Cloud Security Top 12

Sicherheitsrisiken in der Cloud

29.03.2016
Von  und
Fahmida Y. Rashid ist als Security-Autorin für unsere US-Schwesterpublikation InfoWorld tätig.


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Account Hijacking

Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. Darüber hinaus lassen sich die Cloud-Dienste selbst dazu verwenden, Angriffe zu starten.

Eine gängige Verteidungspraxis sollte derartige Gefahren begrenzen. Unternehmen sollten die gemeinsame Nutzung von Accounts zwischen Anwendern und Services verbieten und wenn möglich Mehrfaktor-Authentifizierung aktivieren. Accounts, auch Service-Accounts, sollten laut CSA überwacht werden, damit jede Transaktion zu einer Person nachverfolgt werden kann. Letztlich geht es bei allem darum, den Diebstahl von Nutzerdaten zu verhindern.

Insider mit bösen Absichten

Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. Systeme, deren Sicherheit gänzlich von einem Cloud Service Provider abhängt, sind am besonders bedroht - wie beispielsweise Verschlüsselungsdienste.

Die CSA empfiehlt, dass ein Unternehmen die Kontrolle über seinen Verschlüsselungsprozess und die Schlüssel selbst behält und die Zuständigkeiten aufteilt, um einem einzelnen Nutzer so wenig Zugriffsrechte wie möglich einräumen zu müssen. Effizientes Logging, Monitoring und Auditing von Admintätigkeiten sind gleichermaßen wichtige Punkte.

Aber Achtung: Es ist schnell pasiert, dass ein automatisierter "Routine-Job" als Angriff von innen misinterpretiert wird. Als Beispiel sei hier ein Administrator angeführt, der versehentlich eine Kundendatenbank auf einen öffentlich zugänglichen Server kopiert. Hier helfen nur viel Security-Awareness-Training und entsprechendes Security-Management.

Der APT-Parasit

Eine "parasitäre" Form des Angriffs nennt die CSA die sogenannten Advanced Persistent Threats (APTs). Diese unterwandern Systeme auf eine raffinierte Weise, um über einen längeren Zeitraum hinweg unbemerkt Daten und Intellectual Property aus einem Unternehmen abzuziehen.

APTs bewegen sich in der Regel "seitlich" durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.

Übliche APT-Eintrittsvarianten sind Spear Phishing, direkte Attacken, Malware-verseuchte USB-Sticks und kompromittierte Netze Dritter. Um dem entgegen zu wirken, empfiehlt die CSA Mitarbeiter im Erkennen mögliche Formen des Phishings zu schulen.

Obligatorische Awareness-Programme für die Mitarbeiter und eine IT-Abteilung, die sich laufend über aktuelle Bedrohungen informiert, halten die Aufmersamkeit hoch und verhindern so indirekt, dass APTs erfolgreich sind. Fortgeschrittene Security-Tools, ein durchdachtes Prozess-Management, Pläne für Incident Response und IT-Schulungen kosten natürlich auch viel Geld - Unternehmen müssen deshalb hier erneut eine Kosten-Nutzen-Abschätzung treffen.

Dauerhafter Datenabfluss

Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. Als weiterer Risikofaktor für diese Daten kommen Naturkatastrophen hinzu, für die ein Cloud-Rechenzentrum genauso anfällig ist wie jedes andere Gebäude auch.

Um den Schutz zu erhöhen, sollten die Cloud-Daten und -Anwendungen über mehrere Standorte hinweg verteilt werden. Tägliche Backup-Routinen, Sicherungskopien an anderen Standorten sowie Maßnahmen in Business Continuity und Disaster Recovery sind ebenso zu beachten.

Wer muss sich darum kümmern, dass Datenabfluss vermieden wird? Nicht nur der Cloud Service Provider! Wenn ein Kunde seine Daten verschlüsselt, bevor er sie in die Cloud schickt, hat er auch dafür zu sorgen, dass der Schlüssel sicher verwahrt wird. Ist er nämlich einmal weg, sind auch die verschlüsselten Daten unwiderbringlich verloren.

In Compliance-Richtlinien ist oft festgehalten, wie lange Unternehmen Auditierungsunterlagen und andere Dokumente noch vorhalten müssen. Gehen diese Daten zu früh verloren, drohen regulatorische Konsequezen. Im Rahmen der Europäische Datenschutzrichtlinien ist noch zu beachten, dass der Verlust oder die Manipulation von persönlichen Daten im Rahmen eines Angriffs umgehend gemeldet werden muss.

Fehlende Sorgfalt

Unternehmen, die die Cloud nutzen, ohne aber die volle Palette ihrer Risiken zu kennen, sehen sich laut CSA "mit einer Unmenge von wirtschaftlichen, technischen und juristischen Gefahren" konfrontiert. Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist "gebührende Sorgfalt" angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.

Entwicklerteams, die sich nicht mit neueingeführten Cloud-Umgebungen vertraut machen (können), werden schnell Probleme in der täglichen Arbeit bekommen, wenn eine Kompatibilität der bestehenden Altanwendungen mit dem neuen System nicht mehr gegeben ist.

Ergo: Unternehmen müssen sich sehr sorgfältig mit den gewünschten Cloud-Diensten auseinandersetzen, bevor diese zum Einsatz kommen.