Unternehmensperspektive

Sie wünschen sich eine sichere Cloud? Dann sehen Sie sich erst einmal gründlich um.

Die meisten Cloudservices bieten fast unbegrenzt viele Protokollierungsoptionen an, doch die wenigsten Unternehmen aktivieren all diese Optionen – und wenn, erfassen und schützen sie die dabei generierten Daten oft nicht richtig.

Das ist problematisch, denn wer keinen genauen Überblick über die eigene Cloudumgebung hat und die dort genutzten Services nicht lückenlos überwacht, dem wird es sehr schwer fallen:

  • sich ein Bild des Normalzustands in dieser Umgebung zu verschaffen,
  • zu erkennen, ob und wann etwas nicht so läuft, wie es sollte und ob – im schlimmsten Fall – ein Service gehackt wurde,
  • Sicherheitsmaßnahmen zu entwerfen und zu implementieren, die genau auf diesen Service zugeschnitten sind und wirksam vor den Risiken schützen, die mit seiner Nutzung einhergehen.

In Unternehmen und Institutionen muss vorab geplant werden, wie eventuell auftretende Probleme mit einem Cloudservice untersucht und behoben werden sollen. Nur so können die Funktionen zum Erfassen und Speichern der dazu erforderlichen Daten und Logdateien rechtzeitig aktiviert bzw. implementiert werden.

Da verschiedene Cloudservices sich erheblich voneinander unterscheiden können, ist es außerdem wichtig, für jeden einen geeigneten Problembehebungsansatz zu entwerfen und diesen regelmäßig zu testen. Dadurch wissen im Ernstfall alle, was zu tun ist und können sicher sein, dass die erforderlichen Daten zur Verfügung stehen – sogar, wenn ein Service plötzlich nicht mehr so funktioniert wie gewohnt.

Angreifer geben sich große Mühe, ihre Aktivitäten  zu verschleiern und ihre Spuren zu verwischen. Deshalb greifen sie zunehmend auch  Logdatei-Repositorys an. Services für die Protokollierung sind in der Regel mit modernen Authentifizierungsfunktionen, eigenen Zugriffsprivilegien und anderen manipulationssicheren Sicherheitsmaßnahmen geschützt, doch viele Angreifer sehen das nur als Herausforderung, nach einem anderen Ansatz zu suchen.

Die meisten versuchen gar nicht erst, die genutzte Verschlüsselung zu knacken, denn das ist aufwendig und die Erfahrung zeigt, dass die Erfolgswahrscheinlichkeit sehr gering ist. Einige Angreifer probieren stattdessen, ein Administratorkonto zu knacken und dort die API-Schlüssel zu stehlen, mit denen die Daten geschützt sind.

Eine andere beliebte, einfache und oft effektive Methode ist das Phishing. Schließlich erhalten die verantwortlichen Mitarbeiter jeden Tag verschiedenste Anforderungen nach Zugang zu sensiblen Daten. Hacker müssen sich oft nicht einmal besonders gut mit den technischen Details auskennen, um eine Nachricht zu verfassen, die echt genug aussieht, um zum Erfolg zu führen.

Auch cloudbasierte Entwicklungs- und Testumgebungen sind ein beliebtes Ziel, denn dort werden oft verschlüsselte (oder sogar völlig ungeschützte) API-Schlüssel abgelegt und dann vergessen und nicht rechtzeitig gelöscht. Zudem werden diese Umgebungen meist nicht so gut geschützt und überwacht wie Produktionsumgebungen, was sie zu einer leichten – und lohnenden – Beute für Angreifer macht.

Viele Unternehmen halten sich in Cloudumgebungen auch nicht an die strengen Richtlinien, die in unternehmensinternen Umgebungen ganz selbstverständlich eingehalten werden. Das liegt zum Teil daran, dass das Einrichten von Cloudumgebungen so einfach ist: In der Regel ist kein langer Genehmigungs- und Anschaffungsprozess erforderlich und wer schon einen Rahmenvertrag mit seinem Cloudanbieter abgeschlossen hat, kann neue Cloudumgebungen sogar automatisch einrichten lassen.

In On-Premises-Umgebungen ist die Anschaffung, Installation und Wartung der erforderlichen Hardware hingegen mit erheblichem Aufwand und mit Kosten verbunden, die aus dem Projektbudget gedeckt werden müssen. Daher sind alle Beteiligten aktiv bemüht, nicht mehr benötigte Hardware so schnell wie möglich anderweitig zu nutzen. In modernen Cloudumgebungen gibt es hingegen oft Dutzende Versionen von Entwicklungs- und Testumgebungen, die außer einem vagen „vielleicht brauchen wir sie ja später noch einmal“ keine Daseinsberechtigung mehr haben.

Dabei wäre ein gründlicheres „Aufräumen“ nicht nur aus Sicherheitsgründen vorteilhaft. Wer genau weiß, welche Umgebungen tatsächlich genutzt werden, erspart sich bei der Reaktion auf einen Sicherheitsvorfall wertvolle Minuten und im regulären Geschäftsbetrieb möglicherweise sogar Stunden oder Tage frustrierender Sucherei. Als absolutes Minimum sollten alle Instanzen mit Tags versehen werden, die Auskunft über den Eigentümer und die Nutzung geben. Sicherheitsteams können diese Tags bei der Reaktion auf einen Sicherheitsvorfall nutzen, um kritische Ressourcen und Abhängigkeiten zu erkennen, den Schweregrad des Vorfalls besser einzuschätzen und die dringendsten Aufgaben zuerst zu erledigen. Tags sind sozusagen das IT-Äquivalent des medizinischen Notfallarmbands: Sie geben Auskunft über die Dinge, die ein Notfallhelfer unbedingt wissen muss, auch wenn der Betroffene selbst nicht mehr zur Kommunikation fähig ist.

Fazit: Unternehmen und Institutionen sollten die von ihren Cloudanbietern bereitgestellten Funktionen nutzen, um ihre Produktions-, Entwicklungs- und Testumgebungen genauso gut zu verstehen, zu überwachen und zu schützen wie ihre On-Premises-Umgebungen. Das ist leider nicht selbstverständlich. Allzu oft ist den Verantwortlichen nicht einmal bewusst, wie lückenhaft ihr Verständnis der eigenen Cloudumgebungen ist. Dabei ist Transparenz in allen Umgebungen unverzichtbar. Wie sollte man sonst das vorhandene Risiko akkurat einschätzen und managen?