Wie Unternehmen Zugänge, Ressourcen und Daten in der Cloud gefährden.
Immer mehr deutsche Unternehmen nutzen Ressourcen aus öffentlich zugänglichen Cloud-Umgebungen wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud. Laut dem jährlich erhobenen Cloud Monitor von Bitkom Research und KPMG ist der Anteil der Firmen, die auf die Public Cloud setzen oder den Einsatz planen, innerhalb der vergangenen fünf Jahre von 44 auf 68 Prozent gestiegen.
Mit der zunehmenden Nutzung wächst jedoch auch das Risiko, Opfer von Hackern zu werden. Der Sophos-Studie „The State of Cloud Security 2020“ zufolge verzeichneten weltweit 70 Prozent der Unternehmen innerhalb eines Jahres Sicherheitsprobleme und Datenpannen in der Public Cloud, in Deutschland waren es 61 Prozent. Zu den am häufigsten genannten Sicherheitsvorfällen zählten Malware-Angriffe (34 Prozent), Datenpannen (29 Prozent), Ransomware-Attacken (28 Prozent), kompromittierte Accounts (25 Prozent) und Cryptojacking (17 Prozent).
Gemeinsame Verantwortung
Viele Unternehmen glauben nach wie vor, dass sie sich mit dem Gang in die Cloud lästigen IT-Aufgaben weitestgehend entledigen können. Tatsächlich entbindet die Cloud-Nutzung das Anwenderunternehmen aber nicht von der Pflicht, für IT-Sicherheit zu sorgen. Gemeinsam mit dem Provider ist es für den Schutz seiner Accounts, Ressourcen und Daten verantwortlich. Die jeweiligen Anteile, die Provider und Anwenderunternehmen beizusteuern haben, sind je nach genutztem Bereitstellungsmodell unterschiedlich groß.
Bei Infrastructure-as-a-Service (IaaS) beispielsweise stellt der Provider lediglich virtualisierte Hardware-Ressourcen wie Rechenleistung, Speicher und Konnektivität zur Verfügung und garantiert deren Sicherheit. Für die Installation, Konfiguration und Sicherung aller höheren Schichten ist der Anwender selbst verantwortlich. Bei Software-as-a-Service (SaaS) bietet der Provider dagegen eine schlüsselfertige Lösung als Service an und verantwortet daher alle Ebenen bis hin zur Applikationsschicht. Der Nutzer kann aber deshalb nicht einfach die Hände in den Schoß legen. So muss er beispielsweise immer noch für einen Schutz der Nutzerkonten und der Daten sorgen. Auch Backup und Recovery fallen weiterhin in seinen Verantwortungsbereich.
Unternehmen sollten daher genau prüfen, welche Cloud-Ressourcen sie im Einsatz haben, und welchen Teil der Verantwortung sie selbst übernehmen müssen. Unter Überschriften wie „Shared Responsibility“ oder „Geteilte Verantwortung“ stellen die Provider Informationen und Diagramme zur Verfügung, die bei der Einschätzung helfen.
Die größten Fehler bei der Public-Cloud-Nutzung
Wenn Anwender diese Verantwortung nicht wahrnehmen, kommt es zu typischen Fehlern, die bei Sicherheitsanalysen immer wieder auftauchen:
– Falsche Konfiguration von Servern, Speicher und Netzwerkkomponenten: Offene Ports, fehlende Verschlüsselung und falsch gesetzte Parameter machen es Angreifern besonders leicht, denn sie brauchen weder Phishing-Mails noch Malware, um Accounts zu übernehmen oder Daten abzugreifen. Besonders gravierende Fälle gelangen regelmäßig an die Öffentlichkeit. So machte im vergangenen Jahr die britische Softwarefirma Probase Schlagzeilen. Ein bei ihr beschäftigter Entwickler hatte mehr als 500.000 sensible und geheime Dokumente in einem ungesicherten Massenspeicherbereich (Blob Storage) auf Microsoft Azure abgelegt. Cyberkriminelle haben es aber nicht nur auf ungeschützte Daten abgesehen, sie nutzen Fehlkonfigurationen auch, um Schadcode zu verbreiten. So konnten Hacker beispielsweise über offen zugänglichen S3-Speicher bei AWS schädlichen JavaScript-Code in Webseiten injizieren und dadurch Kreditkartendaten auf mehr als 17.000 Domains stehlen.
– Mangelnde Absicherung der Nutzerkonten: Noch immer gehören einfache Zahlenreihen wie „123456“ und leicht zu erratende Buchstabenkombinationen wie „passwort“ zu den meist verwendeten Kennwörtern in Deutschland. Werden Public-Cloud-Konten mit solch schwachen Zugangshürden gesichert, haben Angreifer leichtes Spiel. Aber selbst lange und komplexe Passwörter schützen nicht ausreichend vor einer Account-Übernahme. Hacker erbeuten immer wieder Datenbanken mit Millionen von Zugangsdaten, die sie für gezielte Angriffe verwenden können. Daher ist es besonders problematisch, dass laut den Microsoft-Experten Lee Walker und Alexander Weinert nur elf Prozent der Unternehmenskunden eine Mehrfaktor-Authentifizierung (MFA) nutzen. Dabei benötigt der Anwender zusätzlich zum Passwort einen zweiten Faktor, beispielsweise einen per SMS übermittelten Zugangscode oder ein Einmalkennwort, das von einer Authentifikator-App erzeugt wird. Wie Walker und Weinert auf der RSA Conference 2020 berichteten waren von 1,2 Millionen Konten, die im Januar 2020 kompromittiert wurden, 99,99 Prozent nicht durch MFA gesichert.
– Fehlendes Rechtemanagement: Konten mit erweiterten Rechten, sogenannte Privileged Accounts, stellen ein besonders hohes Sicherheitsrisiko dar. Werden sie kompromittiert, kann der Angreifer sich dank Adminrechten schnell im Netzwerk ausbreiten und weitere Ressourcen übernehmen. Oft entstehen solche Accounts mit umfassenden Rechten eher zufällig. Das beliebteste Beispiel ist der Auszubildende, der sämtliche Abteilungen durchläuft, und in jedem Fachbereich neue Zugangsrechte erhält. Am Ende seiner Ausbildung verfügt daher so mancher Azubi-Account über mehr Privilegien als der Geschäftsführer.
– Mangelnde Transparenz: Die einfache und schnelle Bereitstellung von Ressourcen ist einer der größten Vorteile der Public Cloud. Diese Einfachheit führt jedoch häufig auch zu Wildwuchs und Intransparenz. In den Fachabteilungen ist die Versuchung groß, einfach „mal schnell“ mit wenigen Mausklicks an der IT-Abteilung vorbei einen Cloud-Server zu starten oder eine Applikation zu buchen. Das führt zu erheblichen Sicherheitsrisiken, da solche Accounts oft nicht den Compliance- und Sicherheitsvorgaben des Unternehmens entsprechen.
Fazit
Public-Cloud-Umgebungen bieten ein Sicherheitsniveau, das vor allem kleine und mittlere Unternehmen niemals mit eigenen Mitteln selbst erreichen könnten. Die Security-Maßnahmen der Provider greifen allerdings nur dann, wenn die Anwender ihren Teil zur IT-Sicherheit beitragen, ihre Cloud-Ressourcen richtig konfigurieren, Konten ausreichend schützen sowie für eine Durchsetzung von Compliance-Regeln und Rechtsvorgaben sorgen. Eine leistungsfähige Next-Gen Security-Lösung wie die XG Firewall von Sophos kann bei diesen Aufgaben helfen. Sie schützt nicht nur Cloud-Applikationen und -Konten zuverlässig vor Hacking-Versuchen und Übernahmen, sondern sorgt durch integrierte Reports und ein interaktives Dashboard auch für Transparenz über alle wichtigen Vorgänge in der Cloud-Umgebung. Riskantes Benutzerverhalten kann ebenso erkannt und unterbunden werden wie die Kompromittierung von Accounts und Endgeräten. So geschützt, lassen sich die häufigsten Fehler bei der Public-Cloud-Nutzung zuverlässig vermeiden.