Vorfälle bei Cloud Services und Hosted Infrastructure
Laut Kaspersky hatten 2019 immerhin 43 Prozent der Unternehmen Sicherheitsvorfälle, die Cloud Services von Drittanbietern betrafen. Vor allem für KMUs waren diese Vorfälle vergleichsweise teuer, da diese Betriebe oft besonders abhängig von gehosteten Diensten sind. Der durchschnittliche Vorfall, der die gehostete Infrastruktur von KMUs betraf, kostete 162.000 US-Dollar.
2019 wurden deutlich mehr Betrugsfälle bei Online-Zahlungen gezählt. Vor allem die kriminelle Gruppe Magecart war besonders fleißig: Sie verwendet Code, der die Vorteile von Fehlkonfigurationen in der Cloud nutzt, um Online-Einkäufe zu manipulieren. Oft merken die Kunden lange nichts, bis ihnen dann irgendwann die hohen Kosten auffallen.
Bei Cloud Services besteht die Gefahr, dass aufgrund von Konfigurationsfehlern Daten im Internet zugänglich gemacht werden. Angreifer scannen regelmäßig das Internet, um solche Daten zu erfassen. Glücklicherweise haben Cloud-Plattform-Anbieter wie Amazon und Google im Jahr 2019 Tools und Services eingeführt, die Unternehmen bei der optimalen Konfiguration ihrer Cloud-Systeme unterstützen und darauf aufmerksam machen, wenn Daten ungeschützt sind.
- Frank Kölmel, Palo Alto Networks
"Viele verlassen sich bei der Sicherheit ihrer Daten alleine auf den Provider. Public Cloud-Anbieter wie AWS übernehmen aber natürlich keine Endverantwortung, die liegt immer beim Anwender – doch nur ein Bruchteil der Unternehmen ist sich darüber im Klaren. Unsere Aufgabe besteht darin, das Bewusstsein dafür zu schaffen, Sinn zu vermitteln und nach und nach das nötige Know-How in die Unternehmen zu tragen. Bei dem Begriff „Cloud“ schwingt bei vielen ein Zwiespalt zwischen Produktivität und Sicherheit mit. Diese Fehleinschätzung gilt es zu überwinden, denn sichere und zugleich effiziente Clouds sind möglich." - Jan-Michael Sunkel, Telefonica Deutschland Holding
"In den Köpfen heißt Cloud meistens: Vereinfachung. Die Industrie steht aktuell noch am Anfang einer fundamentalen Entwicklung im Bereich Cloud und IoT. Neue Cloud-Lösungen lassen kontinuierlich neue Geschäftsmodelle und damit aber auch potentielle neue Risiken entstehen. Diese Risiken im Vorfeld nach allen erdenklichen Möglichkeiten zu eliminieren ist eine Herausforderung." - Jürgen Seiter, DXC Technology
"Als Servicedienstleister sehen wir uns oft mit dem Thema Outsourcing konfrontiert. Hier wird die Sicherheit teilweise sehr stiefmütterlich behandelt. Angesichts sich ständig ändernder Schnittstellen steigt die technische Komplexität – und genau hier tun sich viele Kunden schwer. Die Einführung umfassender Sicherheitsrichtlinien für Cloud und On-Premise Umgebungen sowie die Implementierung geeigneter Cloud Sicherheitskontrollen sind hierbei der Schlüssel zum Erfolg." - Kai Dörnemann, genua GmbH
"Der Effizienzgedanke hat sich mittlerweile auch im öffentlichen Sektor durchgesetzt, wo die private Cloud ein großes Wachstum verzeichnet. Die Public Cloud wird dort aber nie eine flächendeckende Alternative sein können. Beim Aufbau einer Infrastruktur ist die Einfachheit immer noch der beste Garant für Sicherheit. Jeder zusätzliche Layer erhöht die Komplexität und damit auch die Wahrscheinlichkeit von Sicherheitslücken." - Lukas Höfer, ConSol
"Es wird oft vergessen, dass laxe Sicherheit nicht erst seit der Cloud besteht. Ein mangelhafter Passwortschutz etwa konnte schon vorher einen immensen Schaden im Unternehmen verursachen. Durch die Cloud wird allerdings die Angriffsfläche noch einmal deutlich größer. In puncto Sicherheitsbewusstsein bestehen nicht nur große Unterschiede zwischen den Unternehmen, sondern sogar zwischen einzelnen Teams innerhalb einer Organisation. Insgesamt gilt hier noch viel zu oft die Devise „Effizienz vor Sicherheit”, obwohl mittlerweile so viele Tools verfügbar sind, die beides angemessen verbinden." - Oliver Lürssen, CGI Deutschland
"Die Erfahrungen von CGI zeigen, dass ein fehlendes Sicherheitskonzept zu einem großen Problem werden kann. Ähnlich wie beim Autofahren ohne Sicherheitsgurt tritt ein Bewusstseinswandel erst ein, wenn etwas passiert ist. Doch es lohnt sich, in Expertenwissen zu investieren. Sicherheit kann Kosten und Aufwände verursachen, aber sie stehen in keiner Relation zu den potenziellen Kosten und Schäden bei einem Cyberangriff." - Sebastian Spann, Microfocus
"Die digitale Transformation erlaubt es Mitarbeitern heute flexibel über unzählige Systeme, Anwendungen und Geräte auf Daten und geistiges Eigentum zugreifen, um Aufgaben zeit- und ortsunabhängig zu erledigen. Die Folge sind Risiken durch zahlreiche Schwachstellen und mögliche Compliance Verstöße. Um die Vielfalt der Cyber-Risiken in Echtzeit bewerten und kontrollieren zu können, sollten Unternehmen einen ganzheitlichen End-to-End Security Ansatz fahren. In großen Unternehmen hat das Thema Security an Wichtigkeit zugenommen und es bereits in den Boardroom geschafft. Kleinere und mittlere Unternehmen müssen hier dringend aufholen, um den Sicherheitsanforderungen bei der Voranschreitenden Digitalisierung Rechnung zu tragen. Viele sehen die Verantwortung alleinig beim Provider, der aber niemals die volle Haftung übernehmen kann. Dementsprechend sollte hier ein Model der „Shared Responsibility“ angestrebt werden, welches durch den Einsatz unserer softwarebasierten Sicherheitslösungen umgesetzt werden kann." - Thomas Neumann, SHE Informationstechnologie
"Durch die Cloud und die rasante technologische Entwicklung wird Security für Unternehmen weniger planbar und zum „Moving Target”. Wo es früher reichte, bestimmte Maßnahmen zu definieren und umzusetzen, ist Sicherheit heute eher eine infrastrukturelle Frage. Dabei gilt: Wer die Security von Anfang an berücksichtigen will, muss sie zum Teil des Entwicklungsprozesses machen. Doch man kann von hochspezialisierten Entwicklern nicht erwarten, dass sie dies von heute auf morgen einfach so „mitdenken”. So etwas funktioniert nur, wenn die richtigen Personen in den DevOps-Prozess integriert werden." - Michael von der Horst, Cisco Systems GmbH
"Die Frage, inwieweit man selbst bei der Nutzung von Cloud-Angeboten für Sicherheit verantwortlich ist hängt sehr vom Einsatz ab. Bei SaaS ist i.w. der Anbieter in der Verantwortung, bis auf Authentizierungs- und Autorisierungsthemen. Bei der Auslagerung von Infrastruktur muss ich diese genauso in der virtuellen Welt schützen, wie ich es einer physischen Data-Center-Welt machen würde. Hinzu kommt noch die Absicherung der Schnittstellen. Am besten verwendet man dazu eine integrierte 360° Sicherheitsarchitektur."
Im Jahr 2020 steht zu befürchten, dass der Erfolg von Verbrecherkartellen wie Magecart Nachahmer finden wird. Unternehmen werden wohl oder übel mehr für die Cloud-Sicherheit ausgeben müssen. Laut der IDG-Studie "Security Priorities" setzen nur 27 Prozent der Unternehmen Lösungen für den Cloud-Datenschutz ein, aber 49 Prozent sind in der Evaluations- oder Testphase.
Unternehmen sollten im neuen Jahr Quellcode-Reviews ihrer E-Commerce-Skripte vornehmen und dafür sorgen, dass veränderte Skripte nicht ohne ihre Zustimmung geladen werden können. Außerdem sollten sie sicherstellen, dass die Cloud-Provider der Wahl ihren Code regelmäßig prüfen, um Betrug zu verhindern. Wichtig sind zudem kontinuierlich getaktete Prüfroutinen, um Konfigurationsfehler zu verhindern, in deren Folge Daten im Internet unbemerkt für Dritte zugänglich werden könnten.
IoT-Sicherheitslücken
Das Internet of Things (IoT) ist 2019 zu einem großen IT-Sicherheitsfaktor geworden, auch weil es schwer fassbar und in seiner Entwicklung kaum vorhersagbar ist. Die Marktforscher von Statista erwarten, dass es 2020 zwischen 6,6 und 30 Milliarden Geräte mit Internet-Anschluss geben wird - die enorme Bandbreite zeigt, wie unscharf und schwer vorhersagbar diese Entwicklung ist.
Die Bedrohung, die das IoT darstellt, ist offensichtlich. Die Studie "Marsh Microsoft 2019 Global Risk Perception" ergab, dass zwei Drittel der Befragten IoT als Cyberrisiko ansehen und 23 Prozent sogar ein "extrem hohes" Risiko fürchten.
"IoT-Geräte sind einfache Ziele für Angreifer, weil sie oft nicht gepatcht und falsch konfiguriert sind. Sie sind nicht verwaltet, weil sie keine Endpoint-Sicherheitsagenten unterstützen", stellt Phil Neray fest, Vice President für Industrial Cybersecurity bei CyberX. IoT-Geräte ließen sich einfach kompromittieren und könnten Eindringlingen helfen, in einem Unternehmensnetzwerk Fuß zu fassen, destruktive Ransomware-Angriffe auszuführen, sensibles geistiges Eigentum zu stehlen und Rechenressourcen für DDoS-Kampagnen und Cryptojacking zu kapern.
Im Global IoT/ICS Risk Report für 2020 listet CyberX die häufigsten Sicherheitslücken auf, die IoT-Geräte in den letzten zwölf Monaten anfällig werden ließen. In einigen Bereichen gibt es demnach deutliche Verbesserungen: So ließen sich weniger Geräte remote steuern (54 statt 84 Prozent im Vorjahr), auch die direkten Internetverbindungen gingen zurück. Auf der anderen Seite wurden veraltete Betriebssysteme in 71 Prozent der analysierten Standorte gefunden, im Jahr zuvor waren es noch 53 Prozent. Zwei von drei Unternehmen versäumten es, automatisiert Antiviren-Updates vorzunehmen - im Vorjahr waren es nur 43 Prozent.
Neray sieht für 2020 das Risiko, dass mit der Menge der IoT-Geräte auch die Zahl der offen zugänglichen Gadgets steigen wird. Das sähen auch die potenziellen, teilweise staatlich gelenkten Angreifer. Energieversorger, Produktionsunternehmen sowie die Branchen Chemie, Pharmazie sowie Öl und Gas seien besonders gefährdet. Man müsse teure Stillstände von Produktionsanlagen, Umweltskandale und Angriffe auf die menschliche Sicherheit befürchten.
Der CyberX-Experte identifiziert Systeme für das Gebäudemanagement als ein Hauptziel für Angreifer. "Solche Systeme werden in der Regel von Facility-Management-Teams mit geringer Sicherheitskompetenz eingesetzt. Geräte sind vielfach offen im Internet zugreifbar, von den unternehmensweiten Security Operations Centern (SOCs) werden sie nicht überwacht."
Unternehmen sollten eine starke Netzwerksegmentierung vornehmen und Vertragspartnern nur einen eingeschränkten und streng kontrollierten Zugang zu Industrienetzen gewähren (Passwort-Management-Software, zwei-Faktor-Authentifizierung). Ferner empfiehlt sich eine agentenlose Netzwerksicherheits-Überwachung, um IoT-Angriffe schnell erkennen und abwehren zu können - noch bevor die Gegner Anlagen manipulieren oder abschalten können.
Am Ende hängt die Verteidigung vor allem von organisatorischen Ansätzen ab, weniger von technischen. "Beim TRITON-Angriff auf die Sicherheitssysteme einer petrochemischen Anlage in Saudi-Arabien zum Beispiel war das zentrale Problem, dass sich niemand verantwortlich für die Sicherheit des industriellen Steuerungsnetzes fühlte", so Neray.
"Das führte dazu, dass es schwere Mängel bei der Sicherheitsüberwachung gab und niemand überprüfte, ob die Firewalls in den Netzwerken auch der outgesourcten Unternehmen richtig konfiguriert worden waren." Es sei wichtig, so Neray, dass CISOs die volle Verantwortung für die IoT- und die OT-Sicherheit übernähmen, beide ganzheitlich neben der IT-Sicherheit behandelten und in die SOC-Workflows und Sicherheits-Stacks integrierten.
Cryptojacking
Zum Abschluss noch ein paar gute Nachrichten: Die Zahl der Cryptomining-Angriffe soll 2020 zurückgehen. Gemeint sind Angriffe, bei denen fremde Rechner gekapert werden, um sie für das Schürfen von Online-Geld zu missbrauchen. Obwohl diese Attacken weder bei Konzernen noch bei KMUs besonders häufig auftauchten, erwiesen sie sich 2019 als kostspielig. Der durchschnittliche finanzielle Schaden betrug 1,62 Millionen US-Dollar.
Entsprechende Vorfälle entwickeln sich im Einklang mit den Kryptowährungen - und die haben 2019 an Bedeutung verloren. "Wir sehen keinen Grund zu der Annahme, dass sich dieser Trend 2020 drehen wird", sagt Kaspersky-Manager Galov. Unternehmen sollten dennoch auf eine Sicherheitslösung setzen, die Cryptomining-Bedrohungen erkennt und auch die Kryptowährungen im Auge behält. Gehen sie steil nach oben, dürfte das zu weiteren Angriffen führen, die den Diebstahl von Kryptowährungen zum Ziel haben. (hv)