Cloud-Anwendungen erfordern neuen Sicherheitsansatz

Data Science ergänzt SSL

15.01.2016 von Gérard Bauer

Die Vorteile, die Cloud Computing bringt, stehen für die meisten Unternehmen mittlerweile außer Frage. Doch Zweifel an Security und Datenschutz sind auch ein Thema. SSL-Verschlüsselung allein ist dabei nicht ausreichend. Ein neuer Ansatz aus Data Science und maschinellem Lernen muss her.

Verschlüsselung alleine reicht in der Cloud nicht, um die Daten zu schützen.
Foto: Melpomene - shutterstock.com

Der Großteil der Cloud-basierten Services nutzt verschlüsselte Verbindungen vom Cloud-Host zurück zum On-Premise-Anwender. Die vermehrte Cloud-Nutzung wiederum führt zu einem Anstieg an verschlüsseltem Datentraffic. Die Konsequenz: es wird künftig immer schwieriger, diesen Traffic auf Hackerangriffe hin zu kontrollieren. Und die Hälfte der Unternehmen hierzulande setzt laut Cloud-Monitor 2015 des Branchenverbandes Bitkom bereits entsprechende Cloud-Dienste ein.

Laut Gartner werden 2017 beispielsweise über die Hälfte aller Attacken auf Unternehmen über verschlüsselten Traffic kommen, um so Kontrollen und Entdeckung zu umgehen. Heute sind es gerade einmal fünf Prozent. Und Hackerangriffe sind für deutsche Unternehmen laut der "IT-Security and Data Protection"-Studie der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS) das größte Risiko in Sachen Cloud Computing. Deshalb gilt es einen verlässlichen und sicheren Cloud-Partner zu finden, dessen Netzwerke umfassend geschützt sind, sowie eigene Ressourcen und digitale Assets bestmöglich mit einem vielschichtigen und mitdenkenden Sicherheitsansatz abzuschirmen.

Was SSL-Zertifizierung leisten kann

Doch schaffen Techniken wie die SSL-Verschlüsselung nicht bereits Abhilfe? Fest steht: Ein SSL-Zertifikat erhöht durch die Verschlüsselung der Client-Server-Kommunikation die Sicherheit im Datenaustausch. Deshalb nutzen auch Public-Cloud-Services verschlüsselte Verbindungen vom Server zum Anwender. Bei der wachsenden Zahl an Anwendungen, die in die Cloud migrieren, wird es immer schwieriger, den verschlüsselten Traffic auf Angriffe zu kontrollieren.

Die Herausforderung ist die Analyse der verschlüsselten Daten, denn dahinter können sich auch Angreifer verbergen.
Foto: Maksim Kabakou/shutterstock.com

Die Herausforderung bei der Analyse der verschlüsselten Daten besteht darin, dass Daten, die verschlüsselt in die Cloud transferiert werden, für eine Analyse erst entschlüsselt werden müssen, bevor diese analysiert werden können, um erneut verschlüsselt zu werden. Dieser Prozess ist rechenintensiv. Der Bedarf der Analyse solcher verschlüsselten Verbindungen ergibt sich aus der Tatsache, dass Verschlüsselungstechnologien mittlerweile auch von Hackern und Cyberkriminellen genutzt werden, um Netzwerke auszuspionieren.

Immer mehr Angreifer verwenden die Verschlüsselung als Mittel der Verschleierung. Dies macht es für präventive Sicherheitsprodukte am Perimeter oft unmöglich, eine signaturbasierte Erkennung durchzuführen, die das Angriffsmuster beschreibt. Da für Zero-Day-Attacks keine Muster verfügbar sind, muss man auf Technologien wie Sandboxing setzen, die ebenfalls auf eine Datenentschlüsselung angewiesen sind, um eine Analyse durchführen zu können.

Hat sich ein Angreifer erst einmal Zugang zum Netzwerk verschafft, kann er seinen Beutezug ganz ungehindert außerhalb des Überwachungsbereiches der Perimeterverteidigung vornehmen. Viele SSL-Techniken sind mittlerweile veraltet und angreifbar (Poodle-Angriff), wodurch diese die verschlüsselten Benutzerdaten nicht ausreichend schützen. Selbst lange sicher geglaubte Technologien wie die SSL-Verschlüsselung zeigen Schwachstellen, welche ausgenutzt werden können (SSL Heartbleed, Poodle Angriff).

Die Top-Trends 2016 der IT-Security-Anbieter

Risiko Programmierschnittstelle
Programmierschnittstellen werden ein neues beliebtes Ziel von Hackern. Ein erfolgreicher Angriff kann den Angreifern Zugriff zu riesigen Mengen an sensiblen Daten verschaffen. Wird eine unternehmenskritische Anwendung kompromittiert, sind Daten von allen Nutzern betroffen. Eine erfolgreich angegriffene Programmierschnittstelle, auch wenn sie verschlüsselt ist, öffnet Hackern die Türen zu sensiblen Informationen – ihnen steht dann der gesamte Anwendungsverkehr zur Verfügung.

Angriffe auf Datenintegrität
Manipulierte Daten werden die neue Cash Cow für Hacker. Mit der zunehmend vernetzten Welt entstehen große Datenmengen. Unternehmen nutzen diese, um Entscheidungen und Vorhersagen zu treffen. Um diese Entscheidungen zu beeinflussen, verändern Hacker über einen längeren Zeitraum hinweg die Daten – ohne sich bemerkbar zu machen. Sind Daten erst einmal verändert, handeln Unternehmen basierend auf falschen Informationen. Möglicherweise manipulieren Cyberkriminelle die Daten gar so, dass der Effekt ihrer Attacke erst nach mehreren Jahren zu spüren ist.

Krieg mit anderen Mitteln
Der Cyberkrieg wird weitergehen. Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungs-infrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht ein Mal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. Diese Taktik der „boots at home” wird erwartungsgemäß einer der ersten Schritte innerhalb der Kriegsführung sein. Sei es um zusätzliche Erkenntnisse zu gewinnen oder sei es um vorab Infrastrukturen und Kommunikationssysteme außer Gefecht zu setzen.

Angriffe auf Mitarbeitersysteme
Organisationen müssen ihre Sicherheitsstrategien deutlich verbessern. Daher werden Angreifer voraussichtlich ihren Schwerpunkt verlagern und Unternehmen über Mitarbeiter angreifen, indem sie sich über deren relativ unsichere Heimnetzwerke Zugang zum Unternehmen verschaffen.

Lagerung von gestohlenen Daten
Gestohlene persönliche Daten-Sets werden zusammen in großen „Data Warehouses“ verbunden, so dass diese Datensätze für Angreifer noch wertvoller werden. Im kommenden Jahr wird der Schwarzmarkt für gestohlene Daten wie Benutzernamen und Passwörter weiter wachsen.

Tipps für eine sichere Wolke

Da eine hundertprozentige Absicherung utopisch ist, sollten sich Unternehmen daher auf die Echtzeiterkennung(/Detection) stattfindender Attacken fokussieren und auf mitlernende Systeme setzen. Zudem sollten sie auch ihre Cloud Service Provider mit in die Pflicht nehmen, denn für die Überprüfung der Sicherheit auch bei ausgelagerten Diensten ist das Unternehmen selbst verantwortlich. Wer sich hier auf die Sicherungsmaßnahmen des Providers alleine verlässt handelt fahrlässig.

Wichtige Tipps für mehr Sicherheit in der Wolke sind deshalb:

Firmen sollten es soweit wie möglich vermeiden, unverschlüsselt sensible Daten in der Cloud zu speichern und auch unverschlüsselt zu übertragen.
Es sollte immer der letzte Verschlüsselungsstandard, zum Beispiel TLS beziehungsweise SSL 3.1 genutzt werden.
Ein Rechte- und Berechtigungsmanagement für genutzte Cloud-Dienste ist genauso wichtig wie ein sicherer Umgang mit Passwörtern.
Es müssen Prozesse geschaffen werden, wie mit bestimmten Ereignissen innerhalb einer Unternehmens umgegangen wird, wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt oder die Abteilung wechselt.

Nachteile der Verschlüsselung

Ist es Angreifern erst einmal gelungen, Zugriff zu Passwörtern und Daten zu erhalten, müssen Unternehmen optimal auf Attacken gegen ihr eigenes Netzwerk vorbereitet sein. Leider funktionieren Verschlüsselungstechniken sowohl für gute als auch schlechte Vorhaben. So dienen sie Cyberkriminellen als Methode der Verschleierung, um Fernzugriff zu erhalten, Anweisungen zu kontrollieren und digitale Assets zu infiltrieren. Wie gehen Unternehmen demnach vor, um die Flut an verschlüsseltem Traffic nicht zu einem sicheren Unterschlupf für schädliche Attacken und Bedrohungen werden zu lassen?

Verschlüsselt und dennoch sicher? Das versprechen neue Data-Science-Ansätze
Foto: Slavoljub Pantelic/shutterstock.com

Ein gern genutzter Ansatz sind Decryption (Entschlüsselung) und Kontrollpunkte innerhalb des Netzwerks, die den verschlüsselten Traffic abfangen und eine Replik entschlüsseln, um die zu überwachenden Inhalte besser überblicken zu können. Derartige Inspektionen können Fernbefehle und Kontrollsignale von Malware, Bot-Netzen und fortschrittlichen Attacken aufdecken. Sie können aber auch - ungewünschter Nebeneffekt - persönliche Transaktionen von Mitarbeitern sichtbar machen, wenn diese beispielsweise online shoppen oder bezahlen. SSL-Entschlüsselungslösungen haben noch einen Nachteil: Sie benötigen leistungsstarke Hardware, um die komplexen Decryption-Algorithmen zu fahren. Ferner müssen sie die Public-Key-Infrastructure-Zertifikate kennen. Des Weiteren sind sie meist sehr teuer und verringern die Performance.

Mit Data Science Angriffe abblocken

Ein anderer Ansatz sind deshalb Verfahren, die Bedrohungen und Angriffe in Echtzeit aufdecken, ohne dabei den Traffic zu entschlüsseln. Dies geschieht durch ein automatisiertes Bedrohungs-Management basierend auf Data Science, maschinellem Lernen und Verhaltensanalysen. Mithilfe dieser Kombination können IT-Experten und Firmen den verschlüsselten Cloud- und Netzwerk-Traffic innerhalb einer Organisation überwachen, Cyberangriffe rechtzeitig erkennen, priorisieren und bewerten. Der Fokus liegt dabei auf Verhaltensmustern statt auf den Inhalten des Netzwerk-Traffic. Die Sorge um Ver- und Entschlüsselung entfällt, es gilt stattdessen, ungewöhnliche Kommunikationsmuster zu erkennen und zu verstehen. Cyber-Bedrohungen lassen sich so erkennen und Gegenmaßnahmen einleiten, bevor sie sich im Netzwerk einnisten. Müssen Sicherheitsexperten eine Balance zwischen sicherem Cloud Computing und geschütztem Netz finden, gilt es mehr denn je einen umfassenden Ansatz zu wählen. Sie müssen sicherstellen, dass die Daten in der Cloud bestmöglich geschützt sind, sollten aber zugleich Technologien nutzen, die ihr Netzwerk verlässlich absichern.