Cloud Tuecken Quelle Lukas Liebhold Gronau IT 700

Bild: Lukas Liebhold / Gronau IT Cloud Computing

 

6. Fortgeschrittene andauernde Bedrohungen

Die CSA bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen, und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegen Parasiten.

7. Keine Datensicherung, keine Gnade

Berichte über Datenverluste aufseiten der Cloud-Provider nehmen ab, obwohl Hacker sich nach wie vor angriffslustig zeigen und Daten aus Unternehmensstrukturen oder Rechenzentren löschen. Daher werden täglich geplante Datensicherungen zum Must-have. Wer noch mehr sichergehen will, trennt Daten physisch an verschiedene Orte oder Netze.

8. Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste ohne Verständnis für die damit verbundenen Risiken nutzen, nehmen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. Daher müssen Entwickler eine umfassende Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

9. Missbrauch und schädliche Nutzung von Cloud-Services

Wer an die Hardware-Ressourcen hinter einer Cloud gelangt, dem gelingt es, eine Armada von Geräten für sich zu nutzen. Hacker führen damit nicht nur simple DDoS-Attacken aus, sondern knacken auch Verschlüsselungen oder minen Crypto-Währungen. Attacken auf derartige Ressourcen haben meist zwei Dinge im Blick: Datendiebstahl beziehungsweise das Löschen von Unternehmensdaten und Downtime, die Teil einer weiteren Attacke sein kann oder dem anvisierten Unternehmen Umsatzeinbußen einbringt.

10. DoS-Attacken

Cyberkriminelle nutzen schon lange DoS-Attacken, die durch Anfragenüberflutung die Server des Zieles in die Knie zwingen. Sie erlangen aber durch Cloud-Services eine neue Bedeutung, da sie nun nicht mehr nur Internetseiten, sondern ganze Dienstleistungen paralysieren. Github, eine Cloud zum Teilen von Code, erlebte 2018 einen Rekord-Angriff. Sage und schreibe 1,35 Terabit Traffic pro Sekunde erreichten die Server und überforderten sie für mehrere Minuten. Laut Netscout, einem Anbieter für Netzwerkleistungsmanagementprodukte, sorgen DoS-Attacken auf dem amerikanischen Markt pro Jahr für einen Schaden von 10 Milliarden US-Dollar . Auch die Quantität der Angriffe nimmt von Jahr zu Jahr stark zu.

11. Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle Ebenen. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die wesentlichen Bausteine.

www.gronau-it.de

 

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cloud Datenleck

Datenpanne bei deutschem Cloud-Anbieter

Ein deutscher Cloud-Anbieter verliert Kryptografie-Schlüssel und seine Kunden dadurch Daten: Dieser aktuelle Vorfall schadet der gesamten Cloud-Branche in Deutschland, weil sie deren größten Wettbewerbsvorteil zunichte macht, betont ownCloud.
Cloud 2020

Cloud Security 2020: Gute Vorsätze für das neue Jahr

Mit Beginn eines neuen Jahres ziehen viele Unternehmensabteilungen Bilanz über den Verlauf der vergangenen zwölf Monate. Was lief gut, wo gibt es Verbesserungsbedarf und wofür sollten im kommenden Jahr mehr Ressourcen aufgewendet werden? Eine Diskussion, die…
Cloud Security

Cloud Services: Unternehmen in der Datenschutzpflicht

Cloud Services werden bei deutschen Unternehmen immer beliebter: Im Jahr 2018 setzten laut Statista bereits 73 Prozent Cloud-Dienste ein. Laut Bitkom Research speichert die Hälfte deutscher Unternehmen auch personenbezogene Daten in der Cloud, rund ein…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!