Sicherheitsrisiken in der Cloud

Sind meine Daten in der Cloud sicher? Sind sie zumindest compliant abgespeichert? Unternehmen sollten die Top-Bedrohungen in der Cloud kennen, um diese Fragen zu beantworten. [...]

ACCOUNT HIJACKING
Phishing, Betrug und Software Exploits sind immer noch erfolgreich – Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. Darüber hinaus lassen sich die Cloud-Dienste selbst dazu verwenden, Angriffe zu starten.

Eine gängige Verteidungspraxis sollte derartige Gefahren begrenzen. Unternehmen sollten die gemeinsame Nutzung von Accounts zwischen Anwendern und Services verbieten und wenn möglich Mehrfaktor-Authentifizierung aktivieren. Accounts, auch Service-Accounts, sollten laut CSA überwacht werden, damit jede Transaktion zu einer Person nachverfolgt werden kann. Letztlich geht es bei allem darum, den Diebstahl von Nutzerdaten zu verhindern.

INSIDER MIT BÖSEN ABSICHTEN
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette – von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. Systeme, deren Sicherheit gänzlich von einem Cloud Service Provider abhängt, sind am besonders bedroht – wie beispielsweise Verschlüsselungsdienste.

Die CSA empfiehlt, dass ein Unternehmen die Kontrolle über seinen Verschlüsselungsprozess und die Schlüssel selbst behält und die Zuständigkeiten aufteilt, um einem einzelnen Nutzer so wenig Zugriffsrechte wie möglich einräumen zu müssen. Effizientes Logging, Monitoring und Auditing von Admintätigkeiten sind gleichermaßen wichtige Punkte.

Aber Achtung: Es ist schnell pasiert, dass ein automatisierter „Routine-Job“ als Angriff von innen misinterpretiert wird. Als Beispiel sei hier ein Administrator angeführt, der versehentlich eine Kundendatenbank auf einen öffentlich zugänglichen Server kopiert. Hier helfen nur viel Security-Awareness-Training und entsprechendes Security-Management.

DER APT-PARASIT
Eine „parasitäre“ Form des Angriffs nennt die CSA die sogenannten Advanced Persistent Threats (APTs). Diese unterwandern Systeme auf eine raffinierte Weise, um über einen längeren Zeitraum hinweg unbemerkt Daten und Intellectual Property aus einem Unternehmen abzuziehen.

APTs bewegen sich in der Regel „seitlich“ durch ein Netzwerk und mischen sich unter den normalen Datenverkehr – entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.

Übliche APT-Eintrittsvarianten sind Spear Phishing, direkte Attacken, Malware-verseuchte USB-Sticks und kompromittierte Netze Dritter. Um dem entgegen zu wirken, empfiehlt die CSA Mitarbeiter im Erkennen mögliche Formen des Phishings zu schulen.

Obligatorische Awareness-Programme für die Mitarbeiter und eine IT-Abteilung, die sich laufend über aktuelle Bedrohungen informiert, halten die Aufmersamkeit hoch und verhindern so indirekt, dass APTs erfolgreich sind. Fortgeschrittene Security-Tools, ein durchdachtes Prozess-Management, Pläne für Incident Response und IT-Schulungen kosten natürlich auch viel Geld – Unternehmen müssen deshalb hier erneut eine Kosten-Nutzen-Abschätzung treffen.

DAUERHAFTER DATENABFLUSS
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. Als weiterer Risikofaktor für diese Daten kommen Naturkatastrophen hinzu, für die ein Cloud-Rechenzentrum genauso anfällig ist wie jedes andere Gebäude auch.

Um den Schutz zu erhöhen, sollten die Cloud-Daten und -Anwendungen über mehrere Standorte hinweg verteilt werden. Tägliche Backup-Routinen, Sicherungskopien an anderen Standorten sowie Maßnahmen in Business Continuity und Disaster Recovery sind ebenso zu beachten.

Wer muss sich darum kümmern, dass Datenabfluss vermieden wird? Nicht nur der Cloud Service Provider! Wenn ein Kunde seine Daten verschlüsselt, bevor er sie in die Cloud schickt, hat er auch dafür zu sorgen, dass der Schlüssel sicher verwahrt wird. Ist er nämlich einmal weg, sind auch die verschlüsselten Daten unwiderbringlich verloren.

In Compliance-Richtlinien ist oft festgehalten, wie lange Unternehmen Auditierungsunterlagen und andere Dokumente noch vorhalten müssen. Gehen diese Daten zu früh verloren, drohen regulatorische Konsequezen. Im Rahmen der Europäische Datenschutzrichtlinien ist noch zu beachten, dass der Verlust oder die Manipulation von persönlichen Daten im Rahmen eines Angriffs umgehend gemeldet werden muss.

FEHLENDE SORGFALT
Unternehmen, die die Cloud nutzen, ohne aber die volle Palette ihrer Risiken zu kennen, sehen sich laut CSA „mit einer Unmenge von wirtschaftlichen, technischen und juristischen Gefahren“ konfrontiert. Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist „gebührende Sorgfalt“ angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.

Entwicklerteams, die sich nicht mit neueingeführten Cloud-Umgebungen vertraut machen (können), werden schnell Probleme in der täglichen Arbeit bekommen, wenn eine Kompatibilität der bestehenden Altanwendungen mit dem neuen System nicht mehr gegeben ist.

Ergo: Unternehmen müssen sich sehr sorgfältig mit den gewünschten Cloud-Diensten auseinandersetzen, bevor diese zum Einsatz kommen.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*