Die Tücken des Cloud-Computing

Ein Unternehmen ist für den Schutz seiner Daten selbst verantwortlich. Im Falle einer öffentlich gewordenen Datenpanne drohen Ermittlungsverfahren, Strafanzeigen, Rechtsstreitigkeiten und daraus resultierende Umsatzeinbußen sowie nachhaltiger Reputationsverlust. Daher gilt bei der Wahl des Cloud-Anbieters ein besonderes Augenmerk auf physische und digitale Sicherheitskontrollen zu werfen.

 

massive Datenpannen

Wie schwerwiegend eine Datenpanne sein kann, zeigt das Beispiel Yahoo: Das kalifornische Internetunternehmen bestätigte im September 2016, dass drei Jahre zuvor eine Milliarde Nutzerkonten gehackt wurden. Tatsächlich waren es sogar alle drei Milliarden Konten, wie im Oktober 2017 bekannt wurde.

Im Jahr 2017 legte ein falsch konfigurierter AWS-Simple-Storage-Service-Cloud-Storage-Bucket (S3) detaillierte und private Daten von 123 Millionen amerikanischen Haushalten offen. Der Datensatz gehörte Experian, einem Kreditbüro, das die Daten an ein Online-Marketing- und Datenanalyseunternehmen namens Alteryx verkaufte. Alteryx war es, welches die Datei offenlegte.

Im Jahr 2018 führte eine ungesicherte Elasticsearch-Datenbank, die sich im Besitz von Exactis befindet, zu einem weiteren massiven Bruch, der hochgradig persönliche Daten von 230 Millionen US-Verbrauchern enthielt. Der Datenbankserver war so konfiguriert, dass er öffentlich zugänglich war.

Im Jahr 2018 enthüllte Level-One-Robotics, ein auf Automatisierungsprozesse und Montage spezialisiertes Maschinenbauunternehmen, hochsensible, geschützte Informationen von mehr als 100 Fertigungsunternehmen. Darunter waren bekannte Marken wie Volkswagen, Chrysler, Ford, Toyota, General Motors, Tesla und ThyssenKrupp. In diesem Fall handelte es sich bei der fehlkonfigurierten Anlage um einen rsync-Backup-Server, der einen nicht authentifizierten Datentransfer zu jedem rsync-Client ermöglichte.

 

Unzureichendes Identitäts-, Credential- und Zugriffsmanagement

Datenverstöße sowie andere Angriffe resultieren häufig aus laxer Authentifizierung, schwachen Passwörtern und mangelhaftem Schlüssel- oder Zertifikatsmanagement. IT-Abteilungen müssen hier Nutzen und Risiken in einem Balanceakt abwägen: Auf der einen Seite steht die Effizienz von Zentralisierung der Identität. Auf der anderen Seite lauert die Gefahr, dass ein so wertvolles zentrales Verzeichnis (Repository) ein lohnendes Angriffsziel darstellt. Unternehmen sollten für höhere Sicherheit auf Multifaktor-Authentifizierung wie Zeitpasswörter, telefonbasierte Authentifizierung und SmartCard-Zugriffschutz bauen.

Diesen Schutz hätte auch Instagram gebraucht: Hier stellte ein Sicherheitsforscher 2016 fest, dass der Passwort-Reset-Prozess des sozialen Netzwerkes einem Angreifer erlaubte, sich Zugang auf die Passwortwiederherstellungsseite zu verschaffen, ohne Zugangsdaten einzugeben.

Im Dezember 2018 hackte ein deutscher Student durch schwache Passwörter geschützte Daten. Der 20-Jährige benutzte Passwörter wie Iloveyou und 1234, um sich in Online-Konten von Hunderten von Gesetzgebern und Persönlichkeiten einzuhacken, deren politische Haltung ihm missfiel. Deutsche Cyber-Sicherheitsbeamte enthüllten, dass Telefonnummern, Textnachrichten, Fotos, Kreditkartennummern und andere Daten, die mit 1.000 Abgeordneten, Journalisten und anderen Persönlichkeiten des öffentlichen Lebens in Verbindung standen, gestohlen, gesammelt und über Twitter und andere Online-Plattformen verbreitet worden waren.

Die Buchhaltungsfirma Deloitte erlebte am 25. September 2017 einen schweren Datenmissbrauch aufgrund eines schwachen Identitäts-, Ausweis- und Zugangsmanagements. Das Unternehmen gab bekannt, dass es einen Einbruch im globalen E-Mail-Server aufgrund eines schlecht gesicherten Administrator-E-Mail-Kontos festgestellt hatte. Der Datenabfluss ereignete sich im März 2017 und gab Angreifern angeblich einen privilegierten, uneingeschränkten Zugang zu allen Bereichen. Das Administratorkonto erforderte nur ein einziges Passwort und keinen zweistufigen Verifizierungsprozess. Die Angreifer kontrollierten den Server angeblich seit Oktober/November 2016. Die 244.000 Mitarbeiter von Deloitte nutzten den Microsoft Azure-Cloud-Service, um ein- und ausgehende E-Mails zu speichern. Zusätzlich zu den E-Mails hatten die Hacker möglicherweise auch Zugang zu Benutzernamen, Passwörtern, IP-Adressen (Internet Protocol), Architekturdiagrammen für Unternehmen und Gesundheitsinformationen. Einige E-Mails enthielten Anhänge mit sensiblen Sicherheits- und Designdetails. Darüber hinaus könnten die Hacker Zugang zu Benutzernamen, Passwörtern und persönlichen Daten von Blue-Chip-Kunden der Organisation gehabt haben.

Am 31. Mai 2017 nutzte ein Angreifer die AWS-Schlüssel von OneLogin, um Zugang zur AWS-Platform des Unternehmens zu erhalten. Er nutzte dafür eine Programmierschnittstelle (API) von einem Zwischen-Host mit OneLogin, einem anderen, kleineren Dienstleister in den USA, der Identitäts- und Passwortverwaltungsdienste anbietet. Sie bestätigten auch, dass es keine weiteren aktiven Bedrohungen gab.

Die Angreifer haben vor kurzem GitHub für Cloud-Service-Anmeldedaten missbraucht und ein Konto gekapert, um virtuelle Währung abzuschöpfen. Die in einem GitHub-Projekt enthaltenen Zugangsdaten eines Cloud-Dienstanbieters wurden innerhalb von 36 Stunden nach Inbetriebnahme des Projekts entdeckt und missbraucht.

Praetorian, ein in Austin/Texas ansässiger Anbieter von Informationssicherheitslösungen, startete ein neue Cloud-basierte Plattform, weiche die Rechenleistung von Amazon-AWS nutzt, um Passwort-Hashes zu knacken.

 

Unsichere Schnittstellen

IT-Teams nutzen Schnittstellen und APIs, um Cloud-Dienste zu verwalten und mit ihnen zu interagieren. Dazu gehören auch Services, die Cloud-Provisionierung, Management, Orchestrierung und Monitoring anbieten. Diese APIs und Schnittstellen stellen in der Regel den am stärksten exponierten Teil eines Systems dar, da sie zumeist offen über das Internet zugänglich sind. Die Cloud Security Alliance (CSA) empfiehlt sicherheitsorientierte Code-Überprüfungen und rigorose Penetrationstests. Sinnvoll sind in diesem Kontext API-Sicherheitskomponenten wie Authentifizierung, Zugriffskontrollen und Aktivitätsüberwachung.

Facebook bestätigte am 28. September 2018 eine erhebliche Datenverletzung, die mehr als 50 Millionen Konten betraf. Bereits im Juli 2017 soll Berichten zufolge eine Schwachstelle für den Diebstahl von Berechtigungsnachweisen in den Code von Facebook eingeführt worden sein. Das Unternehmen gab zu, dass es weder wusste welche Informationen gestohlen wurden, noch wie viele andere Benutzerkonten durch den Bruch kompromittiert wurden.

 

System-Schwachstellen

Organisationen teilen sich Speicher, Datenbanken und andere Ressourcen in unmittelbarer Nähe ─ so entstehen neue Angriffsflächen und Potenziale für ausnutzbare Fehler. IT-Teams können Angriffe auf solche System-Schwachstellen jedoch mit Basis-IT-Prozessen abmildern. Einer dieser Prozesse ist das zügige Patchen. Change-Control-Prozesse, die Notfall-Patches adressieren, stellen sicher, dass alle Korrekturmaßnahmen ordnungsgemäß dokumentiert und von Technik-Teams überprüft werden. Das optimale Zeitfenster hierfür beträgt vier Stunden.

 

Kontoübernahme

Phishing, Betrug und Software-Ausnutzungen sind nach wie vor erfolgreich. Cloud-Dienste verleihen diesen Bedrohungen eine neue Dimension, wenn Angreifer hier schädigende Aktivitäten forcieren, Transaktionen manipulieren und Daten ändern. Um dies zu vermeiden, sollten Unternehmen alle Konten inklusive Servicekonten überwachen und so jede Transaktion zu ihrem menschlichen Eigentümer zurückverfolgen können. Der Schlüssel ist, die Zugangsdaten jedes Kontos vor Diebstahl zu schützen.

Im Juni 2014 wurde der AWS-Account eines ehemaligen Code-Hosting-Dienstleisters kompromittiert, als es ihm nicht gelang seine Verwaltungskonsole mit einer Multi-Faktor-Authentifizierung zu schützen. Das Unternehmen Code-Spaces war gezwungen, nach der Zerstörung seiner Vermögenswerte zu schließen.

Im April 2010 ermöglichte ein Fehler beim Cross-Site-Scripting (XSS) von Amazon den Diebstahl von Berechtigungsnachweisen. Zahlreiche Amazon-Systeme wurden im Jahr 2009 gekapert, um Zeus-Zbot Netzknoten zu betreiben.

 

Böswillige Eingeweihte

Insider-Bedrohung hat viele Gesichter: ein aktueller oder ehemaliger Mitarbeiter, ein Systemadministrator, Auftragnehmer oder Geschäftspartner. Dabei reicht das Spektrum böswilliger Aktionen von forciertem Datenmissbrauch bis zu Datendiebstahl. Dies musste auch der Spiele-Publisher Zynga erfahren. Im November 2016 kopierten Mitarbeiter eine große Menge an Spielerdaten vom Google-Drive-Konto des Unternehmens auf einen USB-Stick. Ziel: Sie wollten sich nach Verlassen des Unternehmens der Konkurrenz anschließen. Systeme, deren Sicherheit ausschließlich vom Cloud-Serviceprovider abhängen, sind am stärksten gefährdet. Schutz bieten hier effektive Protokollierung sowie Überwachung und Auditierung von Administratoraktivitäten. Um die Zugriffsbelastung zu minimieren, sollten Organisationen mit Verschlüsselungsprozessen und Schlüsseln arbeiten sowie den Zugriff auf Systeme quantitativ minimieren.

Teslas harte Lektion über böswillige Insider-Bedrohungen (2018): „Der potenzielle Schaden, den ein Unternehmen durch böswillige Insider erleiden kann, wurde für Tesla-CEO Elon Musk zu einer harten Realität, als er seine Enttäuschung darüber zum Ausdruck brachte, dass er einen Saboteur in den Reihen von Tesla hatte. Die Person, die angeblich Sabotage gegen Tesla betrieb, war Berichten zufolge ein Mitarbeiter, der darüber verärgert war, dass er keine Beförderung erhalten hatte. Musk sagte, die Sabotage schloss die Verwendung falscher Benutzernamen ein, um Änderungen an dem im Tesla-Herstellungsbetriebssystem verwendeten Code vorzunehmen, sowie den Export großer Mengen hochsensibler Tesla-Daten an unbekannte Dritte. “

Einer der sechs schlimmsten Insider-Angriffe des Jahres 2018 hat bei der Punjab-National-Bank in Indien stattgefunden: „Wohl schädlicher als der Tesla-Vorfall ist jedoch ein Insiderbetrug in Höhe von 1,8 Milliarden Dollar bei der Punjab-National-Bank in Indien. Ein Mitarbeiter dieser Bank benutzte einen unbefugten Zugang zu einem äußerst sensiblen Passwort im SWIFT-Interbank-Transaktionssystem, um Gelder in einer hochkomplexen betrügerischen Transaktionskette freizusetzen, die von einem Diamantenhändler inszeniert wurde, um Rohsteine von Lieferanten zu kaufen.“

IBM-X-Force-Threat-Intelligence-Index 2018 erklärt: „Falsch konfigurierte Cloud-Server, vernetzte Backup-Vorfälle und andere falsch konfigurierte Systeme waren für die Aufdeckung von mehr als 2 Milliarden Datensätzen oder fast 70 Prozent der Gesamtzahl der kompromittierten Datensätze verantwortlich, die von X-Force im Jahr 2017 verfolgt wurden.

 

Fortgeschrittene andauernde Bedrohungen

Die Cloud-Security-Alliance bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme um Fuß zu fassen und exfiltrieren dann heimlich Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte sind neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing und Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme dafür, dass Benutzer wachsam und weniger anfällig dafür bleiben, einen Parasiten ins Netz zu lassen.

 

Datenverlust

Berichte über permanente Datenverluste aufgrund von Cloud-Provider-Fehlern sind äußerst selten geworden. Hacker jedoch zeigen sich nach wie vor von ihrer aktiven Seite, indem sie Cloud-Daten aus Unternehmen und Rechenzentren dauerhaft löschen. Hier empfehlen Cloud-Anbieter die Verteilung von Daten und Anwendungen, tägliche Datensicherung sowie Offsite-Speicher. Compliance-Richtlinien legen oft fest, wie lange Unternehmen Audit-Aufzeichnungen und andere Dokumente aufbewahren müssen ─ der Verlust dieser Daten kann schwerwiegende regulatorische Konsequenzen nach sich ziehen.

Im Jahr 2017 bestätigte der Technologie- und Cloud-Gigant Accenture kürzlich, dass er versehentlich einen riesigen Speicher privater Daten in vier ungesicherten Amazon-S3-Buckets hinterlassen hat. Dabei wurden hochsensible Passwörter und geheime Entschlüsselungsschlüssel offengelegt, die dem Unternehmen und seinen Kunden erheblichen Schaden hätten zufügen können. Die S3-Buckets enthielten Hunderte von Gigabyte an Daten für das Enterprise-Cloud-Angebot des Unternehmens, das nach Angaben des Unternehmens die Mehrheit der Fortune-100-Unternehmen unterstützt. Die Daten konnten ohne Passwort von jedem heruntergeladen werden, der die Web-Adressen der Server kannte.

Forscher des Kromtech-Sicherheitszentrums entdeckten eine Fundgrube von Daten, die zu Honda Connect App gehörte, welche online veröffentlicht wurde. Die Daten wurden auf zwei ungesicherten, öffentlich zugängliche und ungeschützte Amazon-AWS-S3-Buckets gespeichert.

 

Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste nutzen ohne diese und die damit verbundenen Risiken vollständig zu verstehen, müssen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf nehmen. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. An dieser Stelle müssen Entwickler eine umfassende Risikoprüfung (Due-Dilligence) durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

 

Missbrauch und schädliche Nutzung von Cloud-Services

Hacker können Cloud-Services zur Unterstützung ihrer kriminellen Aktivitäten einsetzen. Als Beispiel dient die Nutzung von Cloud-Computing-Ressourcen, um einen Verschlüsselungscode zu knacken und einen Angriff zu starten. Weitere Beispiele für missbräuchliche Praktiken sind DDOS-Angriffe, Spam-Nachrichten sowie das Hosting schädlicher Inhalte. Daher sollten Kunden vorab prüfen, ob ihr Cloud-Anbieter einen Mechanismus zur Meldung von Missbrauch anbietet. Auch wenn Kunden keine direkte Beute für böswillige Handlungen darstellen, kann der Missbrauch dennoch zu Problemen bei der Verfügbarkeit von Diensten und zum Datenverlust führen.

 

DoS-Attacken

Durch Belästigung oder Erpressung motivierte DoS-Attacken existieren schon seit Jahren. Sie haben dank Cloud-Computing wieder an Bedeutung gewonnen und beeinträchtigen die Verfügbarkeit von Cloud-Diensten. Systeme können sich zu einem Crawling verlangsamen oder komplett ausfallen. Mit einem solchen Totalausfall war auch das Australian Bureau of Statistics konfrontiert, als die Behörde 2016 versuchte die erste nationale Volkszählung komplett online durchzuführen. Trotz diverser Systemtests und Belastungsproben stürzte die Zensus-Website ab und ging in der Nacht der Volkszählung offline. Kein Australier war in der Lage, sein Volkszählungsformular auszufüllen. Laut CSA haben Cloud-Anbieter DoS-Angriffe tendenziell besser im Griff als ihre Kunden. Geschützt ist, wer einen Plan vorweist um Angriffe abzuschwächen bevor sie auftreten. Nur so behalten Administratoren Zugriff auf wesentliche Ressourcen, wenn sie diese benötigen.

 

Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die Bausteine.

 

Pierre Gronau

Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, moderne Cloud- und Automationslösungen sowie Informationsschutz.

 

 

Pierre Gronau


Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit moderne Cloud- und Automationslösungen sowie Informationsschutz.

Leave a Reply