Angriff aus der Wolke

Nicht nur Unternehmen und Nutzer profitieren vom Cloud-Computing – auch Kriminelle wissen höhere Rechenleistungen und verschlüsselte Datendienste zunehmend zu schätzen.

Cloud-Computing eröffnet Cyberkriminellen ganz neue Dimensionen. Operierten sie im vergangenen Jahrzehnt mittels Schadprogrammen und Zombie-Rechnern eher nach dem Gießkannen-Prinzip, steht ihnen nun mit dem Cloud-Computing eine professionelle Plattform für ihre Betrügereien zu Verfügung: zuverlässig, skalierbar und global einsetzbar.

Daten wie Kreditkartennummern, die heute in der Cloud gespeichert werden, sind ein lohnendes Ziel für Datendiebe. Denn die Daten sind nicht nur stark zentralisiert – Sicherheitsexperten und Polizei können die Übeltäter dort auch ungleich schwerer aufspüren als im herkömmlichen Netz. Die Cloud ist eine Art virtuelle Grand Central Station, in deren Getümmel sich jemand leicht in Gefilde mit anderem Rechtssystem absetzen kann, auf die Strafverfolger keinen Zugriff haben.

Dank Verschlüsselungstechnologien und anonymisierten Kommunikationskanälen, wie sie in der Cloud eingesetzt werden, können Kriminelle ihre Spuren leichter verwischen. Sollten sie doch geschnappt werden, können sie ihre Spuren so gründlich verwischen, dass Forensik-Experten keine Chance haben. Und nicht zuletzt bietet die Cloud auch eine immense Rechenleistung.

Versteckspiel leicht gemacht

Eine offensichtliche Möglichkeit ist, sich bei einem Cloud-Dienst anzumelden und ihn ganz „legitim“ für illegale Zwecke zu nutzen. So können Kriminelle etwa mit Hilfe des Maildienstes Gmail oder des Text-Sharing-Dienstes Pastebin ihre Pläne ausarbeiten oder gestohlene Informationen weitergeben. Geben Sie auf Pastebin.com einfach mal „Visa“ als Suchbegriff ein, und Sie werden sich wundern, wie oft dort ganz offensichtlich mit gestohlenen Kreditkartennummern gehandelt wird. Zwar verbieten die Allgemeinen Geschäftsbedingungen der meisten Cloud-Dienste solche Aktivitäten. Doch zu überwachen, ob sie eingehalten werden, ist kostspielig und für die Firmen kaum lohnenswert.

Kriminelle mit größeren Ambitionen nutzen wiederum gestohlene Kreditkarten, um sich Rechenzeit und Speicherplatz in der Cloud zu kaufen. Wer Kennwörter knacken will, macht dies heute nicht mehr auf einer Handvoll eigener Rechner, sondern lässt Cloud-basierte Programme laufen, die auf viele Rechner mit sehr viel mehr Kapazität zurückgreifen können.

Die meisten Sicherheitsprotokolle stammen noch aus der Zeit vor dem Cloud-Computing, als ein System als sicher galt, wenn es dem automatisierten, simplen Ausprobieren von PINs oder Passwörtern - dem so genannten Brute-Force-Angriff – für 30 Jahre standhalten konnte. Dank Diensten wie Elastic Computing Cloud von Amazon (EC2) kann ein Angreifer nun Rechenzeit auf Hunderten von Rechnern mieten, die viel schneller sind als die Computer jener Zeit, aus der die Sicherheitsprotokolle stammen. Die Folge: Das Knacken eines Kennworts, das früher 30 Jahre dauerte, gelingt heute - theoretisch - in einigen Tagen.

Sie halten das für spekulativ? Die Angreifer, die in das Playstation-Netzwerk von Sony einbrachen, nutzten nachweislich das EC2, um einige Kryptographie-Schlüssel zu knacken. In Hackerkreisen wurde bereits 2009 darüber nachgedacht, wie man sich EC2 zunutze machen könnte.

Richtig interessant wurde es jedoch im vergangenen Jahr, als Amazon seinem Cloud-Dienst Supercomputer-Leistungen hinzufügte, die auf Grafikkarten-Prozessoren basieren. Der deutsche IT-Sicherheitsexperte Thomas Roth hat ausgerechnet, dass man mit Hilfe der Amazon-Maschinen die gängige Verschlüsselung von WLANs in sechs Minuten knacken kann. Kosten laut Roth: 1,68 Dollar.

Taten ohne Fingerabdrücke

Ein Unternehmen, das Kriminelle von seinen Cloud-basierten Servern fernzuhalten versucht, ist Terremark Worldwide, eine Tochterfirma des Netzbetreibers Verizon. Laut Sicherheitschef Christopher Day hat das Unternehmen ein System entwickelt, um Nutzerkonten zu markieren, die den Eindruck erwecken, dass sie von Kriminellen eröffnet worden sind. Denn die würden dazu neigen, virtuelle Maschinen zu mieten, die maximale Rechenleistung, Prozessorgeschwindigkeit und Speicherplatz vereinen, so Day. Bestellungen solcher Konfigurationen würden inzwischen automatisch an die Sicherheitsabteilung von Terremark geleitet.

Die so genannte Virtualisierung, die Verteilung von Serverfunktionen auf viele verschiedene Geräte in Rechenzentren, macht es Behörden und Unternehmen jedoch zunehmend schwerer, Spuren zu verfolgen. Wird die virtuelle Maschine heruntergefahren, wird deren Speicheranteil an einem realen Server rasch für eine andere virtuelle Maschine freigegeben. Dadurch werden die Daten, die Kriminelle gespeichert hatten, überschrieben. Zwar können Forensik-Experten Daten aus einer laufenden virtuellen Maschine rekonstruieren, doch nach deren Abschaltung ist dies nahezu unmöglich – denn die Maschine hat im wahrsten Sinne des Wortes aufgehört zu existieren.

Mehr noch: Die Coud bietet Kriminellen die Möglichkeit, sich im wahrsten Sinne des Wortes „in Luft aufzulösen“. Denn viele Cloud-Anbieter werben mit der „geografischen Diversität“ ihrer Rechnerfarmen: Die virtuellen Maschinen können dabei an völlig verschiedenen realen Orte stehen. Dies lässt sich für grenzüberschreitende Angriffe ausnutzen: Server in den USA werden etwa mittels virtueller Maschinen in Asien angegriffen. Damit errichten die Angreifer juristische Hürden, weil der Ausgangspunkt des Angriffs außerhalb der US-Rechtsprechung liegt.

Phishing aus der Wolke

Auch Web-basierte Anwendungen, die mittels Cloud betrieben werden, eignen sich für Gaunereien. So berichtete die IT-Sicherheitsfirma F-Secure, dass sie wiederholt Phishing-Angriffe aus Google Docs, dem Dokumentendienst von Google, verzeichnet habe. Beim Phishing werden Nutzern Webseiten präsentiert, die wie bekannte, vertrauenswürdige Seiten aussehen, in Wirklichkeit aber auf fremden Servern liegen. Die zeichnen dann alle Daten auf, die der Nutzer eingibt und übermitteln sie an ihre sinistren Urheber.

Die machten sich real bereits die Möglichkeit zunutze, mit der Tabellenkalkulation von Google Docs Webformulare zu erstellen, etwa ein Formular für ein „Webmail Account Upgrade“ online. Dank Googles Verschlüsselungszertifikat wurden die Formulare vom Browser akzeptiert. Unbedarfte Nutzer gaben dann Usernamen, Kennwörter und andere Daten ein. „Das sind üble Angriffe, da die Phishing-Seiten auf google.com gehostet werden, samt gültigem Zertifikat“, schrieben die F-Secure-Analysten.

Kollateralschäden

Weil viele von uns inzwischen Cloud-Dienste nutzen, könnten Angriffe auf einen Schlag Millionen Nutzer und Hunderte von Firmen betreffen, selbst wenn die gar nicht das Ziel waren. Einige Fälle solcher „Kollateralschäden“ in der Cloud sind inzwischen bekannt. 2009 ging Twitter in die Knie, nachdem ein einzelner Blogger aus Osteuropa mit einer Denial of Service Attack angegriffen worden war. Nach einem ähnlichen Angriff aus China waren im vergangenen März 18 Millionen Blogs, die auf Wordpress.com gehostet sind, vorübergehend unerreichbar – darunter auch der populäre Blog TechCrunch.

Einige Sicherheitsexperten befürchten, dass Hacker über kurz oder lang Wege finden, die Infrastrukturen von Cloud-Diensten anzugreifen. Die sind meist gegen Angriffe von außen ausgelegt. Was passiert jedoch, wenn Nutzer selbst sich an der Cloud-Infrastruktur zu schaffen machen? Terremark zum Beispiel hatte Software-Werkzeuge gekauft, die virtuelle Maschinen zwischen Rechnern mit einem unverschlüsselten File-Transfer-Protokoll verschieben. Das bedeutet: Die virtuelle Maschine eines Kunden könnte infiziert werden, wenn sie einfach nur von Rechner A nach Rechner B gepackt wird. Ob es auf diese Weise bereits reale Infektionen gab, will Terremark-Mann Christopher Day nicht verraten. Das Unternehmen habe die Sicherheitslücke sofort geschlossen, nachdem sie entdeckt worden war.

Die genannten Beispiele sind nur ein kleiner Ausschnitt dessen, was möglich ist und bereits praktiziert wird. Der berühmte amerikanische Bankräuber Willie Sutton sagte einmal: „Man muss dahin gehen, wo das Geld ist.“ Aufs Netz übertragen heißt dies: Man muss dahin gehen, wo die Daten sind – und das ist zunehmend die Cloud. Es ist eine Ironie, dass Cloud-Dienste auch noch die Rechenleistung bieten, die für einen großangelegten digitalen „Bruch“ nötig ist. Nicht nur für Unternehmen, auch für Kriminelle verspricht die Cloud unbegrenzte Rechenleistung für sehr, sehr wenig Geld. (nbo)