20.01.2017, 14:40 Uhr

Cloud-Dienste gefährden die gesamte IT

Mehr und mehr Unternehmen setzen im Zuge der Digitalisierung auf die Cloud, an geeigneten Sicherheitsmassnahmen fehlt es jedoch oft. Diese Praxis kann die gesamte Firmen-IT gefährden.
Cloud-Dienste sind im Unternehmensumfeld ein äusserst beliebtes Kostensenkungsvehikel – und nicht nur das: Public Clouds wie Microsoft Azure, Amazon AWS und Google Cloud Platform haben sich sowohl als Erweiterung der eigenen Infrastruktur des Unternehmens wie auch als Ersatz für das unternehmenseigene Datencenter vielerorts bewährt.
Sicherheitsbedenken scheinen die Unternehmen dabei nicht allzu sehr umzutreiben. In einer aktuellen Studie der Cloud Security Alliance (CSA) äusserten 65 Prozent der befragten IT-Führungskräfte die Meinung, die Cloud sei genauso sicher oder sogar sicherer als ihre eigene On-Premise-Software. Eine Versicherungspolice für Cybersicherheitsvorfälle hatte weniger als jedes vierte der befragten Unternehmen unterschrieben.
Interessanterweise würden genauso viele Unternehmen eigenen Aussagen zufolge Lösegeldforderungen bereitwillig nachkommen – halten Cyberattacken also nicht für aus­geschlossen. Ungeachtet des offenbar recht grossen Vertrauens bringen öffentliche Clouds hinsichtlich der Cybersecurity eine ganze Reihe von Herausforderungen mit sich. Nächste Seite: Sicherheitserfordernisse

Sicherheitserfordernisse

Ein Cloud-Anbieter stellt seinen Benutzern nicht nur grafische Administrationswerkzeuge bereit, sondern exponiert vor allem die eigenen APIs, um die Nutzung seiner Infrastruktur-, Plattform- und Software-Dienste Code-gesteuert zu ermöglichen. Die meisten Cloud-Verwundbarkeiten lassen sich auf den leichtsinnigen Umgang mit diesen Cloud-APIs zurückführen – eine Herausforderung, die sich bei unternehmenseigenen Rechenzentren und On-Premise-Umgebungen in diesem Umfang nicht stellt. Die Cybersicherheitsrisiken einer öffentlichen Cloud lassen sich zwei Bereichen zuordnen:
  • Unberechtigte Zugriffe auf exponierte API-Endpunkte des Cloud-Anbieters: API-Zugriffe auf eine öffentliche Cloud erfolgen über standardmässig offene API-Endpunkte. Sie sind mächtiger als alle sonstigen Sicherheitskontrollen.
  • Fehlerträchtige Drittanbieterdienste und -Tools: Systeme zur Cloud-Orchestrierung, Provisionierung von Diensten und Metadatenanalyse können unerwarteterweise sicherheitskritische Informationen über die Cloud-Topologie des Unternehmens offenlegen.
Beide Szenarien lassen sich auf den leichtsinnigen Umgang mit sicherheitskritischen Daten wie API-Schlüsseln und Cloud-Metadaten zurückführen. Ein gestohlenes Notebook oder Smartphone kann Angreifern Zugriff auf die gesamte Cloud des betroffenen Unternehmens gewähren. Und es geht noch schlimmer: Die unverschlüsselte Übergabe von Zugangsdaten zwischen Entwicklern und Administratoren, etwa in E-Mails, ist in vielen Unternehmen eine weitverbreitete Unsitte. Viele Mitarbeiter und sogar ganze Fachabteilungen speichern und verarbeiten zudem Unternehmensdaten in der Cloud ohne jede Abstimmung mit der IT-Abteilung, schreibt das Telekommunikationsunternehmen NTT Communications in seinem neuesten Bericht «Sicherheit in der Cloud: wie kann ich meine Cloud Service Provider (CSPs) überwachen?». Diese Schatten-IT ist eine tickende Zeitbombe. Nächste Seite: Gefahren von Cloud-APIs Cloud-Dienste sind via bereitgestellte APIs des jeweiligen Anbieters zugänglich. Authentifiziert werden API-Aufrufe durch die Übergabe sogenannter API-Schlüssel. Der API-Zugriff auf eine Cloud ist dem physischen Zugang zu den betreffenden Systemen in einem Datencenter gleichzusetzen. Konventionelle Sicherheitsmassnahmen wie Fire­walls oder Angriffserkennungssysteme (Intrusion Detection Systems, IDS) erweisen sich hier deshalb als unzureichend.
In einem konventionellen Rechenzentrum kann das IT-Fachpersonal ein sicherheitskritisches System isolieren, um jeglichen Fernzugriff von aussen auszuschliessen. Jeder Versuch, sich mit einem solchen System zu verbinden, lässt sich protokollieren und zurückverfolgen. Das ist in einer Cloud-Umgebung nicht der Fall. Ein Eindringling kann mit Hilfe von API-Zugriffen die Volumes eines vermeintlich „isolierten“ Systems in einem sogenannten Snapshot erfassen, aus den Snapshots neue Volumes erstellen, an eine andere Instanz anbinden und mounten. Daraufhin könnte der Angreifer alle relevanten Daten des kompromittierten Systems extrahieren – Datenbanken ohne Passwörter auslesen und bei Bedarf sogar verschlüsselte Volumes in aller Seelenruhe dekodieren, ohne in den System-Logs des Opfers irgendwelche Spuren zu hinterlassen. Sollten die IT-Fachkräfte des betroffenen Unternehmens ihre Cloud wie ein unternehmenseigenes Datencenter verwalten, würden sie nichts davon merken, dass sie im grossen Stil gehackt wurden. Nächste Seite: Folgen eines Cloud-Einbruchs
Doch damit nicht genug: Auch diejenigen Unternehmen, die keine sensiblen Daten in der Cloud aufbewahren, sondern beispielsweise nur ihre öffentliche Webpräsenz in der Cloud betreiben, sind potenziell gefährdet. Ein Eindringling mit den passenden API-Schlüsseln könnte einem Unternehmen auch ohne den Zugang zu sensiblen Daten auf mehreren Ebenen ernsthaften Schaden zufügen – mit gravierenden Folgen: Finanzielle Belastung durch den Missbrauch von IT-Ressourcen: Hacker könnten rechenintensive Anwendungen, beispielsweise Passwort-Cracking oder Bitcoin-Mining, in der Cloud-Umgebung des betroffenen Unternehmens auf dessen Kosten ausführen. Haftung für den Vertrieb von Malware und Raubkopien: Durch subtile Modifikationen der unternehmenseigenen Anwendungen könnten Eindringlinge Raubkopien von urheberrechtlich geschütztem Material, Malware und andere gesetzeswidrige Inhalte bereitstellen und das betroffene Unternehmen dafür haftbar machen. Vertragskündigung durch den Cloud-Anbieter mit sofortiger Kontoschliessung und Datenlöschung: Bei einem Verdacht auf die Mitwirkung bei Cyberattacken – auch infolge von Missbrauch der Zugriffsberechtigung auf API-Endpoints durch Hacker – kann der Cloud-Anbieter dem betroffenen Unternehmen die Nutzung seiner Dienste mit sofortiger Wirkung verweigern. Backdoors, Sabotage und Spionage: Hacker können in den betroffenen Systemen Backdoors einrichten und die korrekte Ausführung von Anwendungs-Code sabotieren, zum Beispiel mit der Absicht, administrative Eingriffe zu erzwingen, um möglicherweise Zugangsdaten zu On-Premise-Systemen auszuspähen. Datenmanipulation: Subtile Änderungen an Daten und Anwendungs-Code, etwa bei Preisberechnungen, bleiben meist unbemerkt, sodass die daraus resultierenden Schäden mit der Zeit beachtliche Summen erreichen können. Image-Verlust: Manipulierte Webanwendungen könnten bei Geschäftspartnern und Endkunden, die auf diese Dienste zugreifen, zu Vertrauens- und Image-Verlust führen.
Totalschaden der Cloud-Umgebung: Angreifer können via API-Aufrufe im Extremfall die gesamte Cloud-Infrastruktur samt allen Backups und Logs unwiederbringlich vernichten.
Kein Unternehmen kann es sich leisten, die spezifischen Risiken der Cloud auf die leichte Schulter zu nehmen. Dennoch tun das offenbar viele. Die eingangs erwähnte CSA-Studie gibt hierzu Einblicke: Als grösstes Hindernis, das der effektiven Entdeckung und Vorbeugung von Datenverlusten in der Cloud entgegensteht, nennen die Befragten den Mangel an geschulten Fachkräften (31%), das Fehlen interner Richtlinien oder einer internen Strategie für die Operationalisierung von Bedrohungsindika­toren (26,5%), ein unzureichendes Budget (22,9%) sowie den Mangel an umsetzbaren Analytics-Erkenntnissen im Hinblick auf eine mögliche Bedrohung (19,9%). Die Cloud-Sicherheits-Problematik ist keine einfache Angelegenheit. Bei der Risikobeurteilung wird schnell klar, dass sich die Cloud-Gefahren auf der API-Ebene vorwiegend auf den Verlust von API-Schlüsseln zurückführen lassen. Nächste Seite: Schlüssel-Diebstahl Die Ursachen für den Diebstahl von API-Schlüsseln reichen von einfachen Flüchtigkeitsfehlern der eigenen Administratoren über besorgniserregenden Leichtsinn der eigenen Programmierer bis hin zu gravierenden Treuepflichtverletzungen durch Drittanbieter von Analytics-Lösungen und anderen autorisierten Diensten Der Diebstahl von API-Schlüsseln kann für das betroffene Unternehmen verheerende Folgen haben. Der Missbrauch von Cloud-APIs hat häufig folgende Ursachen:
  • das Einchecken von API-Schlüsseln in Quellcode-Verwaltungsysteme durch die eigenen Software-Entwickler
  • das Aufbewahren von API-Schlüsseln auf unzureichend gesicherten, also unverschlüsselten Medien
  • die Übergabe von API-Schlüsseln zwischen IT-Fachkräften über ungesicherte Kommunikationskanäle
  • das Ablegen von API-Schlüsseln in Cloud-Metadaten
  • Bugs und andere Verwundbarkeiten in der eingesetzten Software, die geheime Metadaten aus der Cloud offenlegen oder Bootstrap-Replikation bestehender Systemkonfigurationen ermöglichen
Um diese Problemfelder zu neutralisieren, muss das IT-Fachpersonal ein tiefes Verständnis für die Cybersecurity-Tücken der Cloud entwickeln.
Nächste Seite: Datenverschlüsselung und Fazit

Datenverschlüsselung

Die führenden Cloud-Anbieter stellen ihren Kunden verschiedene Verschlüsselungsmechanismen zur Verfügung. Bei Amazon AWS lassen sich beispielsweise EBS-Volumes (Elastic Block Store) verschlüsseln. Die Google Compute Engine mag zwar standardmässig alle Daten im Ruhezustand automatisch verschlüsseln, doch verwaltet sie die zugehörigen Schlüssel selbst. Unternehmen können zwar eigene Schlüssel bereitstellen («Bring your own Encryption»), Google nutzt diese sogenannten Customer-Supplied Encryption Keys aber nur zum Verschlüsseln des eigenen Schlüsselspeichers, nicht der eigentlichen Daten. Das ist höchst problematisch. Bei unternehmenskritischen Daten auf die standardmässig gebotene Schmalspurversion von Ende-zu-Ende-Verschlüsselung eines Cloud-Anbieters zu vertrauen, wäre überaus fahrlässig. Denn solange die Chiffrierschlüssel manuell zum Beispiel im unternehmenseigenen Rechenzentrum verwaltet werden, besteht lediglich eine Illusion von Sicherheit. Abhilfe schaffen hier Hardware-Sicherheitsmodul-Appliances wie sie beispielsweise von Amazon AWS mit dem Dienst CloudHSM unterstützt werden. Für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, ist dieser zusätzliche Schutz erforderlich. AWS CloudHSM unterstützt Unternehmen beim Einhalten strenger Vorschriften für die Schlüsselverwaltung in einem dedizierten, beständigen und manipulationssicheren Schlüsselspeicher, ohne dabei die Anwendungsleistung zu beeinträchtigen. Der AWS-CloudHSM-Service stellt in der betreffenden VPC (Virtual Private Cloud) eine dedizierte Hardware-Appliance bereit. CloudHSM-Instanzen können dann eine private Netzwerkanbindung mit EC2-Instanzen bei einer sehr niedrigen Latenz herstellen. Das Unternehmen bekommt einen dedizierten und exklusiven Einzelmandanten-Zugriff auf seine CloudHSM-Instanzen. Unternehmen, die aus regulatorischen Gründen Ressourcenänderungen nachverfolgen oder Cloud-Aktivitäten überwachen müssen, können über CloudTrail alle Auf­­-rufe der CloudHSM-API wie auch anderer Dienste überprüfen. Auch lassen sich Vorgänge auf der HSM-Appliance überwachen. Microsoft bietet mit Azure Storage Service Encryption (SSE) einen Verschlüsselungsdienst für Daten in Azure Blob Storage und clientseitige Verschlüsselung wahlweise mittels .NET oder Java samt Integration mit Azure Key Vault. Azure Key Vault ist ein verwalteter Dienst für das Management von Kryptografieschlüsseln mit integrierter Unterstützung für HSMs (Hardware-Sicherheitsmodul-Appliances), der ohne Instanzen auskommt. Anwendungen haben keinen direkten Zugriff auf Schlüssel. Die Nutzung von Schlüsseln lässt sich anhand von Azure-Protokollen nachvollziehen und an Azure HDInsight oder ein unternehmenseigenes SIEM (Security Information and Event Management) zur zusätzlichen Analyse und Bedrohungserkennung weiterleiten. Diese Dienste sind vergleichsweise neu und werden noch kaum genutzt.

Fazit

Zur Einhaltung gesetzlicher, regulatorischer und vertraglicher Vorschriften für die Datensicherheit in der Cloud müssen Unternehmen buchstäblich alle Register ziehen. Einige interessante Lösungen für die Datenverschlüsselung und Ressourcenüberwachung stellen die führenden Cloud-An­bie­ter selbst bereit.

Das könnte Sie auch interessieren