Cloud für Unternehmen: Typische Angriffe und wie Sie sich schützen (2/4)
OAuth-Phishing, Password Spraying und andere Cloud-optimierte Angriffstechniken sind erstaunlich effizient. Nur wer sie kennt, kann sich schützen.
- Inés Atug
- Manuel Atug
Die Autoren dieser Serie zu "Cloud für Unternehmen" begleiten und analysieren seit vielen Jahren Cloud-Projekte. Im ersten Teil erklärten sie die typischen Fehler und wie man diese vermeidet. Jetzt geht es darum, welchen neuen oder zumindest deutlich vergrößerten Gefahren man sich im Rahmen einer verstärkten Nutzung von Cloud-Diensten aussetzt. Und natürlich wie man sich davor schützen kann.
Die Autoren bereiten den Inhalt der kompletten Serie auch gezielt für Administratoren, IT- und Datenschutzverantwortliche in einem heise-Security-Webinar auf: In die Cloud – aber sicher
Daten in der Cloud wecken die Begehrlichkeiten der Angreifer. Denn im Gegensatz zu den bisher im internen Netzwerk – durch mehrere Sicherheitsringe geschützten – scheinen diese wolkigen Daten in erreichbarer Nähe zu liegen. Doch auch die Infrastruktur selbst und insbesondere die Rechenressourcen sind ein veritables Ziel für Angreifer.
Angriffe auf Cloud-Dienste beginnen häufig damit, dass der Angreifer versucht, die Rechte von Personen, Rollen oder Diensten zu erlangen – im Jargon heißt das: den sogenannten Identitäts-Perimeter zu durchdringen. Damit hat er dann Zugriff auf Daten und/oder Management-Funktionen, die er für seine Zwecke missbrauchen kann.
Die Techniken der Angreifer sind nicht grundsätzlich neu. Sie basieren auf bereits bekannten Mustern. So ist es weiterhin der Benutzer oder Administrator, der in einem glaubhaften Kontext nach Benutzerdaten oder dem Gewähren von Berechtigungen gefragt wird. Auch die Verwendung von Passwörtern aus einem früheren Datenabfluss mit Zugangsdaten oder die Verwendung versehentlich veröffentlichter Access Keys, gehören zum bekannten Vorgehen. Doch bei Cloud-Konten haben es die Angreifer oftmals viel leichter.
Denn den Anwendern fehlt es häufig noch an spezifischem Wissen um die konkreten Angriffsszenarien und wie man sich davor schützt. Vorhandene und vom Cloud-Anbieter integrierte Sicherheitsmechanismen werden oft gar nicht oder unzureichend verwendet.
Password Spraying
Es gibt verschiedene Techniken, Zugangspasswörter systematisch durchzuprobieren. Bei einer Brute-Force-Attacke probiert der Angreifer zu einem Benutzerkonto einfach stumpf alle möglichen Passwörter durch. Beim Passwort Spraying hingegen versucht er, mit wenigen, häufig verwendeten Passwörtern eine große Anzahl von Konten durchzuprobieren. Das erweist sich in vielen Fällen als effizienter als Brute Force.
Denn in der Regel sind gegen Brute-Force-Angriffe Sicherheitsmechanismen implementiert. Mehrfache Fehleingabe des Passworts führt im einfachsten Fall dazu, dass das Konto vorübergehend gesperrt wird. Bessere Verfahren sorgen dafür, dass die Neueingabe erst nach einer Frist wieder möglich ist, die sich mit jedem Versuch verdoppelt und so den Angriff exponentiell verlangsamt. Sogenannte Tar-Pits (Teergruben) bremsen den Angreifer noch raffinierter aus. Da bekommt er nämlich keine Fehlermeldung, sondern muss einfach immer länger auf das Ergebnis seines Login-Versuchs warten.
Password Spraying umgeht all diese Schutzmechanismen, da der Angreifer pro Konto nur wenige Versuche startet. Man kann sie eigentlich nur über das Monitoring erkennen. In einem solchen Fall sollte zuerst überprüft werden, ob der Angriff erfolgreich war und ein erfolgreicher Login in den Log-Daten enthalten ist. Ein erster Schritt zu mehr Sicherheit in diesem Bereich ist der Versuch, den Einsatz von leicht zu erratenden Passwörtern zu verhindern. Hierzu bieten viele Cloud-Anbieter entsprechende Möglichkeiten wie die Kennwortsperrliste, die man in Azure Active Directory aktivieren kann.
Wer jedoch die Qualität seiner Schutzmaßnahmen auf ein neues Niveau heben will, kommt um neue Konzepte zum Schutz der (Cloud-)Identitäten nicht herum. Die Rede ist von Multifaktor-Authentifizierung (MFA) etwa mit Smartcards, App-Tokens (Time based One Time Passwords, TOTP) oder auch FIDO2. Deren Einführung sorgt dafür, dass ganze Klassen von möglichen Angriffen wie klassisches Phishing, Brute Force, Password Spraying und Passwort-Diebstahl durch Trojaner nicht nur schwerer werden sondern technisch nicht mehr möglich sind. Und das ist die Form von Schutz, die man haben will.
