Die Cloud verändert alles –Auswirkungen von »as a Service« auf die Cybersicherheit

Illustration: Absmeier, Elchinator

Auf die eine oder andere Art haben praktisch alle Unternehmen Berührungspunkte mit der Cloud, selbst wenn es vielen nicht unbedingt direkt bewusst sein mag. Je nach Art und Umfang der Cloud-Nutzung entstehen dadurch direkte Folgen für die Cybersicherheit, die Andreas Müller, Director DACH bei Vectra AI erläutert.

 

Die Migration von Unternehmen in die Cloud ist ein weit gefasster Begriff, der viele verschiedene Trends umfasst.

Zum Ersten die Verlagerung bestehender Anwendungen von privaten Rechenzentren zu einem Cloud Service Provider (CSP) wie AWS, Azure oder Google Cloud Platform, oft auch als Lift-and-Shift oder Infrastructure-as-a-Service (IaaS) bezeichnet. Möglich ist auch die völlige Umstrukturierung der Art und Weise, wie Anwendungen erstellt werden, um die auf diesen Cloud-Service-Plattformen verfügbaren vorkonfigurierten Dienste – oft als Lift-and-Shift, Serverless oder Platform-as-a-Service (PaaS) bezeichnet – stärker zu nutzen. Zum Dritten die Entscheidung, auf die Ausführung von Kopien von Standardanwendungen zu verzichten und sie stattdessen vom Anbieter der Anwendung hosten zu lassen – manchmal auch als Drop-and-Shop oder Software-as-a-Service (SaaS) bezeichnet.

Jede dieser drei Migrationen bringt nach Meinung von Andreas Müller verschiedene Sicherheitsherausforderungen mit sich:

 

  1. Infrastructure-as-a-Service

Auf den ersten Blick zieht die IaaS-Migration die geringste Veränderung nach sich. Schließlich ist es nur so, dass in der Cloud eine Anwendung auf dem Computer des Cloud-Betreibers läuft. CSPs stellen diesen Computer zur Verfügung, zusammen mit einer völlig neuen und ungewohnten Verwaltungs- und Steuerungsebene, neuen Identitäts- und Zugriffsparadigmen und neuen Formen der Speicherung.

Die erste Generation von Sicherheitsvorfällen im Zusammenhang mit der Cloud war darauf zurückzuführen, dass Unternehmen dieses neue Paradigma nicht verstanden. Sie legten vertrauliche Informationen in Cloud-Speichern ab, während der Zugang zum Internet offenblieb. Vor Ort, in On-Premises-Umgebungen war dies nicht der Fall, da Netzwerk-Firewalls und Segmentierung diese Art von Fehlkonfiguration verhinderten. Was sich änderte, war die Tatsache, dass es keine echte Möglichkeit gab, alle Ressourcen in der Cloud physisch mit einem Netzwerk zu umgeben und Firewalls an den Rand dieses Netzwerks zu stellen. Leider ist der über das Internet zugängliche Speicherplatz nur ein Symptom dafür, dass sich die IaaS-Cloud stark von der Einrichtung im eigenen Rechenzentrum unterscheidet.

Der Angriff auf AWS im August 2019, der Capital One zu seinem sichtbarsten Ziel zählte, gibt einen Einblick in die Komplexität der Management- und Kontrollebenen von AWS und die Schwierigkeit, alle Sicherheitskontrollen richtig durchzuführen. Das Vorhandensein einer einfachen Schwachstelle in einer Web-Application-Firewall (WAF), die über das Internet ausgenutzt werden konnte, führte zu einem groß angelegten Durchsickern vertraulicher Informationen über mehrere AWS-Kunden hinweg.

Der Kern des Problems ist einfach: CSPs stellen unglaublich komplexe Ökosysteme zur Verfügung, die ständig im Wandel begriffen sind, wenn neue Funktionen hinzugefügt werden. Bei der Einführung von Cloud-Diensten wird die Sicherheit von Natur aus zu einem Modell der geteilten Verantwortung. In diesem Modell obliegt es den CSP-Kunden, ihre Hälfte des Sicherheitsbetriebs, der sich perfekt an die sich ändernde Bedrohungsoberfläche der CSP-Architektur anpassen muss, beizusteuern.

 

  1. Platform-as-a-Service

Bei PaaS gibt es keine Illusionen, dass alles dasselbe ist. Viele Kunden verstehend jedoch die Auswirkungen der Einführung von PaaS auf die Sicherheit nicht richtig. Die fraglichen Dienste reichen von einfachen (Storage) bis hin zu recht komplexen (Analytik-Stacks). Und jeder dieser Dienste hat seine eigenen Sicherheitseigenheiten.

Im Falle von Amazon DynamoDB muss das Ingenieurteam verstehen, wie sich AWS-Identität und rollenbasierte Zugriffskontrolle (RBAC) mit DynamoDB überschneiden. Es gilt separate Best Practices für die Sicherheit zu befolgen – für präventive Sicherheit und andere für detektivische Sicherheit – und das nur für DynamoDB.

Zusätzlich zum komplizierten Schutz von Diensten wie DynamoDB gibt es bei PaaS-Diensten eine größere Herausforderung: Sicherheitsteams haben keine bereits existierenden Modelle, die zeigen, wie ein in eine Anwendung eingebetteter Dienst gesichert werden kann, ohne ihn mit einem sicheren Netzwerk zu umgeben. Es gibt keine Möglichkeit, dieses Modell auf PaaS-gelieferte Dienste anzuwenden. Bei der Einführung neuer Dienste werden CSPs, die diese Dienste entwickeln, anhand der Akzeptanz des Dienstes beurteilt.

Wenn CSPs Entscheidungen über die Standardsicherheit eines neuen Dienstes treffen, beseitigen sie in der Regel eher Barrieren, um den Kunden die Einführung zu erleichtern, anstatt zusätzliche Sicherheitskontrollen hinzuzufügen. Diese könnten die Akzeptanz des Dienstes seitens der Kunden bremsen.

 

  1. Software-as-a-Service

SaaS hat sich in großem Stil durchgesetzt. Unternehmen erkennen, dass sie damit buchstäblich über Nacht neue Anwendungen auf den Markt bringen können und sich nie um Software-Upgrades, Backups und andere alltägliche Supportaufgaben kümmern müssen. Die meisten SaaS-Anwendungen bieten jedoch wenig Einblick in Netzwerk- und Sicherheitskontrollen. Kunden haben eine gewisse Autorität darüber, wer auf Anwendungen, Berechtigungen, Datenzugriff und – im Idealfall – eine API zugreifen kann, die Zugriffsprotokolle zur Validierung extrahiert.

Das Sicherheitsmodell von SaaS hängt im Wesentlichen von der Identität und dem Zugriff ab. Die Konfiguration von SaaS-Anwendungen ist jedoch unglaublich komplex geworden. Der Versuch, alle Aspekte von Office 365 oder Salesforce zu verstehen und zu schützen, würde die meisten IT-Fachkräfte vor Herausforderungen stellen. Dies ist zudem nur ein Teil einer viel größeren Aufgabe für IT-Teams ist, die mit der Bereitstellung des Zugriffs und der Überwachung von Sicherheitsfragen für Anwendungen betraut sind. Da immer mehr Unternehmen mehrere SaaS-Anwendungen nutzen, wird das Ein- und Aussteigen von Mitarbeitern beim Zugriff auf SaaS-Anwendungen ziemlich umständlich. In einigen Fällen haben Mitarbeiter auch noch lange nach ihrem Ausscheiden Zugriff auf Anwendungen.

Viele Unternehmen wenden sich an Identitätsprovider und Verbundlösungen zwischen verschiedenen SaaS-Anwendungen, um diese Aufgabe zu automatisieren, wobei häufig ein Cloud-basiertes HR-System als Hauptdatenbank verwendet wird. Leider ist nur eine kompromittierte SaaS-Anwendung oder ein Konto für einen Angreifer erforderlich, um vollen Zugriff auf andere Anwendungen und Server im Verbund zu erhalten. Dies bietet Angreifern einen ausgezeichneten Ausgangspunkt für weitere laterale Bewegungen. Darüber hinaus gibt es kein sicheres Netzwerk, das als Sicherheitsnetz fungiert, wenn ein Endbenutzer erfolgreich Phishing zum Opfer fällt oder ein Fehler bei der Konfiguration eines Teils des Cloud-Modells mit geteilter Verantwortung vorliegt.

 

1128 Artikel zu „Cybersicherheit Cloud“

Die Cloud als Chance für Cybersicherheit – fünf Gründe für Managed Security aus der Cloud

Konventionelle Sicherheitslösungen wurden nicht mit Blick auf die Cloud entwickelt, was Herausforderungen durch Komplexität, Verwaltungsaufwand und unvollständigem Schutz schafft. Dies ist nach Meinung von Palo Alto Networks nun aber geboten, denn: In der vernetzten Welt, in der sowohl Benutzer als auch Daten überall sind, muss auch Cybersicherheit überall verfügbar sein. Um dies zu erreichen, muss…

Cloud-native Sicherheitsplattformen – Neues Zeitalter in der Cybersicherheit

Herkömmliche Sicherheitstools und -methoden erweisen sich zunehmend als ungeeignet, um die entwicklergetriebenen und infrastrukturunabhängigen Multi-Cloud-Modelle der Cloud-Native-Ära zu schützen. Palo Alto Networks sieht darin den Beginn eines neuen Zeitalters in der Cybersicherheit, das dominiert wird vom Konzept einer Cloud Native Security Platform (CNSP) – einer Sicherheitsplattform, bei der Cloud-native Technologien im Mittelpunkt stehen.   Bei…

Cybersicherheit: Cloud größte Sicherheitsherausforderung, Bedarf an einheitlichen Lösungen

In einer Studie [1] wurden 75 Vertreter von Unternehmen und Behörden zur IT-Sicherheit befragt. Inklusive Behörden waren mit Finanzen und Versicherung, Medien und Kommunikation, dem produzierenden Gewerbe, Versorgern, IT sowie Telekommunikation, Automobil, Transport und Logistik neun verschiedene Branchen vertreten. Eines der überraschenden Ergebnisse: Stolze 57 Prozent der Befragten bewerten die IT-Sicherheit in ihren Unternehmen als…

#digiWiesn: Die Bedeutung von Cloud-basiertem Identitätsmanagement – Mitarbeiter brauchen sicheren Zugriff

Ein sicheres Passwort bedeutet nicht, dass Unternehmen eine umfassende Zugriffskontrolle besitzen. Sie benötigen auch ein Instrument zur Verwaltung und Überprüfung der Zugriffsrechte für bestimmte Ressourcen. Access Management wird durch unternehmensweite Passwortverwaltung und Single-Sign-On-Lösungen erreicht, die den Zugriff für Benutzer und die Kontrolle für Administratoren vereinfachen. Dies ist besonders wichtig, da heute mehr Menschen als je zuvor von zuhause aus arbeiten.

App in die Cloud? Welche Vorteile sich für Unternehmen aus der Migration ergeben können

Nicht erst die Corona-Krise hat gezeigt, dass Unternehmenssoftware auf dem hauseigenen Server häufig ihre Tücken hat. Das flexible und mobile Arbeiten im Home Office oder unterwegs bekommt ohne die Möglichkeit des externen Server-Zugriffs schnell einen eher symbolischen Charakter. Und selbst wenn der Zugriff gegeben ist, sorgen wackelige Verbindungen und lange Ladezeiten immer wieder für Verzögerung.…

Migration – Einhundert Prozent in die Cloud: So geht’s

Die weltweiten Auswirkungen der Covid-19-Pandemie haben die Art und Weise, wie wir arbeiten, drastisch verändert. Sie hat zahllose Unter­nehmen dazu gezwungen, neue Technologien einzuführen, damit die Mitarbeiter von zu Hause arbeiten können und der Betrieb aufrechterhalten werden kann. Auch wenn sich die Situation allmählich normalisiert und es eine gewisse Rückkehr zur Vor-Corona-Normalität gibt, wird einiges anders bleiben, insbesondere der beschleunigte Trend zur Cloud.

Dank der Cloud wachsen Pflanzen auch ohne Regenwolken

Next Step im Digital Farming: Big Data vom IoT in der Cloud verarbeiten. Sieht malerisch aus, ist aber unpraktisch: Beregnungssysteme verschwenden viel Wasser und eignen sich nicht zur Bewässerung mit aufbereitetem Abwasser. Beide Probleme löst die Tröpfchenbewässerung.   Wasser ist die wichtigste Ressource der Landwirtschaft. Bei schlechtem Boden sind Hydrokulturen eine Lösung, bei ungünstigem Klima…

Künstliche Intelligenz für die Zukunft der Cybersicherheit

320.000 neue Schadprogramme täglich: Diese Zahl hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2019 veröffentlicht. Neben der zunehmenden Zahl der Angriffe werden diese immer professioneller. Cyber-Defense-Lösungen, die zur Entdeckung und Bewertung von Cyberangriffen künstliche Intelligenz (KI) nutzen, liefern dabei wertvolle Informationen für Cyber-Defense-Teams und sind von grundlegender Bedeutung für die…

Strategien für Hybrid-Cloud Data Management: Wie Unternehmen zum »Data-Forward Enterprise« werden

Experten für Cloud Data Management [1] erwarten durch die Hybrid-Cloud und damit verbundenen Konzepten der Datensicherung in den kommenden 12 bis 24 Monaten erhebliches Potenzial. Die Spezialisten sehen darin einen wichtigen Aspekt der digitalen Transformation.   Trends in der Technologie Eine kürzlich von HCL und Vanson Bourne durchgeführte Umfrage kam in dieser Hinsicht zu den…

Cloud Security: Mit 7 Schritten sicher in die Wolke

llustration: Absmeier, Die Cloud ist dank ihrer Flexibilität und Kapazität im Vergleich zu herkömmlichen Rechen- und Speichermethoden mittlerweile ein wichtiges Standbein für viele Unternehmen geworden. Doch wie bei herkömmlichen Speicher- und File-Sharing-Methoden entstehen auch durch die Cloud spezifische Datensicherheitsprobleme. Ein pragmatischer, datenzentrierter Ansatz kann den Weg in die Wolke jedoch übersichtlich umsetzbar machen. Im Folgenden…

Whitepaper: Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices

Bei der Auswahl von Kollaborationsplattformen prüfen Unternehmen Anforderungen an Datenschutz und Datensicherheit oftmals nur unzureichend. In dem von der Beratungsboutique für Cybersicherheit carmasec veröffentlichten Whitepaper Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices werden die gängigsten Softwarelösungen Google G-Suite, Microsoft Office 365 und Atlassian Jira / Confluence hinsichtlich Aspekten der Cybersicherheit und des…

Security: Public Cloud-Umgebungen voller vernachlässigter Workloads, Authentifizierungsproblemen und »lateral Movement«-Risiken

  Mehr als 80 Prozent der Unternehmen haben mindestens einen vernachlässigten, internetbezogenen Workload, d.h. er läuft auf einem nicht unterstützten Betriebssystem oder ist seit mindestens 180 Tagen ungepatcht. Fast 25 % der Unternehmen verwenden keine Multi-Faktor-Authentifizierung um den Root-Benutzer ihrer Cloud-Accounts, den Super-Administrator, zu schützen. Fast die Hälfte der Organisationen hat Internet-Workloads, die Geheimnisse und…

Die sechs Stolpersteine bei der Migration in die Cloud  

Für Unternehmen hat es viele Vorteile, ihre Daten in die Cloud zu verlagern. Allerdings kann auf dem Weg in die Wolke einiges schiefgehen. Der Datenbank-Pionier Couchbase nennt sechs Fallstricke bei der Migration in die Cloud. Beim Verlagern von Prozessen, Anwendungen und Daten in die Cloud sollten Unternehmen nichts überstürzen. Wer die Migration unvorbereitet in Angriff…

Corona-Lockdown sorgt für wachsendes Bewusstsein für Cybersicherheit

Aktuelle Umfrage zeigt, dass Mitarbeiter Sicherheitstrainings ernst nehmen, aber dennoch riskantes Verhalten an den Tag legen.   Trend Micro veröffentlicht neue Umfrageergebnisse, die zeigen, wie Mitarbeiter im Home Office mit der Cybersicherheit umgehen. Nahezu drei Viertel der Remote-Mitarbeiter (72 Prozent weltweit, 69 Prozent in Deutschland) geben an, dass sie sich seit Beginn des Lockdowns bewusster…

Cybersicherheit: Insider-Bedrohungen in Zeiten der Pandemie

Schlechte Zeiten und Krisen sind gute Zeiten für Cyberkriminelle, denn ihnen gelingt es in der Regel aus der Situation Kapital zu schlagen. Die Covid-19-Pandemie bildet da keine Ausnahme. Unternehmen sind umso mehr gefährdet, als dass die meisten von ihnen ausreichend damit zu tun haben, die Firma durch die Krise zu navigieren, parallel dazu agieren Cybersicherheits-Teams…

Mitarbeiterverhalten als Risiko: Wie sich Daten in Cloudanwendungen sichern lassen

Die Sicherheit von Cloudanwendungen wird maßgeblich definiert durch die Sicherheit der dort befindlichen Daten. Den Anforderungen jenseits des Netzwerkperimeters sind klassische Sicherheitsansätze jedoch nicht mehr gewachsen. Nunmehr ist das Verhalten der Nutzer der Faktor, der in puncto Datensicherheit potenziell den größten Schaden anrichten kann. Um dieses Risiko einzudämmen, benötigen IT-Security-Teams ein Verständnis davon, wie die…