Das Thema Cloud-Security wird langsam zum IT-Evergreen. Unternehmen verlagern digitale Prozesse in die Wolke, sie speichern Daten bei global agierenden Cloud-Playern wie AWS, Google, Microsoft oder der Telekom. Dennoch gibt es immer einmal wieder Fragen und Sorgen um die Sicherheit von Cloud-Diensten - gerade bei kleineren Firmen, die dem Cloud-Braten nicht so recht trauen.
Der erste Schritt hin zu einer sicheren Cloud ist das Bewusstsein um die größten Bedrohungen - auf der jüngsten RSA Conference stellt die Cloud Security Alliance CSA die "Treacherous 12", also die "betrügerischen Zwölf" vor, die zwölf größten Sicherheitsrisiken in der Cloud, mit denen sich Unternehmen 2016 auseinandersetzen müssen.
Weil die Cloud-Architektur per se auf geteilte Ressourcen setzt, die im Bedarfsfall aktiviert und auch wieder deaktiviert werden, ergeben sich eine ganze Reihe von Sicherheitsproblemen, die es im Prä-Cloud-Zeitalter noch nicht gab, warnt die CSA. Firmeninterne Security-Richtlinien lassen sich leicht umgehen, die Schatten-IT wächst und gedeiht. Es braucht neue Kontrollmechanismen.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Datenverluste
Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze - sind aber durch die gespeicherten Datenmengen ein attraktiveres Angriffsziel. Der mögliche Schaden hängt - verständlicherweise - von dem Wert der an- und abgegriffenen Daten ab. Das öffentliche Interesse an gestohlenen Bank- und Kreditkartendaten mag zwar groß sein - der Verlust von Gesundheitsinformationen, Betriebsgeheimnissen und Intellectual Property ist aber meist wesentlich schmerzhafter.
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Cloud Provider schützen ihre Dienste im Regelfall gut ab, letzlich sind es aber die Anwenderunternehmen, die für die Sichreheit ihrer Cloud-Daten verantwortlich sind. Die CSA empfiehlt eine Multifaktor-Authentifizierung und Verschlüsselung der Cloud-Daten.
Gestohlene Benutzerdaten
Mehrfaktor-Authentifizierungsarten wie Einmal-Passwörter, Authentifizierung per Telefon und Smartcards sichern Cloud-Dienste ab - Angreifer können sich schwieriger mit gestohlenen Credentials dort einloggen. Der Vorfall bei Anthem Healthcare, wo 80 Millionen Kundendatensätze abhanden kamen, resultierte beispielsweise aus einem Diebstahl von Login-Daten. Anthem hatte versäumt, eine Mehrfaktor-Authentifizierung zu implementieren - deshalb genügte ein einziges geknacktes Passwort, um an die Kundendatenbank zu kommen.
Viele Entwickler betten die Nutzerdaten und kryptografische Schküssel zwar im Quellcode ein, machen dann aber den Fehler, diese Informationen in öffentlichen Repositories wie GitHub einzustellen. Die CSA weist darauf hin, dass Schlüssel vernünftig abgesichert sein müssen und es einer geschützten Schlüssel-Infrastruktur bedarf. Die Schlüssel müssen zudem in regelmäßigen Abständen durchgewechselt werden, damit Angreifer die abgegriffenen Informationen nicht unbedingt direkt verwenden können.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Unternehmen, die ein föderiertes Identitätsmanagement mit einem Cloud-Provider planen, sollten die Security-Maßnahmen des Providers kennen, um die Plattform abzusichern. Identitäten in einem einzigen Repository zu zentralisieren, ist riskant. Unternehmen müssen abwägen, ob die Bequemlichkeit, die eine Zentralisierung mitbringt, das Risiko eines Angriffs überwiegt.
Geknackte Interfaces und APIs
Praktisch jeder Cloud-Dienst und jede Cloud-Anwendung bietet heutzutage Schnittstellen (APIs) zu weiteren Systemen. IT-Teams brauchen Interfaces und APIs, um mit Cloud-Diensten interagieren zu können - es geht um Provisioning, Management, Orchestierung und Monitoring.
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. Schwache Interfaces und APIs setzen Unternehmen Sicherheitsheitsrisiken in den Bereichen Vertraulichkeit, Integrität, Verfügbarkeit und Haftung aus.
APIs und Interfaces geraten schnell ins Visier von Angreifern, weil sie in der Regel aus dem Internet erreichbar sind. Die CSA empfiehlt adäquate Kontrolle als "erste Linie der Verteidigung und Gefahrenerkennung." Anwendungen und Systeme für das Threat Modeling, unter anderem Data Flows und Architektur/Design, werden zu wichtigen Teilen des Development Lifecycle. Die CSA empfiehlt Code Reviews und Penetrationstests mit einem Fokus auf Sicherheit.
Ausgenutzte Schwachstellen
Schwachstellen im System und angreifbare Bugs in Anwendungen sind keine neuen Phänomene - durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden sie aber zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Glücklicherweise lassen sich Angriffe auf Systemlücken durch "grundlegende IT-Prozesse" vermeiden, so die Cloud Security Alliance. Als Best Practices erwiesen haben sich regelmäßige Schwachstellenscans, sofortiges Patch Management und schnelles Reagieren auf bekannt gewordene Bedrohungen.
Die Kosten einer solchen Absicherung des Systems "sind relativ klein im Verhältnis zu anderen IT-Ausgaben", heißt es im CSA-Bericht. IT-Prozesse aufzusetzen, die Schwachstellen aufzudecken und zu reparieren helfen, ist relativ preisgünstig, wenn man den drohenden Schaden ins Kalkül zieht. Unternehmen in regulierten Branchen müssen ihre Patches so schnell wie möglich einspielen, bevorzugt automatisiert, fordert die CSA. Prozesse zu Änderungssteuerung, die das Notfall-Patching adressieren, stellen sicher, dass Sicherheitsupdates ordentlich dokumentiert und von den technischen Einheiten überprüft werden können.