunden vorab prüfen, ob ihr Cloud-Anbieter einen Mechanismus zur Meldung von Missbrauch anbietet. Auch wenn Kunden keine direkte Beute für böswillige Handlungen darstellen, kann der Missbrauch dennoch zu Problemen bei der Verfügbarkeit von Diensten und zum Datenverlust führen.

DoS-Attacken

Durch Belästigung oder Erpressung motivierte DoS-Attacken existieren schon seit Jahren. Sie haben dank Cloud-Computing wieder an Bedeutung gewonnen und beeinträchtigen die Verfügbarkeit von Cloud-Diensten. Systeme können sich zu einem Crawling verlangsamen oder komplett ausfallen. Mit einem solchen Totalausfall war auch das „Australian Bureau of Statistics“ konfrontiert, als die Behörde 2016 versuchte, die erste nationale Volkszählung komplett online durchzuführen. Trotz diverser Systemtests und Belastungsproben stürzte die Zensus-Website ab und ging in der Nacht der Volkszählung offline. Kein Australier war in der Lage, sein Volkszählungsformular auszufüllen. Laut CSA haben Cloud-Anbieter DoS-Angriffe tendenziell besser im Griff als ihre Kunden. Geschützt ist, wer einen Plan vorweist, um Angriffe abzuschwächen, bevor sie auftreten. Nur so behalten Administratoren Zugriff auf wesentliche Ressourcen, wenn sie sie benötigen.

Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die Bausteine.

Pierre GronauPierre Gronau, Inhaber, Gronau IT Cloud Computing GmbH

Smarte News aus der IT-Welt