Cloud Computing ist gekommen, um zu bleiben. Deshalb ist es für Firmen umso wichtiger, sich Gedanken um die Sicherheit in der Daten- und Rechenwolke zu machen. Doch wo liegen derzeit die größten Schwachstellen? Wir suchen mit Expertenhilfe Antworten. [...]
Die IT zieht in die Cloud, beschleunigt durch Trends wie hybride Arbeitsformen. Im Schlepptau wie so oft folgen Cyberkriminelle. Doch sie greifen nicht nur die User der Daten- und Rechenwolke an, sie missbrauchen vermehrt auch die immensen Ressourcen, welche die Cloud bietet, für ihre Machenschaften. Somit sind sowohl Benutzerinnen und Benutzer von Clouddiensten als auch die Betreiber gefragt, wenn es darum geht, hier für Sicherheit zu sorgen.
Doch was sind überhaupt derzeit die größten Risiken in Sachen Cloud Computing? Dieser Frage geht die Organisation Cloud Security Alliance einmal jährlich nach und befragt hierzu rund 700 IT-Security-Experten.
In der aktuellen Ausgabe lässt sich dabei ein klarer Trend erkennen: Eher klassische Gefahren für die Cloudinfrastruktur wie etwa Denial-of-Service-Attacken auf Rechenzentren oder Datenlecks bei den Cloud Service Providern (CSP) werden kaum noch genannt und tauchen im Gegensatz zu 2019 nicht mehr in der Liste der elf größten Sicherheitsrisiken auf.
Stattdessen sind die wunden Punkte eher auf Seiten der Anwenderunternehmen sowie der Endbenutzerinnen und -benutzer zu suchen. So liegen laut dem „Pandemic Eleven“ betitelten Bericht der CSA Identitäts- und Zugangsprobleme an erster Stelle, gefolgt von unsicheren Schnittstellen und APIs (Application Programming Interface) sowie Fehlkonfigurationen von Cloudinstallationen samt unzureichender Verwaltung der Benutzerrechte.
Die Cloud an sich ist kein Backup
Stephan Herzig, Veeam
Zumindest die Befragung der Cloud-Security-Experten durch die CSA vermittelt das Bild, dass die Betreiberfirmen von Rechen- und Datenwolken offensichtlich Fortschritte erzielt haben, ihren Teil des geteilten Verantwortungsmodells zu erfüllen. Gemäß dem mittlerweile etablierten Konzept der „Shared Responsibility“ sind nämlich die Cloudanbieter für die Sicherheit der Infrastruktur zuständig, also für die Sicherheit der Cloud selbst.
Sie stellen somit sicher, dass die Backend-Geräte wie Netzwerk, Server und Speicher funktionieren. Dagegen müssen sich die Anwender der Clouddienste selbst um die Integrität und Absicherung der eigenen Daten und Programme kümmern. Sie sind also für die Security in der Cloud verantwortlich.
Eigentlich, so die Experten, scheint dieses Grundprinzip vielen klar zu sein, allerdings macht einigen Anwenderfirmen zu schaffen, wo genau die Trennlinie verläuft. Ihnen ist noch zu wenig bewusst, was alles in den eigenen Verantwortungsbereich gehört und welche Sicherheitsaspekte getrost dem Provider überlassen werden können.
Allerdings sei mittlerweile vielen Benutzern grundsätzlich klar, dass sie selbst für den Schutz der eigenen Instanzen und Accounts verantwortlich seien, meint in diesem Zusammenhang Patrick Preid, Senior Security Engineer bei Avantec.
Defizite gibt es dennoch. „Immer noch glauben viele Anwender und IT-Verantwortliche in den Unternehmen, der Cloudanbieter werde sich schon ums Backup kümmern. Dem ist leider nicht so“, betont Stephan Herzig, der als Enterprise Technical Advisor bei Veeam Schweiz tätig ist.
Offenbar ist noch zu wenigen bewusst, dass die Security der eigenen Daten auch Sicherheitskopien beinhalten sollte. „Die Cloud an sich ist kein Backup“, bringt es Herzig auf den Punkt und meint, dass mehr Eigenverantwortung seitens der Anwenderunternehmen gefragt sei.
CloudProvider bieten Hilfe
Dass einige Anwenderorganisationen mit ihrem Part im Cloud-Securitymodell noch Mühe bekunden, scheinen auch die Provider erkannt zu haben und bieten eine helfende Hand mit Tools und Services, wie unsere Experten-Runde berichtet.
„Clouddienstleister bieten Anwendern und Administratoren schon jetzt gute Instrumente, um Clouddienste erfolgreich absichern zu können“, sagt Stephan Berger, Head of Investigations bei InfoGuard, beklagt aber, dass diese noch zu wenig bekannt seien.
„Um solche Werkzeuge korrekt und gezielt einsetzen zu können, muss man sich auch mit diesen auseinandersetzen“, kommentiert er.
Allerdings wäre es wünschenswert, wenn auch die Provider noch mehr Hilfestellung bieten würden. „Beispielsweise könnten die Cloudanbieter besser auf Fehlkonfigurationen aufmerksam machen und standardmäßig höhere Sicherheitslevel implementieren“, schlägt Avantecs Preid vor.
Dies sieht auch Berger von InfoGuard so und konkretisiert: „Wichtig wäre hierbei das Einschalten von Security Defaults wie Multi Factor Authentication, das Deaktivieren von Legacyprotokollen und gegebenenfalls das automatisierte Sperren von Accounts nach einem verdächtigen, erfolgreichen Login“.
Cloud-Anbieter bieten schon jetzt gute Instrumente, um Cloud-Dienste erfolgreich absichern zu können
Stephan Berger, InfoGuard
Zudem wird erwartet, dass die Anbieter, vor allem aber auch die sogenannten Hyperscaler, in naher Zukunft mehr in dieser Richtung zu offerieren haben.
„Alle drei großen öffentlichen Cloudanbieter – Amazon Web Services (AWS), Microsoft Azure und Google Cloud – haben im vergangenen Jahr Akquisitionen im Bereich Cybersicherheit getätigt, und es ist durchaus damit zu rechnen, dass weitere folgen werden“, meint Preid.
Anwenderzugänge als Schwachstelle
Wie der CSA-Bericht herausgearbeitet hat, stehen derzeit Identitäts- und Zugangsprobleme zuoberst auf der Mängelliste bei der Absicherung von Cloudumgebungen. Ein wirksames Gegenmittel wäre die konsequente Einführung von Zwei- oder Multi-Faktor-Authentifizierung (2FA oder MFA). Dabei wird neben Benutzernamen und Passwort, das eine gewisse Stärke aufweisen sollte, eine Identifikation über einen weiteren Kanal benötigt.
So erfordern viele MFA-Verfahren eine vom Smartphone mittels Authenticator-App generierte Zusatzzahl für den Zugriff auf das Konto. Auch das Verschicken eines Codes via SMS ist möglich, wird allerdings wegen des relativ unsicheren Übertragungswegs von vielen Experten nicht mehr empfohlen.
Wohl am sichersten ist derzeit eine MFA-Implementierung mit einem hardwarebasierten Token, der in den USB-Port des PCs gesteckt wird und hier die MFA-Überprüfung übernimmt. Bekanntere Anbieter sind hier beispielsweise Yubico mit dem Yubikey, Google mit der Titan-Lösung und RSA mit SecurID.
Auf Anwenderseite wird MFA immer noch zu zögerlich umgesetzt, auch wenn die Implementierungsrate steigt. Wie eine Befragung des IT-Securityspezialisten Eset im März 2022 ergab, benützen fast die Hälfte, nämlich 48 Prozent der Schweizerinnen und Schweizer immer oder mehrheitlich eine MFA.
Im gleichen Atemzug sind die Ergebnisse alarmierend, da jeder dritte Befragte nie eine MFA nutzt oder nicht einmal weiß, was das ist.
Zu ganz ähnlichen Ergebnissen kommt eine aktuelle Befragung von Cisco unter Schweizer Anwenderinnen und Anwendern. Auch hier verwendet ein Drittel keine MFA, während 67 Prozent zumindest gelegentlich die Mehrfachidentifikation nutzt.
Offenbar ist die Einführung im Geschäftsumfeld die treibende Kraft, selbst wenn es auch hier noch Defizite gibt, wie InfoGuards Berger, der von der MFA als eine der besten Absicherungen spricht, bestätigt.
„Leider haben noch immer viele Organisationen die MFA nicht implementiert“, meint Berger. „Bei unseren Incident-Response-Fällen sehen wir nicht selten zahlreiche kompromittierte Konten, gerade im Azure-Umfeld“, weiß er zu berichten.
Keine 100-prozentige Sicherheit
Trotz des erhöhten Schutzes vor Angriffen auf Enduser-Konten, eine Rundumversicherung ist der Einsatz von MFA trotzdem nicht. Denn Hacker fänden immer Wege, um auch bei eingeschalteter MFA anzugreifen, gibt Berger zu Bedenken.
„100-prozentigen Schutz gibt es schlichtweg nicht“, meint er. „Erwähnenswert ist in diesem Zusammenhang der Person-In-The-Middle-Angriff, wobei der Angreifer sich zwischen Opfer und Cloudanbieter befindet und quasi in Echtzeit die MFA-Anfrage vom Cloudanbieter an den Benutzer weiterleitet, um sich so einloggen zu können“, erklärt Berger die Methode.
Während 2FA eine zusätzliche Sicherheitsebene bietet, ist es nicht die kugelsichere Lösung
Patrick Preid, Avantec
Doch damit nicht genug: „MFA Spamming ist ebenfalls eine Taktik, die wir öfters sehen“, führt er weiter aus. „Dabei kann ein Angreifer, der über funktionierende Credentials eines Benutzers verfügt, durch mehrmaliges Einloggen den MFA-Dialog beim Opfer aufpoppen lassen. Das Opfer – genervt, verunsichert oder unwissend – bestätigt schließlich die MFA-Anfrage, wodurch der Angreifer Zugriff auf den Account erhält.“
Auch Avantecs Preid sieht noch Schwachpunkte. „Während die 2FA eine zusätzliche Sicherheitsebene bietet, ist sie nicht die kugelsichere Lösung, für die viele Leute sie halten“, hält er fest und bringt ebenfalls Beispiele, wie die Methode ausgehebelt werden kann.
„Die 2FA kann für mehrere Angriffe von Hackern anfällig sein, da ein Benutzer versehentlich den Zugriff auf eine von einem Hacker gestellte Anfrage genehmigen kann, ohne dies zu merken“, berichtet Preid. Die Angreifer führten die User mit manipulierten Mails und gefälschten Webseiten in die Irre. „So können beispielsweise Eingaben auf diesen gefälschten Webseiten von den Angreifern weiter genutzt werden“, erklärt er weiter.
Be the first to comment