Cloud Security Top 12
Sicherheitsrisiken in der Cloud
Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. Darüber hinaus lassen sich die Cloud-Dienste selbst dazu verwenden, Angriffe zu starten.
Eine gängige Verteidungspraxis sollte derartige Gefahren begrenzen. Unternehmen sollten die gemeinsame Nutzung von Accounts zwischen Anwendern und Services verbieten und wenn möglich Mehrfaktor-Authentifizierung aktivieren. Accounts, auch Service-Accounts, sollten laut CSA überwacht werden, damit jede Transaktion zu einer Person nachverfolgt werden kann. Letztlich geht es bei allem darum, den Diebstahl von Nutzerdaten zu verhindern.
Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. Systeme, deren Sicherheit gänzlich von einem Cloud Service Provider abhängt, sind am besonders bedroht - wie beispielsweise Verschlüsselungsdienste.
Die CSA empfiehlt, dass ein Unternehmen die Kontrolle über seinen Verschlüsselungsprozess und die Schlüssel selbst behält und die Zuständigkeiten aufteilt, um einem einzelnen Nutzer so wenig Zugriffsrechte wie möglich einräumen zu müssen. Effizientes Logging, Monitoring und Auditing von Admintätigkeiten sind gleichermaßen wichtige Punkte.
Aber Achtung: Es ist schnell pasiert, dass ein automatisierter "Routine-Job" als Angriff von innen misinterpretiert wird. Als Beispiel sei hier ein Administrator angeführt, der versehentlich eine Kundendatenbank auf einen öffentlich zugänglichen Server kopiert. Hier helfen nur viel Security-Awareness-Training und entsprechendes Security-Management.
Der APT-Parasit
Eine "parasitäre" Form des Angriffs nennt die CSA die sogenannten Advanced Persistent Threats (APTs). Diese unterwandern Systeme auf eine raffinierte Weise, um über einen längeren Zeitraum hinweg unbemerkt Daten und Intellectual Property aus einem Unternehmen abzuziehen.
APTs bewegen sich in der Regel "seitlich" durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
- Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent. - Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent. - Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent). - Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat. - Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken. - Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.
Übliche APT-Eintrittsvarianten sind Spear Phishing, direkte Attacken, Malware-verseuchte USB-Sticks und kompromittierte Netze Dritter. Um dem entgegen zu wirken, empfiehlt die CSA Mitarbeiter im Erkennen mögliche Formen des Phishings zu schulen.
Obligatorische Awareness-Programme für die Mitarbeiter und eine IT-Abteilung, die sich laufend über aktuelle Bedrohungen informiert, halten die Aufmersamkeit hoch und verhindern so indirekt, dass APTs erfolgreich sind. Fortgeschrittene Security-Tools, ein durchdachtes Prozess-Management, Pläne für Incident Response und IT-Schulungen kosten natürlich auch viel Geld - Unternehmen müssen deshalb hier erneut eine Kosten-Nutzen-Abschätzung treffen.
Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. Als weiterer Risikofaktor für diese Daten kommen Naturkatastrophen hinzu, für die ein Cloud-Rechenzentrum genauso anfällig ist wie jedes andere Gebäude auch.
Um den Schutz zu erhöhen, sollten die Cloud-Daten und -Anwendungen über mehrere Standorte hinweg verteilt werden. Tägliche Backup-Routinen, Sicherungskopien an anderen Standorten sowie Maßnahmen in Business Continuity und Disaster Recovery sind ebenso zu beachten.
Wer muss sich darum kümmern, dass Datenabfluss vermieden wird? Nicht nur der Cloud Service Provider! Wenn ein Kunde seine Daten verschlüsselt, bevor er sie in die Cloud schickt, hat er auch dafür zu sorgen, dass der Schlüssel sicher verwahrt wird. Ist er nämlich einmal weg, sind auch die verschlüsselten Daten unwiderbringlich verloren.
In Compliance-Richtlinien ist oft festgehalten, wie lange Unternehmen Auditierungsunterlagen und andere Dokumente noch vorhalten müssen. Gehen diese Daten zu früh verloren, drohen regulatorische Konsequezen. Im Rahmen der Europäische Datenschutzrichtlinien ist noch zu beachten, dass der Verlust oder die Manipulation von persönlichen Daten im Rahmen eines Angriffs umgehend gemeldet werden muss.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Fehlende Sorgfalt
Unternehmen, die die Cloud nutzen, ohne aber die volle Palette ihrer Risiken zu kennen, sehen sich laut CSA "mit einer Unmenge von wirtschaftlichen, technischen und juristischen Gefahren" konfrontiert. Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist "gebührende Sorgfalt" angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Entwicklerteams, die sich nicht mit neueingeführten Cloud-Umgebungen vertraut machen (können), werden schnell Probleme in der täglichen Arbeit bekommen, wenn eine Kompatibilität der bestehenden Altanwendungen mit dem neuen System nicht mehr gegeben ist.
Ergo: Unternehmen müssen sich sehr sorgfältig mit den gewünschten Cloud-Diensten auseinandersetzen, bevor diese zum Einsatz kommen.