Die IT zieht in die Cloud, beschleunigt durch Trends wie hybride Arbeitsformen. Im Schlepptau wie so oft folgen Cyberkriminelle. Doch sie greifen nicht nur die User der Daten- und Rechenwolke an, sie missbrauchen vermehrt auch die immensen Ressourcen, welche die Cloud bietet, für ihre Machenschaften. Somit sind sowohl Benutzerinnen und Benutzer von Clouddiensten als auch die Betreiber gefragt, wenn es darum geht, hier für Sicherheit zu sorgen.

Doch was sind überhaupt derzeit die grössten Securityrisiken in Sachen Cloud Computing? Dieser Frage geht die Organisation Cloud Security Alliance einmal jährlich nach und befragt hierzu rund 700 IT-Securityexperten. In der heurigen Ausgabe lässt sich dabei ein klarer Trend erkennen: Eher klassische Gefahren für die Cloudinfrastruktur wie etwa Denial-of-Service-Attacken auf Rechenzentren oder Datenlecks bei den Cloud Service Providern (CSP) werden kaum noch genannt und tauchen im Gegensatz zu 2019 nicht mehr in der aktuellen Liste der elf grössten Sicherheitsrisiken auf. Stattdessen sind die wunden Punkte eher aufseiten der Anwenderunternehmen sowie der Endbenutzerinnen und -benutzer zu suchen. So liegen gemäss dem «Pandemic Eleven» betitelten Bericht der CSA Identitäts- und Zugangsprobleme an erster Stelle, gefolgt von unsicheren Schnittstellen und APIs (Application Programming Interface) sowie Fehlkonfigurationen von Cloudinstallationen samt unzureichender Verwaltung der Benutzerrechte.

Zumindest die Befragung der Cloud-Securityexperten durch die CSA vermittelt das Bild, dass die Betreiberfirmen von Rechen- und Datenwolken offensichtlich Fortschritte erzielt haben, ihren Teil des geteilten Verantwortungsmodells zu erfüllen. Gemäss dem mittlerweile etablierten Konzept der «Shared Responsibility» sind nämlich die Cloudanbieter für die Sicherheit der Infrastruktur zuständig, also für die Sicherheit der Cloud selbst. Sie stellen somit sicher, dass die Backend-Geräte wie Netzwerk, Server und Speicher funktionieren. Dagegen müssen sich die Anwender der Clouddienste selbst um die Integrität und Absicherung der eigenen Daten und Programme kümmern. Sie sind also für die Security in der Cloud verantwortlich.

Gemäss den von Computerworld kontaktierten IT-Security­experten scheint dieses Grundprinzip vielen klar zu sein, allerdings macht einigen Anwenderfirmen zu schaffen, wo genau die Trennlinie verläuft. Ihnen ist noch zu wenig bewusst, was alles in den eigenen Verantwortungsbereich gehört und welche Securityaspekte getrost dem Provider überlassen werden können. Allerdings sei mittlerweile vielen Benutzern grundsätzlich klar, dass sie selbst für den Schutz der eigenen Instanzen und Accounts verantwortlich seien, meint in diesem Zusammenhang Patrick Preid, Senior Security Engineer bei Avantec.

Defizite gibt es dennoch. «Immer noch glauben viele Anwender und IT-Verantwortliche in den Unternehmen, der Cloudanbieter werde sich schon ums Backup kümmern. Dem ist leider nicht so», betont Stephan Herzig, der als Enterprise Technical Advisor bei Veeam Schweiz tätig ist. Offenbar ist noch zu wenigen bewusst, dass die Security der eigenen Daten auch Sicherheitskopien beinhalten sollte. «Die Cloud an sich ist kein Backup», bringt es Herzig auf den Punkt und meint, dass mehr Eigenverantwortung seitens der Anwenderunternehmen gefragt sei.

Dass einige Anwenderorganisationen mit ihrem Part im Cloud-Securitymodell noch Mühe bekunden, scheinen auch die Provider erkannt zu haben und bieten Hand mit Tools und Services, wie unsere Experten-Runde berichtet. «Clouddienstleister bieten Anwendern und Administratoren schon jetzt gute Instrumente, um Clouddienste erfolgreich absichern zu können», sagt Stephan Berger, Head of Investigations bei InfoGuard, beklagt aber, dass diese noch zu wenig bekannt seien. «Um solche Werkzeuge korrekt und gezielt einsetzen zu können, muss man sich auch mit diesen auseinandersetzen», kommentiert er.

Allerdings wäre es wünschenswert, wenn auch die Provider noch mehr Hilfestellung bieten würden. «Beispielsweise könnten die Cloudanbieter besser auf Fehlkonfigurationen aufmerksam machen und standardmässig höhere Sicherheitslevel implementieren», schlägt Avantecs Preid vor. Dies sieht auch Berger von InfoGuard so und konkretisiert: «Wichtig wäre hierbei das Einschalten von Security Defaults wie Multi Factor Authentication, das Deaktivieren von Legacyprotokollen und gegebenenfalls das automatisierte Sperren von Accounts nach einem verdächtigen, erfolgreichen Login».

Zudem wird erwartet, dass die Anbieter, vor allem aber auch die sogenannten Hyperscaler, in naher Zukunft mehr in dieser Richtung zu offerieren haben. «Alle drei grossen öffentlichen Cloud­anbieter – Amazon Web Services (AWS), Microsoft Azure und Google Cloud – haben im vergangenen Jahr Akquisitionen im Bereich Cybersicherheit getätigt, und es ist durchaus damit zu rechnen, dass weitere folgen werden», meint Preid.

Wie der CSA-Bericht herausgearbeitet hat, stehen derzeit Identitäts- und Zugangsprobleme zuoberst auf der Mängelliste bei der Absicherung von Cloud-umgebungen. Ein wirksames Gegenmittel wäre die konsequente Einführung von Zwei- oder Multi-Faktor-Authentifizierung (2FA oder MFA). Dabei wird neben Benutzernamen und Passwort, das eine gewisse Stärke aufweisen sollte, eine Identifikation über einen weiteren Kanal benötigt. So erfordern viele MFA-Verfahren eine vom Smartphone mittels Authenticator-App generierte Zusatzzahl für den Zugriff auf das Konto. Auch das Verschicken eines Codes via SMS ist möglich, wird allerdings wegen des relativ unsicheren Übertragungswegs von vielen Experten nicht mehr empfohlen. Wohl am sichersten ist derzeit eine MFA-Implementierung mit einem hardwarebasiereten Token, der in den USB-Port des PCs gesteckt wird und hier die MFA-Überprüfung übernimmt. Bekanntere Anbieter sind hier beispielsweise Yubico mit dem Yubikey, Google mit der Titan-Lösung und RSA mit SecurID.

Auf Anwenderseite wird MFA immer noch zu zögerlich umgesetzt, auch wenn die Implementierungsrate steigt. Wie eine Befragung des IT-Securityspezialisten Eset im März 2022 ergab, benützen fast die Hälfte, nämlich 48 Prozent der Schweizerinnen und Schweizer immer oder mehrheitlich eine MFA. Im gleichen Atemzug sind die Ergebnisse alarmierend, da jeder dritte Befragte nie eine MFA nutzt oder nicht einmal weiss, was das ist.

Zu ganz ähnlichen Ergebnissen kommt eine aktuelle Befragung von Cisco unter Schweizer Anwenderinnen und Anwendern. Auch hier verwendet ein Drittel keine MFA, während 67 Prozent zumindest gelegentlich die Mehrfachidentifikation nutzt. Offenbar ist die Einführung im Geschäftsumfeld die treibende Kraft, selbst wenn es auch hier noch Defizite gibt, wie InfoGuards Berger, der von der MFA als eine der besten Absicherungen spricht, gegenüber Computerworld bestätigt. «Leider haben noch immer viele Organisationen die MFA nicht implementiert», meint Berger. «Bei unseren Incident-Response-Fällen sehen wir nicht selten zahlreiche kompromittierte Konten, gerade im Azure-Umfeld», weiss er zu berichten.

Trotz des erhöhten Schutzes vor Angriffen auf Enduser-Konten, eine Rundumversicherung ist der Einsatz von MFA trotzdem nicht. Denn Hacker fänden immer Wege, um auch bei eingeschalteter MFA anzugreifen, gibt Berger zu Bedenken. «100-prozentigen Schutz gibt es schlichtweg nicht», meint er. «Erwähnenswert ist in diesem Zusammenhang der ‹Person-In-The-Middle-Angriff›, wobei der Angreifer sich zwischen Opfer und Cloudanbieter befindet und quasi in Echtzeit die MFA-Anfrage vom Cloud­anbieter an den Benutzer weiterleitet, um sich so einloggen zu können», erklärt Berger die Methode.

Doch damit nicht genug: «MFA Spamming ist ebenfalls eine Taktik, die wir öfters sehen», führt er weiter aus. «Dabei kann ein Angreifer, der über funktionierende Credentials eines Benutzers verfügt, durch mehrmaliges Einloggen den MFA-Dialog beim Opfer aufpoppen lassen. Das Opfer – genervt, verunsichert oder unwissend – bestätigt schliesslich die MFA-Anfrage, wodurch der Angreifer Zugriff auf den Account erhält.»

Auch Avantecs Preid sieht noch Schwachpunkte. «Während die 2FA eine zusätzliche Sicherheitsebene bietet, ist sie nicht die kugelsichere Lösung, für die viele Leute sie halten», hält er fest und bringt ebenfalls Beispiele, wie die Methode ausgehebelt werden kann. «Die 2FA kann für mehrere Angriffe von Hackern anfällig sein, da ein Benutzer versehentlich den Zugriff auf eine von einem Hacker gestellte Anfrage genehmigen kann, ohne dies zu merken», berichtet Preid. Die Angreifer führten die User mit manipulierten Mails und gefälschten Webseiten in die Irre. «So können beispielsweise Eingaben auf diesen gefälschten Webseiten von den Angreifern weiter genutzt werden», erklärt er weiter.

Ein weiterer wunder Punkt in der Absicherung von Cloud­anwendungen, der oft zu beobachten ist, sind Fehlkonfigurationen. Der genannte CSA-Bericht nennt hier als Beispiel ungesicherte Datenspeicherinstanzen oder -container, exzessive Rechte und Genehmigungen von Instanzen, verhältnismässig unsichere Default-Einstellungen, die nicht geändert werden, deaktivierte Standard-Securityeinstellungen, ungepatchte Software, deaktiviertes Logging und Monitoring, uneingeschränkter Zugang zu Ports und weiteren Diensten sowie mangelnde oder fehlende Validierung von Konfigurationen.

Auch Avantecs Preid weiss um die Problematik. «Fehlkonfigurationen werden häufig durch die falsche Verwaltung mehrerer verbundener Ressourcen wie Kubernetes, serverlose Funktionen und Container verursacht. Dies ist oft das Ergebnis mangelnder Sichtbarkeit und eines nicht vollständigen Verständnisses, welche Ressourcen miteinander interagieren», gibt er zu Bedenken.

Das Problem multipliziert sich dann mit der Grösse und der Fülle von Cloudinstallationen. «Schliesslich sind die heutigen Unternehmensumgebungen gross und komplex, was es schwierig macht, permanent Zehntausende von Ressourcen und Konten zu verfolgen und zu verwalten», meint Preid. «Von den Entwicklern festgelegte Berechtigungen für eine Applikation könnten zu grosszügig sein und sogar den Überblick über kritische Assets behindern», ergänzt der Avantec-Mann folglich.

Doch es gibt auch hier Gegenmassnahmen, die ergriffen werden können. Preid plädiert für den Einsatz eines Cloud Security Posture Managements, kurz CSPM. «Ein CSPM vergleicht die Cloudumgebung mit einem definierten Satz von Best Practices und bekannten Sicherheitsrisiken», erklärt er die Funktionsweise. «Einige dieser CSPM-Lösungen warnen hier nur, während andere in der Lage sind, solche Konfigurationsfehler automatisch zu beheben», schiebt Preid nach.

Auch für Verwalter von Cloudumgebungen in Microsofts Azure gibt es Hilfsmittel, um schlecht konfigurierte Implementierungen zu vermeiden. «Microsoft bietet innerhalb von Azure einen Security Score an, womit gewisse Fehlkonfigurationen respektive schwache Konfigurationen aufgezeigt werden können», berichtet InfoGuards Berger. Dies könne für Administratoren enorm hilfreich sein, um schnell gute Resultate bei der Erhöhung der Sicherheit zu erzielen, betont er.

All diese Fehler und Nachlässigkeiten führen schlussendlich dazu, dass hier den Angreifern auf Cloudinstallationen nicht nur Tür und Tor geöffnet wird, sondern dass auch immer mehr Daten quasi für jeden einsehbar in der Datenwolke offen herumliegen. Die vielen Berichte über Datenlecks der letzten Zeit sprechen hier Bände. Die Security Community spricht denn auch von Schattendaten, die übers Netz zugänglich sind, aber von deren Existenz niemand mehr weiss. Ein schon fast klassisches Beispiel in diesem Zusammenhang: Cloud-Speicher-Buckets werden für einen Test mit echten Daten befüllt, dann aber «vergessen». Werden diese dann auch noch offen gelassen, haben Hacker leichtes Spiel. Sie brauchen nur noch die URL des Buckets aufzurufen, um die Inhalte zu sehen.

Eine weitere Gefahr für Cloudinstallationen lauert bei unsicheren Schnittstellen zwischen den Instanzen, namentlich bei der Verwendung von falsch konfigurierten Programmierschnittstellen (Application Programming Interface, API). «Da Software zunehmend in der Cloud bereitgestellt und über APIs für Klienten und Kunden zugänglich gemacht wird, wird potenziell anfällige Software auf Servern gehostet, die über das allgemeine Internet erreichbar sind. Ein Teil des Codes hinter den APIs wird Schwachstellen enthalten, und es ist zu erwarten, dass diese irgendwann von Forschern und/oder ‹Black Hat›-Hackern entdeckt werden», beschreibt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz, die Problematik. «Organisationen sollten sicherstellen, dass jeder eingesetzte Code als Teil des Software-Entwicklungsprozesses gründlich getestet wird und nach dem Einsatz regelmässig Penetrationstests durchgeführt werden», empfiehlt er folglich. Denn sowohl Schwachstellen als auch Sicherheitslücken können sich während des gesamten Entwicklungs- und Bereitstellungsprozesses in die Systeme einschleichen.

Wie bei jeder Software sollten Organisationen versuchen, das Risiko der Entstehung von Schwachstellen genauso zu minimieren wie die Folgen von deren Ausnutzung. «Ebenso schlagen wir Organisationen vor, sicherzustellen, dass sie jeden Code, der sich als angreifbar erweist, schnell patchen können», führt der Cisco-Mann aus. Und schliesslich empfiehlt Stefanov auch die Anbieter von Cloudservices in die Pflicht zu nehmen. «Im Rahmen des Beschaffungsprozesses müssen Unternehmen erörtern, wie Lieferanten und Anbieter mit Sicherheitslücken umgehen», empfiehlt er. «Jedes Unternehmen, das API-basierte Dienste über die Cloud anbietet, sollte über ein robustes Verfahren zur Erkennung und Verwaltung von Sicherheitslücken verfügen.»

Die Bedrohung von Cloudumgebungen hat verschiedene Facetten und Ursachen, deren Schwere oder Fokus sich zudem verschieben kann, wie die Untersuchungen der CSA aufzeigen. So hat sich der Fokus in letzter Zeit von Angriffen auf die Infrastruktur des Providers verlagert zu den konkreten Implementationen der Anwenderorganisationen. Und deren Komplexität nimmt eher zu als ab, nicht zuletzt durch die Inanspruchnahme mehrerer Cloudanbieter, Stichwort: Multicloud. Auch die von vielen Unternehmen favorisierten Hybrid-Cloud-Umgebungen aus privaten und öffentlichen Daten- und Rechenwolken erschweren es, den Überblick zu bewahren.

«So vermehrt sich die Zahl der Cloud Services stark, es entstehen komplexe ICT-Architekturen mit einem individuellen Mix aus Cloud- und lokalen Daten», beurteilt Veeams Herzig die Entwicklung. «Eine sehr heterogene Service- und Datenlandschaft bildet sich. Das macht das Management hinsichtlich Sicherheit und Compliance sehr anspruchsvoll», folgert er und meint, dass der Überblick über die Speicherorte der Daten verloren gehe. «Administratoren müssen sich bewusst sein, dass Unternehmensdaten heute ständig in Bewegung sind.»

Ein weiteres Beispiel dafür, dass gerade bei Cloudumgebungen die klassischen Abwehrmassnahmen wie Perimeterschutz nicht mehr greifen, da es keine klaren Umgebungsgrenzen gibt. Um den Sicherheitsrisiken des Cloud Computing Herr zu werden, müssen die IT-Securityverantwortlichen ihre Abwehr datenzentriert ausrichten und beispielsweise Zero-Trust-Konzepte verinnerlichen (vgl. hierzu auch den Computerworld-Artikel Zero Trust).