Cloud-Dienste werden weiterhin von Cyberkriminellen ausgenutzt

Laut dem neuesten Cloud and Threat Report von Netskope haben Cyberkriminelle im Laufe des Jahres 2021 weiterhin massiv Cloud-Dienste ausgenutzt, um Malware und andere bösartige Inhalte wie Phishing-Seiten zu verbreiten.

Diese Entwicklung zeichnete sich bereits im letzten Jahr ab: Angeheizt durch die Pandemie und die plötzliche, weit verbreitete Nutzung von Cloud-Diensten durch verteilte Mitarbeiter stieg der Anteil an Malware, die von Cloud-Anwendungen im Vergleich zum Web bereitgestellt wurde, von 46 Prozent im ersten Quartal auf 65 Prozent im vierten Quartal 2020. 2021 blieb dieser Trend im Laufe des Jahres konstant, wobei sich die Werte in den verschiedenen Quartalen zwischen 66 und 67 einpendelten.

Anzeige

Betrachtet man die am meisten ausgenutzten Cloud-Anwendungen, so ist es nicht überraschend, dass Cloud-Speicherdienste die Tabelle anführen: Im Jahr 2021 wurden 69 Prozent der bösartigen Inhalte über Apps dieser Kategorie verbreitet, deutlich vor Collaboration- (9 %) und Entwicklungstools (7 %). Diese Zahlen geben einen Eindruck davon, wie die aktuelle Situation die Bedrohungslandschaft umgestaltet: 70 Prozent der Mitarbeiter arbeiten (auch) remote. Entsprechend sind Cloud-Speicher- und Kollaborationstools von entscheidender Bedeutung für die Verbindung verteilter Teams. Gleichzeitig gewinnen die Nutzer immer mehr Vertrauen in diese Lösungen – eine ideale Gelegenheit für Angreifer, dies zu ihren Gunsten zu nutzen.

Was die am häufigsten genutzten Dienste zum Hosten und Bereitstellen bösartiger Inhalte angeht, so zeigt der Bericht ein Kopf-an-Kopf-Rennen zwischen Google Drive und OneDrive. Lag der Microsoft-Dienst im Jahr 2020 noch an der Spitze, so hat es im vergangenen Jahr einen Führungswechsel gegeben: Google liegt mit 37 Prozent knapp vor OneDrive (20 %) und SharePoint (9 %) auf dem ersten Platz. Bemerkenswerterweise steht AWS mit 6 Prozent an vierter Stelle, was beweist, dass IaaS-Dienste für die Cyberkriminellen ebenfalls sehr attraktiv sind.

Verteiltes Arbeiten ist ein wesentlicher Faktor für die Verbreitung bösartiger Nutzlasten: Remote-Teams müssen Dokumente austauschen, sodass es nicht überrascht, dass sie zum Hauptvektor für Malware geworden sind. Im Jahr 2021 entfielen fast 40 Prozent aller Malware-Downloads auf bösartige Office-Dokumente. Dies entspricht einer Verdopplung im Vergleich zu Anfang 2020, als dieser Verbreitungsweg nur 19 Prozent ausmachte. Dieser Anstieg verlief jedoch nicht gleichmäßig, sondern in Schüben und wurde vor allem von Emotet (im zweiten Quartal 2020) und Dridex (Anfang 2021) verursacht.

Unbegrenzte Möglichkeiten lassen die Angreifer immer kreativer werden

Einer der Vorteile, den Cloud-Dienste für Cyberkriminelle bieten, ist die Verfügbarkeit mehrerer Tools innerhalb derselben Anwendung, um den bösartigen Inhalt zu übermitteln. Sobald beispielsweise eine Phishing-Seite in Google Forms eingerichtet ist, können die Angreifer Gmail nutzen, um die Nutzdaten zu übermitteln. Auf diese Weise fügen sie ein Element der Legitimität und der Verschleierung hinzu, da die Nachricht scheinbar von einer vertrauenswürdigen Quelle stammt. Dabei verfügt jede SaaS-Suite über mehrere Tools, die auf kreative Weise ausgenutzt werden können: So löst die Erwähnung einer Person in einem Kommentar eines Google-Dokuments eine E-Mail aus, die dazu missbraucht werden kann, bösartige Links zu Malware oder Phishing-Seiten zu übermitteln. Diese E-Mail erscheint dem ahnungslosen Nutzer völlig legitim, wodurch die Chancen deutlich steigen, dass er den bösartigen Links folgt. Diese Methode tauchte zum ersten Mal Ende 2020 auf und wird derzeit in mehreren Kampagnen ausgenutzt.

Die Risiken reduzieren

Fast zwei Drittel der Malware wird heute über Cloud-Anwendungen verbreitet: Das alte Motto „Erst denken, dann klicken“ ist aktueller denn je, wenn man die explosionsartige Zunahme von Cloud-Diensten betrachtet, die sowohl auf privaten als auch auf Unternehmensgeräten genutzt werden. Der aktuelle Cloud & Threat Report zeigt, dass ein Unternehmen mit 500 bis 2.000 Mitarbeitern im Jahr 2021 durchschnittlich 39 verschiedene Cloud-Storage-Apps nutzt. Diese Zahl ist nicht nur beeindruckend, sondern stellt auch einen Anstieg von rund 10 Prozent gegenüber den 35 Apps im Jahr 2020 dar.

Neben der Sensibilisierung und Schulung der Benutzer müssen Unternehmen jedoch auch auf ein Cloud-basiertes, kontext- und datengesteuertes Sicherheitsmodell umsteigen, um folgende Punkte umzusetzen und damit das Cyber-Risiko deutlich zu reduzieren:

  • Adaptive Zugriffskontrollen auf der Grundlage mehrerer Faktoren wie Benutzer, Anwendung, Anwendungsrisiko, Anwendungsinstanz, Gerät, Standort, Datensensibilität und Zielort, um selektiv Zugriff auf bestimmte Aktivitäten zu gewähren oder eine Step-up-Authentifizierung vor der Aktivität zu verlangen.
  • Zero Trust Network Access (ZTNA) für private Anwendungen in Rechenzentren und öffentlichen Cloud-Diensten, um die Exposition von Anwendungen zu reduzieren und laterale Bewegungen zu begrenzen.
  • Cloud-Inline-Analyse von gemanagten und nicht gemanagten Cloud-Apps für den Datenkontext sowie des Webverkehrs innerhalb einer SASE-Architektur, um den Schutz von Daten und Bedrohungen bei gleichzeitig schnellem Benutzererlebnis zu ermöglichen.
  • Selektive und sichere Aktivierung von Cloud-Apps auf der Grundlage einer umfassenden App-Risikobewertung mit der Möglichkeit, sicherere App-Alternativen über Echtzeit-Coaching und Warnungen zu empfehlen.
  • Granulare Richtlinienkontrollen für Datensicherheit, einschließlich Datenbewegungen zu und von Anwendungen, zwischen Unternehmens- und persönlichen Instanzen, Schatten-IT, Benutzern, Websites, Geräten und Standorten.
  • Fortschrittliche Analysen zur Visualisierung und Identifizierung von App- und Datenaktivitätsrisiken, Bedrohungsaktivitäten, Datenschutzverletzungen und wichtigen Sicherheitsmetriken.
  • Starke Authentifizierung und Identitätszugriffskontrollen wie SSO oder MFA, die mit gemanagten und nicht gemanagten Anwendungen und Cloud-Diensten verbunden sind.

Angesichts der immer ausgefeilteren Methoden zur Ausnutzung der Cloud in Verbindung mit dem Fortbestand hybrider Arbeitsmodelle müssen sich Unternehmen von den traditionellen Sicherheitsansätzen verabschieden und proaktiv Maßnahmen zur Risikominderung ergreifen. Gleichzeitig müssen sie flexibel bleiben, um die Vorteile der Cloudnutzung voll ausschöpfen zu können. Mit dem richtigen Sicherheitsansatz kann dies gelingen.

Paolo Passeri

Netskope -

Cyber Intelligence Principal

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.