Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Cloud Tuecken Quelle Lukas Liebhold Gronau IT 700

Bild: Lukas Liebhold / Gronau IT Cloud Computing

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Netzen. Oft fehlt Unternehmen der Überblick über die Anzahl der Geräte im Netz, was Hackern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau, deckt elf Risiken im Zusammenhang mit Cloud-Computing auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.

1. Datenlecks

Auf seine Daten achtet jeder Konzern selbst. Was einfach klingt, erweist sich im IT-Alltag oft als Lippenbekenntnis. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden am Unternehmen. Neben Gewinneinbußen und rechtlichen Konsequenzen droht ein Vertrauensverlust der Kunden. Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt eine Standort-Tracking-App für Familien: Kürzlich konnten Cyberkriminelle auf die Daten der App „Family Locator“, mit deren Hilfe Familienmitglieder untereinander den Standort teilen zugreifen. Durch eine unzureichend geschützte MongoDB-Datenbank standen dem Angreifer mehrere Wochen lang die Live-Standortdaten der 238.000 Nutzer zur freien Verfügung.

Eine Studie des Ponemon Institute kam zu dem Schluss, dass Datendiebstahl für Cloud-basierte Unternehmen um ein Vielfaches mehr Schaden anrichtet als bei Inhouse-IT-Strukturen und mit gesteigerter Wahrscheinlichkeit vorkommt. 613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen würden im eigenen Unternehmen den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Unzureichendes Identitäts-, Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffsschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier fand ein Sicherheitsforscher 2016 heraus, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Das bekannte Online-Spiel „Fortnite“ gewährte Hackern Anfang dieses Jahres durch einen Log-in-Bug Zugriff auf mehrere Millionen Accounts, mit denen sie Ingame-Einkäufe tätigen konnten.

3. System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe – so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

4. Neue Möglichkeiten für Kriminelle

Phishing und Betrug, zwei alte Bekannte, erreichen durch Cloud-Applikationen eine neue Dimension. Das Fälschen oder Manipulieren von Daten verhindern Unternehmen nur mit einem Sicherheitskonzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; keine leichte Aufgabe, die Innovationen in der Überwachung erfordert.

5. Böswillige Eingeweihte

Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Inside-Jobs sind gerade bei Cloud-basierten Unternehmen ein heikles Thema. Durch BYOD-Richtlinien gelangen Unternehmensdaten zunehmend auf private Geräte und der Überblick schwindet: Wann wurden Daten von Hackern entwendet, wann gingen sie einem Mitarbeiter aus Versehen verloren? Security-Verantwortliche brauchen Know-how und Feingefühl, um einen Kontrollmechanismus zu schaffen, der wirkt, ohne zu überwachen; kein Mitarbeiter möchte das Gefühl haben, in einem Polizeistaat zu arbeiten.

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
Cloud Datenleck

Datenpanne bei deutschem Cloud-Anbieter

Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch…
Cloud 2020

Cloud Security 2020: Gute Vorsätze für das neue Jahr

Mit Beginn eines neuen Jahres ziehen viele Unternehmensabteilungen Bilanz über den…
Cloud Security

Cloud Services: Unternehmen in der Datenschutzpflicht

Cloud Services werden bei deutschen Unternehmen immer beliebter: Im Jahr 2018 setzten…
Cloud

Mit Spezialwerkzeugen die Cloud Schwachstellen vermeiden

Das Konfigurieren von Ressourcen und Schnittstellen in Public-Cloud-Diensten ist komplex…