Die Cloud ist nicht unantastbar

Bedrohungen, denen Cloud-Umgebungen ausgesetzt sind, decken sich in vielen Punkten mit den Gefahren für Inhouse-Netze. Oft fehlt Unternehmen der Überblick über die Anzahl der Geräte im Netz, was Hackern Vorteile bietet. Dieser Artikel deckt elf Risiken im Zusammenhang mit Cloud-Computing auf und gibt konkrete Empfehlungen dazu.

1. Datenlecks

Auf seine Daten achtet jeder Konzern selbst. Was einfach klingt, erweist sich im IT-Alltag oft als Lippenbekenntnis. Abhängig vom Geschäftsmodell sorgen Datendiebstähle auf vielerlei Weise für Schaden am Unternehmen. Neben Gewinneinbußen und rechtlichen Konsequenzen droht ein Vertrauensverlust der Kunden. Bei der Wahl eines Cloud-Anbieters sollten multifaktorielle Sicherheitskontrollen den entscheidenden Ausschlag geben. Was passieren kann, wenn diese Kontrollmechanismen fehlen, zeigt eine Standort-Tracking-App für Familien: Kürzlich konnten Cyber-Kriminelle auf die Daten der App Family-Locator zugreifen, mit deren Hilfe Familienmitglieder untereinander den Standort teilen. Durch eine unzureichend geschützte MongoDB-Datenbank standen dem Angreifer mehrere Wochen lang die Live-Standortdaten der 238.000 Nutzer zur freien Verfügung^[1].

Eine Studie des Ponemon-Institute^[2]  kam zu dem Schluss, dass Datendiebstahl für Cloud-basierte Unternehmen um ein Vielfaches mehr Schaden anrichtet als bei Inhouse-IT-Strukturen und mit gesteigerter Wahrscheinlichkeit vorkommt. 613 Mitarbeiter mit höherer IT-Funktion aus verschiedenen Unternehmen treffen in der Studie eine Aussage darüber, wie sicher sie sich gegenüber Datenlecks fühlen. Das Ergebnis ist ernüchtert: Der Großteil behauptet, die Sicherheitsvorkehrungen würden im eigenen Unternehmen den Risiken des Cloud-Computing nicht gerecht. Das liege an fehlendem Überblick aufseiten der IT über Geräte und Software in der Cloud. Auch dem Cloud-Provider gegenüber zeigen sich die Mitarbeiter skeptisch: Sie gehen nicht davon aus, im Falle eines Datenlecks hinreichend schnell benachrichtigt zu werden.

2. Unzureichendes Identitäts- u. Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen. Auf der einen Seite steht die Effizienz der Zentralisierung von Identität. Auf der anderen Seite stellt ein zentrales Verzeichnis, das Repository, ein lohnendes Angriffsziel dar. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffsschutz bauen. Diesen Schutz hätte auch Instagram gebraucht: Hier fand ein Sicherheitsforscher 2016 heraus, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwort-Wiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Das bekannte Online-Spiel Fortnite gewährte Hackern Anfang diesen Jahres durch einen Log-in-Bug Zugriff auf mehrere Millionen Accounts, mit denen sie Ingame-Einkäufe tätigen konnten.^[3]

3. System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe – so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

4. Neue Möglichkeiten für Kriminelle

Phishing und Betrug, zwei alte Bekannte, erreichen durch Cloud-Applikationen eine neue Dimension. Das Fälschen oder Manipulieren von Daten verhindern Unternehmen nur mit einem Sicherheitskonzept, das jede Aktion auf eine eindeutige Identität zurückführt. Jede Kombination von Zugangsdaten sollten sie gründlich schützen – keine leichte Aufgabe, die Innovationen in der Überwachung erfordert.

5. Böswillige Eingeweihte

Insider-Bedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spiele-Publisher Zynga^[4] erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ihr Ziel war es, sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Inside-Jobs sind gerade bei Cloud-basierten Unternehmen ein heikles Thema.^[5] Durch BYOD-Richtlinien gelangen Unternehmensdaten zunehmend auf private Geräte und der Überblick schwindet: Wann wurden Daten von Hackern entwendet, wann gingen sie einem Mitarbeiter aus Versehen verloren? Security-Verantwortliche brauchen Know-how und Feingefühl, um einen Kontrollmechanismus zu schaffen der wirkt, ohne zu überwachen – kein Mitarbeiter möchte das Gefühl haben, in einem Polizeistaat zu arbeiten.

6. Fortgeschrittene andauernde Bedrohungen

Die CSA bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing sowie Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegen Parasiten.

7. Keine Datensicherung, keine Gnade

Berichte über Datenverluste aufseiten der Cloud-Provider nehmen ab, obwohl Hacker sich nach wie vor angriffslustig zeigen und Daten aus Unternehmensstrukturen oder Rechenzentren löschen. Daher werden täglich geplante Datensicherungen zum Must-have. Wer noch mehr sichergehen will, trennt Daten physisch auf verschiedene Orte oder Netze.

8. Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste ohne Verständnis für die damit verbundenen Risiken nutzen, nehmen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. Daher müssen Entwickler eine umfassende Risikoprüfung, eine Due-Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

9. Schädliche Nutzung von Cloud-Services

Wer an die Hardware-Ressourcen hinter einer Cloud gelangt, dem gelingt es eine Armada von Geräten für sich zu nutzen. Hacker führen damit nicht nur simple DDoS-Attacken aus, sondern knacken auch Verschlüsselungen oder minen^[6] Crypto-Währungen. Attacken auf derartige Ressourcen haben meist zwei Dinge im Blick: Datendiebstahl beziehungsweise das Löschen von Unternehmensdaten und Downtime, die Teil einer weiteren Attacke sein kann oder dem anvisierten Unternehmen Umsatzeinbußen einbringt.

10. DoS-Attacken

Cyber-Kriminelle nutzen schon lange DoS-Attacken, die durch Anfragenüberflutung die Server des Zieles in die Knie zwingen. Sie erlangen aber durch Cloud-Services eine neue Bedeutung, da sie nun nicht mehr nur Internetseiten, sondern ganze Dienstleistungen paralysieren. Github, eine Cloud zum Teilen von Code, erlebte 2018 einen Rekord-Angriff. Sage und schreibe 1,35 Terabit Traffic pro Sekunde erreichten die Server und überforderten sie für mehrere Minuten^[7]. Laut Netscout, einem Anbieter von Produkten für Netzwerkleistungsmanagement, sorgen DoS-Attacken auf dem amerikanischen Markt pro Jahr für einen Schaden von 10 Milliarden US-Dollar^[8]. Auch die Quantität der Angriffe nimmt von Jahr zu Jahr stark zu.

11. Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle Ebenen. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die wesentlichen Bausteine.

[1] https://tcrn.ch/2VSGSsM

[2] http://bit.ly/2Wyw5Rs

[3] https://wapo.st/2VUcKNC

[4] http://bit.ly/2Lvj623

[5] http://bit.ly/2Vq2TQg

[6] http://bit.ly/2JpSzAw

[7] http://bit.ly/304BC4y

[8] http://bit.ly/2HcizOw

Bildrechte: Gronau IT Cloud Computing GmbH