Thought Leadership
Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Netzen. Oft fehlt Unternehmen der Überblick über die Anzahl der Geräte im Netz, was Hackern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau, deckt elf Risiken im Zusammenhang mit Cloud-Computing auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.
1. Datenlecks
Auf seine Daten achtet jeder Konzern selbst. Was einfach klingt, erweist sich im IT-Alltag oft als Lippenbekenntnis. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden am Unternehmen. Neben Gewinneinbußen und rechtlichen Konsequenzen droht ein Vertrauensverlust der Kunden. Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt eine Standort-Tracking-App für Familien: Kürzlich konnten Cyberkriminelle auf die Daten der App „Family Locator“, mit deren Hilfe Familienmitglieder untereinander den Standort teilen zugreifen. Durch eine unzureichend geschützte MongoDB-Datenbank standen dem Angreifer mehrere Wochen lang die Live-Standortdaten der 238.000 Nutzer zur freien Verfügung.
Eine Studie des Ponemon Institute kam zu dem Schluss, dass Datendiebstahl für Cloud-basierte Unternehmen um ein Vielfaches mehr Schaden anrichtet als bei Inhouse-IT-Strukturen und mit gesteigerter Wahrscheinlichkeit vorkommt. 613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen würden im eigenen Unternehmen den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.
2. Unzureichendes Identitäts-, Credential- und Zugriffsmanagement
Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffsschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier fand ein Sicherheitsforscher 2016 heraus, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.
Das bekannte Online-Spiel „Fortnite“ gewährte Hackern Anfang dieses Jahres durch einen Log-in-Bug Zugriff auf mehrere Millionen Accounts, mit denen sie Ingame-Einkäufe tätigen konnten.
3. System-Schwachstellen
Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe – so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.
4. Neue Möglichkeiten für Kriminelle
Phishing und Betrug, zwei alte Bekannte, erreichen durch Cloud-Applikationen eine neue Dimension. Das Fälschen oder Manipulieren von Daten verhindern Unternehmen nur mit einem Sicherheitskonzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; keine leichte Aufgabe, die Innovationen in der Überwachung erfordert.
5. Böswillige Eingeweihte
Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Inside-Jobs sind gerade bei Cloud-basierten Unternehmen ein heikles Thema. Durch BYOD-Richtlinien gelangen Unternehmensdaten zunehmend auf private Geräte und der Überblick schwindet: Wann wurden Daten von Hackern entwendet, wann gingen sie einem Mitarbeiter aus Versehen verloren? Security-Verantwortliche brauchen Know-how und Feingefühl, um einen Kontrollmechanismus zu schaffen, der wirkt, ohne zu überwachen; kein Mitarbeiter möchte das Gefühl haben, in einem Polizeistaat zu arbeiten.
