Cloud Security Top 12

Sicherheitsrisiken in der Cloud

Fahmida Y. Rashid ist als Security-Autorin für unsere US-Schwesterpublikation InfoWorld tätig.
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Sind meine Daten in der Cloud sicher oder nicht? Sind sie zumindest compliant abgespeichert? Unternehmen sollten die Top-Bedrohungen in der Cloud kennen, um diese Fragen zu beantworten.

Das Thema Cloud-Security wird langsam zum IT-Evergreen. Unternehmen verlagern digitale Prozesse in die Wolke, sie speichern Daten bei global agierenden Cloud-Playern wie AWS, Google, Microsoft oder der Telekom. Dennoch gibt es immer einmal wieder Fragen und Sorgen um die Sicherheit von Cloud-Diensten - gerade bei kleineren Firmen, die dem Cloud-Braten nicht so recht trauen.

Der erste Schritt hin zu einer sicheren Cloud ist das Bewusstsein um die größten Bedrohungen - auf der jüngsten RSA Conference stellt die Cloud Security Alliance CSA die "Treacherous 12", also die "betrügerischen Zwölf" vor, die zwölf größten Sicherheitsrisiken in der Cloud, mit denen sich Unternehmen 2016 auseinandersetzen müssen.

Weil die Cloud-Architektur per se auf geteilte Ressourcen setzt, die im Bedarfsfall aktiviert und auch wieder deaktiviert werden, ergeben sich eine ganze Reihe von Sicherheitsproblemen, die es im Prä-Cloud-Zeitalter noch nicht gab, warnt die CSA. Firmeninterne Security-Richtlinien lassen sich leicht umgehen, die Schatten-IT wächst und gedeiht. Es braucht neue Kontrollmechanismen.

Datenverluste

Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze - sind aber durch die gespeicherten Datenmengen ein attraktiveres Angriffsziel. Der mögliche Schaden hängt - verständlicherweise - von dem Wert der an- und abgegriffenen Daten ab. Das öffentliche Interesse an gestohlenen Bank- und Kreditkartendaten mag zwar groß sein - der Verlust von Gesundheitsinformationen, Betriebsgeheimnissen und Intellectual Property ist aber meist wesentlich schmerzhafter.

Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.

Cloud Provider schützen ihre Dienste im Regelfall gut ab, letzlich sind es aber die Anwenderunternehmen, die für die Sichreheit ihrer Cloud-Daten verantwortlich sind. Die CSA empfiehlt eine Multifaktor-Authentifizierung und Verschlüsselung der Cloud-Daten.

Gestohlene Benutzerdaten

Mehrfaktor-Authentifizierungsarten wie Einmal-Passwörter, Authentifizierung per Telefon und Smartcards sichern Cloud-Dienste ab - Angreifer können sich schwieriger mit gestohlenen Credentials dort einloggen. Der Vorfall bei Anthem Healthcare, wo 80 Millionen Kundendatensätze abhanden kamen, resultierte beispielsweise aus einem Diebstahl von Login-Daten. Anthem hatte versäumt, eine Mehrfaktor-Authentifizierung zu implementieren - deshalb genügte ein einziges geknacktes Passwort, um an die Kundendatenbank zu kommen.

Viele Entwickler betten die Nutzerdaten und kryptografische Schküssel zwar im Quellcode ein, machen dann aber den Fehler, diese Informationen in öffentlichen Repositories wie GitHub einzustellen. Die CSA weist darauf hin, dass Schlüssel vernünftig abgesichert sein müssen und es einer geschützten Schlüssel-Infrastruktur bedarf. Die Schlüssel müssen zudem in regelmäßigen Abständen durchgewechselt werden, damit Angreifer die abgegriffenen Informationen nicht unbedingt direkt verwenden können.

Unternehmen, die ein föderiertes Identitätsmanagement mit einem Cloud-Provider planen, sollten die Security-Maßnahmen des Providers kennen, um die Plattform abzusichern. Identitäten in einem einzigen Repository zu zentralisieren, ist riskant. Unternehmen müssen abwägen, ob die Bequemlichkeit, die eine Zentralisierung mitbringt, das Risiko eines Angriffs überwiegt.

Geknackte Interfaces und APIs

Praktisch jeder Cloud-Dienst und jede Cloud-Anwendung bietet heutzutage Schnittstellen (APIs) zu weiteren Systemen. IT-Teams brauchen Interfaces und APIs, um mit Cloud-Diensten interagieren zu können - es geht um Provisioning, Management, Orchestierung und Monitoring.

Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. Schwache Interfaces und APIs setzen Unternehmen Sicherheitsheitsrisiken in den Bereichen Vertraulichkeit, Integrität, Verfügbarkeit und Haftung aus.

APIs und Interfaces geraten schnell ins Visier von Angreifern, weil sie in der Regel aus dem Internet erreichbar sind. Die CSA empfiehlt adäquate Kontrolle als "erste Linie der Verteidigung und Gefahrenerkennung." Anwendungen und Systeme für das Threat Modeling, unter anderem Data Flows und Architektur/Design, werden zu wichtigen Teilen des Development Lifecycle. Die CSA empfiehlt Code Reviews und Penetrationstests mit einem Fokus auf Sicherheit.

Ausgenutzte Schwachstellen

Schwachstellen im System und angreifbare Bugs in Anwendungen sind keine neuen Phänomene - durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden sie aber zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.

Glücklicherweise lassen sich Angriffe auf Systemlücken durch "grundlegende IT-Prozesse" vermeiden, so die Cloud Security Alliance. Als Best Practices erwiesen haben sich regelmäßige Schwachstellenscans, sofortiges Patch Management und schnelles Reagieren auf bekannt gewordene Bedrohungen.

Die Kosten einer solchen Absicherung des Systems "sind relativ klein im Verhältnis zu anderen IT-Ausgaben", heißt es im CSA-Bericht. IT-Prozesse aufzusetzen, die Schwachstellen aufzudecken und zu reparieren helfen, ist relativ preisgünstig, wenn man den drohenden Schaden ins Kalkül zieht. Unternehmen in regulierten Branchen müssen ihre Patches so schnell wie möglich einspielen, bevorzugt automatisiert, fordert die CSA. Prozesse zu Änderungssteuerung, die das Notfall-Patching adressieren, stellen sicher, dass Sicherheitsupdates ordentlich dokumentiert und von den technischen Einheiten überprüft werden können.