Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Cloud Tuecken Quelle Lukas Liebhold Gronau IT 700

Bild: Lukas Liebhold / Gronau IT Cloud Computing

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Netzen. Oft fehlt Unternehmen der Überblick über die Anzahl der Geräte im Netz, was Hackern Vorteile bietet. IT-Sicherheitslotse Pierre Gronau, deckt elf Risiken im Zusammenhang mit Cloud-Computing auf und formuliert konkrete Empfehlungen, um die Gefahr von Missbrauch und extern forciertem Datenverlust zu minimieren.

1. Datenlecks

Auf seine Daten achtet jeder Konzern selbst. Was einfach klingt, erweist sich im IT-Alltag oft als Lippenbekenntnis. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden am Unternehmen. Neben Gewinneinbußen und rechtlichen Konsequenzen droht ein Vertrauensverlust der Kunden. Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt eine Standort-Tracking-App für Familien: Kürzlich konnten Cyberkriminelle auf die Daten der App „Family Locator“, mit deren Hilfe Familienmitglieder untereinander den Standort teilen zugreifen. Durch eine unzureichend geschützte MongoDB-Datenbank standen dem Angreifer mehrere Wochen lang die Live-Standortdaten der 238.000 Nutzer zur freien Verfügung.

Eine Studie des Ponemon Institute kam zu dem Schluss, dass Datendiebstahl für Cloud-basierte Unternehmen um ein Vielfaches mehr Schaden anrichtet als bei Inhouse-IT-Strukturen und mit gesteigerter Wahrscheinlichkeit vorkommt. 613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen würden im eigenen Unternehmen den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Unzureichendes Identitäts-, Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffsschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier fand ein Sicherheitsforscher 2016 heraus, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Das bekannte Online-Spiel „Fortnite“ gewährte Hackern Anfang dieses Jahres durch einen Log-in-Bug Zugriff auf mehrere Millionen Accounts, mit denen sie Ingame-Einkäufe tätigen konnten.

3. System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe – so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

4. Neue Möglichkeiten für Kriminelle

Phishing und Betrug, zwei alte Bekannte, erreichen durch Cloud-Applikationen eine neue Dimension. Das Fälschen oder Manipulieren von Daten verhindern Unternehmen nur mit einem Sicherheitskonzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen; keine leichte Aufgabe, die Innovationen in der Überwachung erfordert.

5. Böswillige Eingeweihte

Insiderbedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spielepublisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Inside-Jobs sind gerade bei Cloud-basierten Unternehmen ein heikles Thema. Durch BYOD-Richtlinien gelangen Unternehmensdaten zunehmend auf private Geräte und der Überblick schwindet: Wann wurden Daten von Hackern entwendet, wann gingen sie einem Mitarbeiter aus Versehen verloren? Security-Verantwortliche brauchen Know-how und Feingefühl, um einen Kontrollmechanismus zu schaffen, der wirkt, ohne zu überwachen; kein Mitarbeiter möchte das Gefühl haben, in einem Polizeistaat zu arbeiten.

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne
GRID LIST
KI Cyber Security

KI spielt immer wichtigere Rolle in der Cloud-Sicherheitsstrategie

Die Cloud erfreut sich unter Firmen immer größerer Beliebtheit. Mittlerweile nutzen sie…
Hacker Cloud

Einblicke in das Verhalten von Hackern in Cloud-Umgebungen

Virtualisierte Cloud-Umgebungen, die von Cloud-Service-Providern (CSPs) unterstützt…
Hacker im binären Regen

Guideline Cloud Security

Die Ansprüche an vernetztes Arbeiten steigen: Mitarbeiter nutzen verschiedene…
Public Cloud

Wie sicher ist die (Public) Cloud?

Laut der heute veröffentlichten Bitkom-Studie zum Thema Cloud Computing nutzten im Jahr…
Tb W190 H80 Crop Int 46ad5e31f85ea99e76210e0d0bc3debe

Die Sicherheit von Cloud-basierten Softwaretools

Spätestens seit den großen Datenlecks der letzten Jahre ist klar, dass die Sicherheit…
Tb W190 H80 Crop Int 97baf047fc209bc2933723c0c6658f57

SEAL KIT-SUITE: EIN SURVIVAL KIT FÜR DIE IT-SECURITY

Die Gronau IT Cloud Computing GmbH hat sich im Security-Umfeld einen Namen gemacht. Über…