Das Thema Cloud-Security wird langsam zum IT-Evergreen. Unternehmen verlagern digitale Prozesse in die Wolke, sie speichern Daten bei global agierenden Cloud-Playern wie AWS, Google, Microsoft oder der Telekom. Dennoch gibt es immer einmal wieder Fragen und Sorgen um die Sicherheit von Cloud-Diensten - gerade bei kleineren Firmen, die dem Cloud-Braten nicht so recht trauen.
Der erste Schritt hin zu einer sicheren Cloud ist das Bewusstsein um die größten Bedrohungen - auf der jüngsten RSA Conference stellt die Cloud Security Alliance CSA die "Treacherous 12", also die "betrügerischen Zwölf" vor, die zwölf größten Sicherheitsrisiken in der Cloud, mit denen sich Unternehmen 2016 auseinandersetzen müssen.
Weil die Cloud-Architektur per se auf geteilte Ressourcen setzt, die im Bedarfsfall aktiviert und auch wieder deaktiviert werden, ergeben sich eine ganze Reihe von Sicherheitsproblemen, die es im Prä-Cloud-Zeitalter noch nicht gab, warnt die CSA. Firmeninterne Security-Richtlinien lassen sich leicht umgehen, die Schatten-IT wächst und gedeiht. Es braucht neue Kontrollmechanismen.
Datenverluste
Cloud-Umgebungen kämpfen mit den gleichen Bedrohungen wie traditionelle Firmennetze - sind aber durch die gespeicherten Datenmengen ein attraktiveres Angriffsziel. Der mögliche Schaden hängt - verständlicherweise - von dem Wert der an- und abgegriffenen Daten ab. Das öffentliche Interesse an gestohlenen Bank- und Kreditkartendaten mag zwar groß sein - der Verlust von Gesundheitsinformationen, Betriebsgeheimnissen und Intellectual Property ist aber meist wesentlich schmerzhafter.
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Cloud Provider schützen ihre Dienste im Regelfall gut ab, letzlich sind es aber die Anwenderunternehmen, die für die Sichreheit ihrer Cloud-Daten verantwortlich sind. Die CSA empfiehlt eine Multifaktor-Authentifizierung und Verschlüsselung der Cloud-Daten.
Gestohlene Benutzerdaten
Mehrfaktor-Authentifizierungsarten wie Einmal-Passwörter, Authentifizierung per Telefon und Smartcards sichern Cloud-Dienste ab - Angreifer können sich schwieriger mit gestohlenen Credentials dort einloggen. Der Vorfall bei Anthem Healthcare, wo 80 Millionen Kundendatensätze abhanden kamen, resultierte beispielsweise aus einem Diebstahl von Login-Daten. Anthem hatte versäumt, eine Mehrfaktor-Authentifizierung zu implementieren - deshalb genügte ein einziges geknacktes Passwort, um an die Kundendatenbank zu kommen.
Viele Entwickler betten die Nutzerdaten und kryptografische Schküssel zwar im Quellcode ein, machen dann aber den Fehler, diese Informationen in öffentlichen Repositories wie GitHub einzustellen. Die CSA weist darauf hin, dass Schlüssel vernünftig abgesichert sein müssen und es einer geschützten Schlüssel-Infrastruktur bedarf. Die Schlüssel müssen zudem in regelmäßigen Abständen durchgewechselt werden, damit Angreifer die abgegriffenen Informationen nicht unbedingt direkt verwenden können.
Unternehmen, die ein föderiertes Identitätsmanagement mit einem Cloud-Provider planen, sollten die Security-Maßnahmen des Providers kennen, um die Plattform abzusichern. Identitäten in einem einzigen Repository zu zentralisieren, ist riskant. Unternehmen müssen abwägen, ob die Bequemlichkeit, die eine Zentralisierung mitbringt, das Risiko eines Angriffs überwiegt.
Geknackte Interfaces und APIs
Praktisch jeder Cloud-Dienst und jede Cloud-Anwendung bietet heutzutage Schnittstellen (APIs) zu weiteren Systemen. IT-Teams brauchen Interfaces und APIs, um mit Cloud-Diensten interagieren zu können - es geht um Provisioning, Management, Orchestierung und Monitoring.
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. Schwache Interfaces und APIs setzen Unternehmen Sicherheitsheitsrisiken in den Bereichen Vertraulichkeit, Integrität, Verfügbarkeit und Haftung aus.
APIs und Interfaces geraten schnell ins Visier von Angreifern, weil sie in der Regel aus dem Internet erreichbar sind. Die CSA empfiehlt adäquate Kontrolle als "erste Linie der Verteidigung und Gefahrenerkennung." Anwendungen und Systeme für das Threat Modeling, unter anderem Data Flows und Architektur/Design, werden zu wichtigen Teilen des Development Lifecycle. Die CSA empfiehlt Code Reviews und Penetrationstests mit einem Fokus auf Sicherheit.
Ausgenutzte Schwachstellen
Schwachstellen im System und angreifbare Bugs in Anwendungen sind keine neuen Phänomene - durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden sie aber zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Glücklicherweise lassen sich Angriffe auf Systemlücken durch "grundlegende IT-Prozesse" vermeiden, so die Cloud Security Alliance. Als Best Practices erwiesen haben sich regelmäßige Schwachstellenscans, sofortiges Patch Management und schnelles Reagieren auf bekannt gewordene Bedrohungen.
Die Kosten einer solchen Absicherung des Systems "sind relativ klein im Verhältnis zu anderen IT-Ausgaben", heißt es im CSA-Bericht. IT-Prozesse aufzusetzen, die Schwachstellen aufzudecken und zu reparieren helfen, ist relativ preisgünstig, wenn man den drohenden Schaden ins Kalkül zieht. Unternehmen in regulierten Branchen müssen ihre Patches so schnell wie möglich einspielen, bevorzugt automatisiert, fordert die CSA. Prozesse zu Änderungssteuerung, die das Notfall-Patching adressieren, stellen sicher, dass Sicherheitsupdates ordentlich dokumentiert und von den technischen Einheiten überprüft werden können.
Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. Darüber hinaus lassen sich die Cloud-Dienste selbst dazu verwenden, Angriffe zu starten.
Eine gängige Verteidungspraxis sollte derartige Gefahren begrenzen. Unternehmen sollten die gemeinsame Nutzung von Accounts zwischen Anwendern und Services verbieten und wenn möglich Mehrfaktor-Authentifizierung aktivieren. Accounts, auch Service-Accounts, sollten laut CSA überwacht werden, damit jede Transaktion zu einer Person nachverfolgt werden kann. Letztlich geht es bei allem darum, den Diebstahl von Nutzerdaten zu verhindern.
Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. Systeme, deren Sicherheit gänzlich von einem Cloud Service Provider abhängt, sind am besonders bedroht - wie beispielsweise Verschlüsselungsdienste.
Die CSA empfiehlt, dass ein Unternehmen die Kontrolle über seinen Verschlüsselungsprozess und die Schlüssel selbst behält und die Zuständigkeiten aufteilt, um einem einzelnen Nutzer so wenig Zugriffsrechte wie möglich einräumen zu müssen. Effizientes Logging, Monitoring und Auditing von Admintätigkeiten sind gleichermaßen wichtige Punkte.
Aber Achtung: Es ist schnell pasiert, dass ein automatisierter "Routine-Job" als Angriff von innen misinterpretiert wird. Als Beispiel sei hier ein Administrator angeführt, der versehentlich eine Kundendatenbank auf einen öffentlich zugänglichen Server kopiert. Hier helfen nur viel Security-Awareness-Training und entsprechendes Security-Management.
Der APT-Parasit
Eine "parasitäre" Form des Angriffs nennt die CSA die sogenannten Advanced Persistent Threats (APTs). Diese unterwandern Systeme auf eine raffinierte Weise, um über einen längeren Zeitraum hinweg unbemerkt Daten und Intellectual Property aus einem Unternehmen abzuziehen.
APTs bewegen sich in der Regel "seitlich" durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Übliche APT-Eintrittsvarianten sind Spear Phishing, direkte Attacken, Malware-verseuchte USB-Sticks und kompromittierte Netze Dritter. Um dem entgegen zu wirken, empfiehlt die CSA Mitarbeiter im Erkennen mögliche Formen des Phishings zu schulen.
Obligatorische Awareness-Programme für die Mitarbeiter und eine IT-Abteilung, die sich laufend über aktuelle Bedrohungen informiert, halten die Aufmersamkeit hoch und verhindern so indirekt, dass APTs erfolgreich sind. Fortgeschrittene Security-Tools, ein durchdachtes Prozess-Management, Pläne für Incident Response und IT-Schulungen kosten natürlich auch viel Geld - Unternehmen müssen deshalb hier erneut eine Kosten-Nutzen-Abschätzung treffen.
Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. Als weiterer Risikofaktor für diese Daten kommen Naturkatastrophen hinzu, für die ein Cloud-Rechenzentrum genauso anfällig ist wie jedes andere Gebäude auch.
Um den Schutz zu erhöhen, sollten die Cloud-Daten und -Anwendungen über mehrere Standorte hinweg verteilt werden. Tägliche Backup-Routinen, Sicherungskopien an anderen Standorten sowie Maßnahmen in Business Continuity und Disaster Recovery sind ebenso zu beachten.
Wer muss sich darum kümmern, dass Datenabfluss vermieden wird? Nicht nur der Cloud Service Provider! Wenn ein Kunde seine Daten verschlüsselt, bevor er sie in die Cloud schickt, hat er auch dafür zu sorgen, dass der Schlüssel sicher verwahrt wird. Ist er nämlich einmal weg, sind auch die verschlüsselten Daten unwiderbringlich verloren.
In Compliance-Richtlinien ist oft festgehalten, wie lange Unternehmen Auditierungsunterlagen und andere Dokumente noch vorhalten müssen. Gehen diese Daten zu früh verloren, drohen regulatorische Konsequezen. Im Rahmen der Europäische Datenschutzrichtlinien ist noch zu beachten, dass der Verlust oder die Manipulation von persönlichen Daten im Rahmen eines Angriffs umgehend gemeldet werden muss.
Fehlende Sorgfalt
Unternehmen, die die Cloud nutzen, ohne aber die volle Palette ihrer Risiken zu kennen, sehen sich laut CSA "mit einer Unmenge von wirtschaftlichen, technischen und juristischen Gefahren" konfrontiert. Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist "gebührende Sorgfalt" angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Entwicklerteams, die sich nicht mit neueingeführten Cloud-Umgebungen vertraut machen (können), werden schnell Probleme in der täglichen Arbeit bekommen, wenn eine Kompatibilität der bestehenden Altanwendungen mit dem neuen System nicht mehr gegeben ist.
Ergo: Unternehmen müssen sich sehr sorgfältig mit den gewünschten Cloud-Diensten auseinandersetzen, bevor diese zum Einsatz kommen.
Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
Cloud Provider müssen sich der Gefahr bewusst sein und ihren Kunden Werkzeuge anbieten, mit denen sie den Zustand ihrer Plattform überwachen und im Falle des Falles Missbrauch sofort melden können. Auch wenn die Kunden und ihre Daten und Anwendungen nicht unmittelbar selbst das Ziel eines solchen Angriffs sind, führt ein Missbrauch von Cloud-Diensten zumeist zu Einschränkungen bei der Erreichbarkeit und zu Datenverlusten.
DoS-Attacken
(D)DoS wurde bereits erwähnt - ein einfacher wie beliebter Angriffsvektor, um die Erreichbarkeit von Cloud-Diensten einzuschränken. "Opfer eines Denial-of-Service-Angriffs zu werden, ist wie mit dem Auto im Feierabendstau zu stehen - außer Sitzen und Warten bleibt Ihnen nichts übrig", heißt es im CSA-Bericht.
DoS-Attacken verbrauchen eine große Menge Rechenleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Cloud Provider gehen mit DoS-Angriffen meist souveräner um als ihre Kunden, stellt die CSA fest. Wichtig ist, einen Plan für den Ernstfall immer griffbereit zu haben - sollte es dann zu einem Vorfall kommen, können ihn IT-Verantwortliche gleich "aus der Schublade ziehen".
Geteite Technik, doppelte Gefahr
Da die Cloud keine exklusive Technik eines Anwenders ist, sondern von Vielen gleichberechtigt nebeneinander genutzt wird, ergibt sich schon allein hieraus eine signifikante Bedrohung. Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. "Eine einzige Sicherheitslücke oder falsche Konfiguration kann zu einem Schaden in der gesamten Cloud-Infrastruktur führen", schreibt die CSA.
Wenn beispielsweise eine zentrale Komponente wie ein Hypervisoroder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher. Die Cloud Security Alliance empfiehlt als Gegenmittel auch hier eine umfassende Security-Strategie auf Basis einer Mehrfaktor-Authentifizierung auf allen Hosts sowie Host- und Netzwerkbasierter Intrusion-Detection-Systeme. Wichtig sind das Prinzip "so wenige priveligierte Nutzer wie möglich", eine geeignete Netzwerk-Segmentierung und ein umfassendes Patch-Management.
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation InfoWorld.