Jakub Jirsák - stock.adobe.com
Cloud-Sicherheit: Typische SaaS-Risiken adressieren
Ungeschützte Daten, riskante Verknüpfungen und Fehlkonfigurationen gehören zu den typischen Security-Risiken bei der SaaS-Nutzung, um die sich IT-Teams kümmern müssen.
Cloud-Anwendungen steigern die Produktivität und erleichtern die Zusammenarbeit. Gleichzeitig stellen sie aber auch ein großes, wachsendes Risiko dar, da sich Unternehmensdaten mittlerweile an mehr Orten als je zuvor befinden. Sie werden in Datenspeichern On-Premises und in der Cloud, in Online-Collaboration-Plattformen wie Microsoft 365 und in SaaS-Anwendungen (Software as a Service) wie Salesforce gespeichert.
Dieser digitale Wandel bedeutet, dass herkömmliche Sicherheitsmaßnahmen, die sich in erster Linie auf die Stärkung der Perimeterverteidigung und den Schutz von Endpunkten (zum Beispiel Telefone und Notebooks) konzentrieren, nicht mehr ausreichen und Unternehmen in Gefahr bringen. Wenn es Hunderte oder Tausende von Endpunkten gibt, die von praktisch überall aus auf Unternehmensdaten zugreifen, ist der Perimeter schwer zu definieren und noch schwieriger zu überwachen. Im Falle eines Cyberangriffs können Angreifer einen einzigen Endpunkt oder ein kompromittiertes Konto als Einfallstor nutzen, um auf große Mengen von Unternehmensdaten zuzugreifen.
Die meisten Unternehmen setzen längst auf Dutzende von SaaS-Anwendungen, die einige der wertvollsten Daten des Unternehmens enthalten. Allerdings ist es oft schwierig bis unmöglich, eine tiefe Transparenz in diese Anwendungen zu erhalten. Dadurch steigen unterschiedliche Risiken schneller an, als es den meisten Führungskräften (und teilweise auch Sicherheitsverantwortlichen) bewusst ist. Auf die folgenden drei Risiken ist dabei besonders zu achten.
Ungeschützte sensible Daten
SaaS-Anwendungen machen die Zusammenarbeit schneller und einfacher, indem sie den Endbenutzern mehr Macht geben. Sie können Daten mit anderen Mitarbeitern und externen Geschäftspartnern ohne Einbeziehung der IT-Abteilung austauschen. Doch mit den Produktivitätsgewinnen sind leider auch zusätzliche Risiken und Komplexität verbunden.
Im Durchschnitt können Mitarbeiter auf Millionen auch sensible Dateien zugreifen, die für ihre Arbeit nicht relevant sind. Der Schaden, den ein Angreifer mit den kompromittierten Zugangsdaten einer einzigen Person anrichten könnte, ist enorm. Hierfür ist aus Angreifersicht nicht einmal ein besonders raffiniertes Vorgehen nötig, wenn wir beispielsweise an eine Phishing-Attacke denken.
Bei Cloud-Anwendungen und -Diensten wird die Infrastruktur der Anwendung durch den Anbieter gesichert, aber der Schutz der Inhalte liegt bei den Nutzern, also den Unternehmen (geteilte Verantwortung). Leider mangelt es den meisten Unternehmen an Transparenz: Sie wissen in aller Regel nicht, wo sich ihre sensiblen Daten befinden, wer Zugriff darauf hat oder wer sie nutzt. SaaS-Anwendungen werden so für CISOs zu einem problematischen toten Winkel.
Ein Beispiel: Salesforce enthält zahlreiche wichtige Daten – von Kundenlisten über Preisinformationen bis hin zu Verkaufschancen. Dies stellt eine echte Goldgrube für Angreifer dar. Salesforce unternimmt viel, um seine Software zu sichern, aber letztlich ist der Kunde dafür verantwortlich, die darin enthaltenen Daten zu schützen. Die meisten Unternehmen können nicht erkennen, ob ein Mitarbeiter auf eine ungewöhnliche Anzahl von Kontodaten zugegriffen hat, bevor er zu einem Konkurrenten gewechselt ist, oder ob ein externer Angreifer die Kontrolle über diese Daten erlangt hat und Informationen exfiltriert.
Cloud-Fehlkonfigurationen
Die Anbieter von SaaS-Anwendungen fügen ihren Anwendungen ständig neue Funktionen hinzu. Bei so vielen neuen Funktionen müssen Administratoren viel beachten, sich stets auf dem Laufenden halten und sich mit vielen Einstellungen vertraut machen – und das bei einer großen Anzahl verschiedener eingesetzter Anwendungen. Ist hier eine Konfiguration nicht korrekt, werden die Anwendungen und damit die Daten einem enormen Risiko ausgesetzt.
Wie so oft reicht ein einziger Fehler oder eine einzige Fehlkonfiguration aus, um sensible Daten preiszugeben. Im Sommer 2021 haben die Sicherheitsforscher von Varonis auf die Gefahren durch Fehlkonfigurationen von Salesforce im Zusammenhang mit der Salesforce Community hingewiesen. Wenn diese Communities nicht korrekt eingerichtet sind, können Angreifer auf Kundenlisten, Supportfälle, E-Mail-Adressen von Mitarbeitern und andere sensible Inhalte zugreifen. Das Forscherteam hat auch zahlreiche öffentlich zugängliche Salesforce Communities entdeckt, die falsch konfiguriert sind und so sensible Informationen für jedermann im Internet offenlegen.
Riskante App-Verknüpfungen
SaaS-Anwendungen sind nützlicher und effektiver, wenn sie miteinander verknüpft sind. Viele Unternehmen verbinden beispielsweise Salesforce mit ihrem E-Mail- und Kalendersystem, um Kundenkommunikation und Meetings automatisch zu protokollieren. Mithilfe von Anwendungsprogrammschnittstellen (APIs) können SaaS-Anwendungen miteinander verbunden werden und auf die Informationen der anderen Anwendungen zugreifen.
APIs helfen Unternehmen zwar dabei, mehr Nutzen aus ihren SaaS-Anwendungen zu ziehen, sie erhöhen aber auch das Risiko. Wenn sich ein Angreifer Zugang zu einem Dienst verschafft, kann er diese APIs nutzen, um sich lateral zu bewegen und auch auf andere Cloud-Dienste zuzugreifen.
Die richtige Balance zwischen Produktivität und Sicherheit finden
Produktivität und Sicherheit befinden sich in allen Bereichen der IT in einem Spannungsverhältnis. Bei Cloud-Anwendungen und -Diensten wird dies jedoch besonders deutlich. Die Cloud ist eine breite, vernetzte Angriffsfläche, die auf neue Weise kompromittiert werden kann. Die früheren Grenzen, der Perimeter, sind verschwunden und Endpunkte zu Zugangspunkten geworden.
Dieser vergrößerten Angriffsfläche steht eine verschärfte Bedrohung in Form von immer professioneller agierender Angreifer gegenüber. Die von staatlichen Akteuren entwickelten Taktiken und Tools wurden von Cyberkriminellen übernommen und weiterentwickelt. Zudem bieten Kryptowährungen finanziell motivierten Angreifern die Möglichkeit, aus einer Erpressung relativ anonym Kapital zu schlagen. Entsprechend erfordert die Abwehr von Angriffen auf die Unternehmensdaten in der Cloud einen anderen Ansatz. Da der Perimeter tot ist, muss sich die Cybersicherheit konsequent auf den Schutz der Daten konzentrieren.
„Wie so oft reicht ein einziger Fehler oder eine einzige Fehlkonfiguration aus, um sensible Daten preiszugeben.“
Michael Scheffler, Varonis Systems
Datensicherheit beginnt mit dem Wissen um die eigenen Datenbestände. Unternehmen müssen im Bilde sein, welche Daten wo gespeichert wurden und welche davon besonders wichtig, wertvoll und schützenswert sind. In den meisten Unternehmen beträgt der Anteil der sensiblen und kritischen Dateien zwischen fünf und zehn Prozent. Im Falle eines Ransomware-Angriffs werden jedoch schlagartig sämtliche Daten zu kritischen, wodurch vielen Unternehmen scheinbar nur die Möglichkeit bleibt, die Lösegeldforderungen zu begleichen.
Einen weiteren wesentlichen Punkt stellt der SaaS-Explosionsradius dar: Auf welche Dateien und Systeme kann ein Angreifer durch ein kompromittiertes Konto oder System zugreifen? Cyberkriminelle haben es wesentlich leichter, wenn sie nur ein einziges Konto kompromittieren müssen, um Zugang zu den meisten sensiblen Daten zu erhalten. Entsprechend sollten Sicherheitsverantwortliche alles daransetzen, den Zugang zu wichtigen und sensiblen Daten einzuschränken, damit die Mitarbeiter nur auf das zugreifen können, was sie für ihre Arbeit benötigen. Dies ist eine der eine der effektivsten Verteidigungsmaßnahmen gegen datenbezogene Angriffe wie Ransomware.
Ist der Datenzugriff gemäß des Least-Privilege-Ansatzes (Prinzip der minimalen Rechtevergabe) reduziert, sollte die Datennutzung auf ungewöhnliches Verhalten hin überwacht werden, um potenzielle Angriffe schnell stoppen zu können.
Transparenz ist auch in der Cloud der Schlüssel für Datensicherheit: Ist man nicht in der Lage, das Risiko der Cloud-Daten zu visualisieren oder zu erkennen, dass ein Angriff stattfindet, befindet man sich im Blindflug. Ist man jedoch in der Lage, wichtige Daten in Cloud-Anwendungen zu identifizieren, den Zugriff zu begrenzen und gegebenenfalls zu sperren, die Nutzung zu überwachen und Missbrauch schnell zu erkennen, ist der größte Teil des Problems gelöst.
Dies ist letztlich der Kern von Zero Trust: Beschränkung und Überwachung des Zugriffs, da keinem Konto oder Gerät implizit vertraut werden sollte, unabhängig davon, wo es sich befindet oder wer es zu sein vorgibt. Dies ist in der Cloud noch entscheidender, da Benutzer und Geräte überall sind und jeder und jedes einzelne ein Tor zu den wichtigen Informationen des Unternehmens ist.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
