Cloud-Anwendungen werden immer beliebter. Laut Bitkom Cloud Monitor 2017 nutzen mittlerweile 65 Prozent aller Unternehmen Cloud Computing. Sie haben den Mehrwert des webbasierten Arbeitens zu schätzen gelernt. Im Jahr 2012 war noch fast die Hälfte der Unternehmen (44 Prozent) eher kritisch und/oder ablehnend eingestellt, wenn es darum ging, geschäftskritische Daten in die Cloud zu verlagern. Ein deutlich geringerer Teil - lediglich 35 Prozent - stand damals der Cloud-Nutzung aufgeschlossen und interessiert gegenüber. Im Laufe der Jahre hat sich das Blatt gewendet: Im aktuellen Untersuchungszeitraum liegt die Zahl der Cloud-Befürworter bei 47 Prozent. Noch nicht so ganz über den Weg trauen den Cloud-Anwendungen nur noch 25 Prozent.
Foto: Ruslan Grumble - shutterstock.com
Die Cloud wirft Security-Schatten
Dies allerdings nicht zu Unrecht: Denn neben klaren Vorteilen wie effizienteren Arbeitsabläufen und Zugriff auf Daten von überall lauern auch bei Cloud-Anwendungen Gefahren. Viele kriminelle Hacker suchen nämlich genau hier gezielt nach Schwachstellen, um sich durch Exploits Zugang zu Ressourcen zu verschaffen und Schadsoftware zu verbreiten. Dienste aus der Public Cloud mit zum Teil mehreren hundert Millionen Nutzern sind beliebte Angriffsziele. Denn je mehr Unternehmen, beziehungsweise Mitarbeiter innerhalb eines Unternehmens auf kompromittierte Systeme zugreifen, desto erfolgreicher ist die Cyberattacke aus Sicht der Angreifer.
Da immer mehr geschäftskritische Daten in Private und Public Clouds migriert werden und "as-a-Service"-Modelle boomen, ist Cloud Security ein zentrales Thema. Dabei gilt es, möglichst viel Transparenz und Kontrolle über den Datentransfer zwischen Unternehmen und Cloud-Anwendungen zu erhalten: Wer darf von welchem Standort auf was zugreifen? Dürfen Daten hoch- oder auch heruntergeladen werden? Hat ein Mitarbeiter nur Lese- oder auch Schreibberechtigungen für sensible Dateien? Für welche Personen und auf welchen Geräten sind Social-Media-Aktivitäten erlaubt?
Diese und viele weitere Szenarien sollte ein Administrator im Rahmen der Cloud Security festlegen und regulieren können. Unterstützung erhält er hier durch sogenannte CASB- (Cloud Access Security Broker) Lösungen - die quasi als "Wächter" zwischen On-Premise-Infrastruktur des Unternehmens und Cloud-Anbietern darauf achten, dass Sicherheitsrichtlinien und Compliance-Anforderungen auch außerhalb der eigenen IT-Landschaft eingehalten werden.
Außerdem wichtig: die Skalierbarkeit einer Cloud-Sicherheitslösung und Reporting-Funktionen. Neue Anwender sollten sich über eine Active-Directory-Synchronisierung oder einen Import-Assistenten schnell hinzufügen lassen. Berichte, die der Administrator für die gesamte Organisation, bestimmte Abteilungen oder auch Einzelpersonen anfordern kann, liefern ihm den nötigen Sicherheitsüberblick.
Achtung, Phishing in der Cloud!
Phishing ist im Zusammenhang mit Cloud-Anwendungen eine vielversprechende Methode für Datendiebe. Ein Beispiel: Ein Mitarbeiter nutzt regelmäßig einen bestimmten Cloud-basierten File-Sharing-Dienst. Es kommt ihm sicher nicht ungewöhnlich vor, wenn er scheinbar von dem Anbieter eine Mail erhält. Zur Aktualisierung der Datenbank oder unter einem anderen Vorwand wird er darin um die Übermittlung von Benutzername und Passwort gebeten. Die E-Mail mag vielleicht aussehen, als käme sie vom Cloud-Anbieter, aber tatsächlich stammt sie aus der Feder krimineller Hacker. Gibt der Empfänger seine Anmeldedaten preis, bekommen die Angreifer den Zugang zu seinem Benutzerprofil quasi auf dem Silbertablett serviert.
Für Unternehmen ist es also essentiell, Mitarbeiter regelmäßig zu schulen. In Präventiv-Trainings lernen diese beispielsweise typische Merkmale einer Phishing-E-Mail kennen und können im Ernstfall richtig reagieren. Darüber hinaus sind spezifische Technologien für Web und E-Mail Security ein unverzichtbarer Teil eines modernen Sicherheitskonzepts. Dazu zählen E-Mail-Scans, die Spam und Nachrichten mit schädlichen Links erkennen, genauso wie Web-Filter, welche die Reputation von URLs prüfen und Malware-infizierte Internetseiten blockieren.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
So macht Multi-Faktor-Authentifizierung die Cloud sicher
Die beschriebenen Sicherheitsmechanismen kommen zum Einsatz, wenn Mitarbeiter bereits mit ihrer Arbeit beschäftigt sind. Doch was ist mit dem Schutz, wenn sie sich im Unternehmensnetzwerk anmelden? Passwörter alleine sind bieten hier längst keinen ausreichenden Schutz mehr. Laut dem aktuellen Verizon Data Breach Investigations Report stehen 81 Prozent aller Sicherheitsvorfälle in Zusammenhang mit gestohlenen, ausgespähten oder zu schwachen Passwörtern.
Es ist ratsam, auf Multi-Faktor-Authentifizierung statt auf eine Zwei-Faktor-Authentifizierungs-Lösung zu setzen. Gegenüber herkömmlichen Zwei-Faktor-Lösungen bietet die Multi-Faktor-Authentifizierung klare Vorteile. Denn erstgenannte Technologie stellt lediglich auf etwas ab, was man weiß (Benutzername und Passwort) und etwas, was man erhält (OTP, One-Time Passcode). Der Einmalpasscode kann dabei mit Hilfe verschiedener Verfahren übermittelt werden - per SMS, E-Mail, App oder über einen Security-Token.
Die Multi-Faktor-Authentifizierung bezieht hingegen bei jedem einzelnen Anmeldevorgang weitere Faktoren mit ein, wie etwa die Session-ID, die IP-Adresse, die Anzahl erfolgreicher Anmeldungen oder den Standort des Nutzers. Mögliche Kriterien sind auch die Art des Systems, das verwendete Gerät oder der Anmeldezeitpunkt. All diese Faktoren setzen die Anmeldung eines Users in einen bestimmten Kontext. Anhand dessen definiert die Authentifizierungslösung schließlich, ob die Anmeldung als vertrauenswürdig einzustufen ist.
Auf folgende Funktionen sollten Unternehmen bei Multi-Faktor-Authentifizierungs-Lösungen achten:
Alle Passcodes werden in Echtzeit zum Zeitpunkt der Anmeldung generiert.
Alle Passcodes werden der jeweiligen Session-ID zugeordnet. Jeder Zugriffsversuch lässt sich so auf ein einzelnes Gerät eingrenzen.
Die OTP-Gültigkeitsdauer und -Zustellungsart passt sich an den Kontext an, in dem sich der Anwender befindet.
Möglichkeit zur Sperrung von Zugriffen aus Hochrisiko-Ländern oder -Regionen.
Anwender erhalten Geo-IP-Informationen zu ihrer Anmeldung, um mögliche Man-in-the-Middle-Angriffe identifizieren zu können.
Jegliche Kommunikation zwischen den Komponenten erfolgt über eine AES-256-Bit-Verschlüsselung.
Der Authentifizierungsgrad sollte unterschiedlich hoch sein - je nachdem, ob sich ein Anwender innerhalb des Unternehmensnetzwerkes oder an weniger sicheren Orten wie zum Beispiel einem Flughafen befindet.
Fazit: Security rundum stärken, Admins entlasten
Ein Hackerangriff kann aus vielen Richtungen kommen: Als direkte Attacke über das Unternehmensnetzwerk, über infizierte E-Mails, Webseiten mit schädlichen Links, Schwachstellen in Cloud-Anwendungen oder gestohlene Passwörter - um nur ein paar Beispiele zu nennen. Insellösungen bieten hierbei keinen ausreichenden Schutz.
Unternehmen brauchen daher einen einheitlichen Sicherheitsansatz - mit einer Lösung, die auf mehreren Ebenen agiert und bei der verschiedene Tools zur Web-, E-Mail- und Cloud Security sowie -Authentifizierung zusammenarbeiten, um sämtliche Bedrohungsvektoren abzudecken. Dies sorgt nicht nur für einen umfassenden Schutz aller Unternehmensbereiche, sondern entlastet auch die IT-Administratoren deutlich. (fm)