Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cloud Tuecken Quelle Lukas Liebhold Gronau IT 700

Bild: Lukas Liebhold / Gronau IT Cloud Computing

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Netzen. Oft fehlt Unternehmen der Überblick über die Anzahl der Geräte im Netz, was Hackern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau, deckt elf Risiken im Zusammenhang mit Cloud-Computing auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.

1. Datenlecks

Auf seine Daten achtet jeder Konzern selbst. Was einfach klingt, erweist sich im IT-Alltag oft als Lippenbekenntnis. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden am Unternehmen. Neben Gewinneinbußen und rechtlichen Konsequenzen droht ein Vertrauensverlust der Kunden. Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt eine Standort-Tracking-App für Familien: Kürzlich konnten Cyberkriminelle auf die Daten der App „Family Locator“, mit deren Hilfe Familienmitglieder untereinander den Standort teilen zugreifen. Durch eine unzureichend geschützte MongoDB-Datenbank standen dem Angreifer mehrere Wochen lang die Live-Standortdaten der 238.000 Nutzer zur freien Verfügung.

Eine Studie des Ponemon Institute kam zu dem Schluss, dass Datendiebstahl für Cloud-basierte Unternehmen um ein Vielfaches mehr Schaden anrichtet als bei Inhouse-IT-Strukturen und mit gesteigerter Wahrscheinlichkeit vorkommt. 613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen würden im eigenen Unternehmen den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Unzureichendes Identitäts-, Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffsschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier fand ein Sicherheitsforscher 2016 heraus, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Das bekannte Online-Spiel „Fortnite“ gewährte Hackern Anfang dieses Jahres durch einen Log-in-Bug Zugriff auf mehrere Millionen Accounts, mit denen sie Ingame-Einkäufe tätigen konnten.

3. System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe – so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

4. Neue Möglichkeiten für Kriminelle

Phishing und Betrug, zwei alte Bekannte, erreichen durch Cloud-Applikationen eine neue Dimension. Das Fälschen oder Manipulieren von Daten verhindern Unternehmen nur mit einem Sicherheitskonzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; keine leichte Aufgabe, die Innovationen in der Überwachung erfordert.

5. Böswillige Eingeweihte

Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Inside-Jobs sind gerade bei Cloud-basierten Unternehmen ein heikles Thema. Durch BYOD-Richtlinien gelangen Unternehmensdaten zunehmend auf private Geräte und der Überblick schwindet: Wann wurden Daten von Hackern entwendet, wann gingen sie einem Mitarbeiter aus Versehen verloren? Security-Verantwortliche brauchen Know-how und Feingefühl, um einen Kontrollmechanismus zu schaffen, der wirkt, ohne zu überwachen; kein Mitarbeiter möchte das Gefühl haben, in einem Polizeistaat zu arbeiten.

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne
GRID LIST

SEAL KIT-SUITE: EIN SURVIVAL KIT FÜR DIE IT-SECURITY

Die Gronau IT Cloud Computing GmbH hat sich im Security-Umfeld einen Namen gemacht. Über…
Tb W190 H80 Crop Int C7ec4121533b0efd43b60d6b621b8f97

NIOS-Plattform erweitert Sicherheits- und Multi-Cloud-Funktionalität

Infoblox veröffentlicht ein Update für seine Network Identity Operating System…
Cloud Security

Public Cloud ohne eigene DNS ist Einfallstor für Angriffe

Öffentliche Cloud-Dienste bieten über ihr DNS zahlreiche Eingangstore für…
Cloud Security

Tipps für Datensicherheit in Multicloud Umgebungen

Die Gründe, die bei der Auswahl von Cloud-Tools für eine Multicloud-Strategie sprechen,…
Cloud-Container-Concept

Die vernachlässigte Lücke in der Container-Sicherheitsstrategie

Docker wird dieses Jahr sechs Jahre alt. Mit der Open-SourceSoftware lassen sich…
Cloud-Security

Prioritäten von IT-Security-Verantwortlichen

Die Cloudnutzung hat 2018 einen neuen Höchststand erreicht und der Wachstumstrend wird…