Romolo Tavani - stock.adobe.com
Das größte Risiko in der Cloud sind Fehlkonfigurationen
Das Gros der Sicherheitsvorfälle in der Cloud ist voraussichtlich in falschen Konfigurationen begründet und von den Firmen selbst begünstigt. Diesem Risiko gilt es zu begegnen.
Gartner geht davon aus, dass 99 Prozent aller Cloud-Sicherheitsvorfälle im Jahr 2023 von Nutzern selbst verursacht sind und auf Konfigurationsfehler zurückgehen werden. Schon heute ist das Problem eklatant, wie eine Analyse von DivvyCloud zeigt. Zwischen Januar 2018 und Dezember 2019 waren fast 33,4 Milliarden Datensätze aufgrund von Cloud-Fehlkonfigurationen exponiert – Tendenz steigend. Viele Unternehmen sind sich dieser Gefahr bewusst: Laut einer Studie des Marktforschungsinstituts ESG Research ist die Identifikation von nicht-Compliance-konformen Konfigurationen für 47 Prozent der Befragten die wichtigste Sicherheitsherausforderung in der Cloud.
Spannende Fehlkonfigurationen sehen wir heute im Cloud-Storage-Bereich beispielsweise bei Amazon S3-Buckets. Danach suchen Cyberkriminelle auch ganz gezielt, denn dort finden sie meist spannende Daten, die sie schnell kopieren und zu Geld machen können.
Ein falsch gesetztes Häkchen, zum Beispiel bei der Konfiguration eines S3-Buckets, genügt, und schon sind Daten öffentlich zugänglich. In vielen Fällen fehlen Zugangsbeschränkungen jeglicher Art. Cyberkriminelle greifen lediglich auf Informationen zu, die das Unternehmen selbst im Internet exponiert hat. Ein solcher Datenschutzvorfall kann sehr teuer werden und die Reputation einer Marke nachhaltig schädigen. Sind personenbezogene Daten betroffen, handelt es sich zudem um einen Verstoß gegen die DSGVO (Datenschutz-Grundverordnung).
Die häufigsten Fehler, die Unternehmen bei der Konfiguration ihrer Cloud-Services machen, sind fehlende oder schwache Passwörter, globale Leserechte und globale Schreibrechte. Letztere ermöglichen es Hackern, Skripte im Cloud-Speicher zu manipulieren oder eigenen Code einzubringen. So verzeichneten Security-Analysten von Trend Micro mehrere Fälle, in denen Cyberkriminelle einen Krypto-Miner in Cloud-Services implantierten. Jedes Mal, wenn ein Besucher die infizierte Website aufrief, wurde das Skript aktiviert. Außerdem gab es zahlreiche Angriffe, bei denen Hacker JavaScript Files, die in S3-Buckets gespeichert waren, modifizierten. So konnten sie Zahlungsinformationen und Kreditkarten-Daten abgreifen, die Kunden in einem Webshop eingaben.
Warum passieren Konfigurationsfehler so leicht?
Fehlkonfigurationen entstehen häufig beim Aufsetzen von neuen Services. Meist muss dabei alles ganz schnell gehen, so dass keine Zeit für eine sorgfältige Prüfung bleibt. Zudem sind Cloud-Umgebungen oft riesig und entwickeln sich dynamisch. Allein ein AWS-Setup kann beispielsweise über 160 Services mit jeweils granularen Autorisierungsrichtlinien umfassen. Sie alle im Auge zu behalten und manuell zu überprüfen, ist kaum möglich.
In der Multi Cloud wird alles noch komplexer und unübersichtlicher. Denn bei jedem Cloud Provider funktioniert die Konfiguration ein bisschen anders. Mitarbeiter müssen also ganz genau hinsehen und sich mit den Feinheiten der verschiedenen Angebote auskennen.
AWS und Microsoft Azure haben zwar jeweils ein Well-Architected Framework veröffentlicht, in dem sie Kunden Best Practices für die sichere Cloud-Service-Konfiguration an die Hand geben. Diese Anleitungen sind jedoch sehr umfangreich, so dass es viel Zeit kostet, sie zu lesen. Oft müssen sich Unternehmen ohnehin aus dem Well-Architected Framework hinausbewegen, wenn sie innovativ sein und dem Wettbewerb einen Schritt voraus sein wollen. Erschwerend kommt hinzu, dass sich Compliance-Vorgaben ändern können. Auch Cloud Provider passen schnell einmal eine Einstellungsmöglichkeit an, falls eine neue Schwachstelle auftaucht. Um wirklich sicher zu sein, müssen Unternehmen ihre Cloud-Konfiguration also kontinuierlich überprüfen.
Fehlkonfigurationen bleiben oft lange unbemerkt
Herkömmliche Security-Lösungen reichen nicht aus, um Fehlkonfigurationen aufzudecken und zu verhindern. Sie erkennen auch damit verbundene Sicherheitsvorfälle oft nicht. In einem On-Premises-Netzwerk würde die Netzwerk-Security zum Beispiel Alarm schlagen, wenn ungewöhnlich große Mengen an Daten abfließen.
„Die häufigsten Fehler, die Unternehmen bei der Konfiguration ihrer Cloud-Services machen, sind fehlende oder schwache Passwörter, globale Leserechte und globale Schreibrechte.“
Richard Werner, Trend Micro
In der Cloud sind solche Datentransfers dagegen nichts Ungewöhnliches. Deshalb bleiben Konfigurationsfehler in Cloud-Speichern oft lange Zeit unbemerkt. Im schlimmsten Fall werden Unternehmen erst auf eine Panne aufmerksam, wenn es bereits zu spät ist und sie von Cyberkriminellen erpresst werden.
Das Risiko für einen Datenschutz- oder Cybervorfall ist umso größer, je länger eine Schwachstelle offen ist. Ein wichtiger Messwert für die Cloud-Sicherheit ist daher die Mean Time to Remediation (MTTR). Darunter versteht man die Zeit, die vergeht, bis eine Fehlkonfiguration behoben wird. Diese sollte möglichst gering sein.
Automatisiertes Cloud Security Posture Management
Mit einer Cloud-Security-Plattform, die Cloud Security Posture Management (CSPM) bietet, lässt sich die MTTR auf wenige Minuten reduzieren. Das CSPM überwacht die komplette Cloud-Umgebung in Echtzeit und prüft sie automatisiert auf Schwachstellen und Compliance-Konformität. Dabei gleicht es die Konfiguration anhand einer Knowledge-Base mit Best Practices und Regularien ab, etwa der DSGVO, PCI DSS oder dem AWS Well-Architected Framework.
Findet das CSPM gefährliche Einstellungen, schlägt es Alarm und bewertet die Kritikalität mit einem Ampelsystem. Wichtig ist, dass die Security-Lösung den Anwender nicht nur warnt, sondern ihm auch eine Schritt-für-Schritt-Anleitung gibt, wie er das Problem beheben kann. So muss er sich nicht erst aufwändig durch Dokumentationen wühlen. Stattdessen kann er die Einstellung schnell korrigieren, ohne dass er dafür Expertenwissen benötigt.
Am besten sollte der Compliance-Check bereits bei der Anwendungsentwicklung automatisiert in DevOps-Prozesse integriert werden. So sind neue Cloud-Instanzen von Anfang an sicher konfiguriert und Unternehmen vermeiden spätere, aufwändige Fehlersuchen und Korrekturen. Dadurch lassen sich Cloud-Projekte schneller voranbringen. Da das CSPM einen Echtzeit-Überblick über Plattformen und Infrastrukturen in der eigenen Cloud-Umgebung gibt, sind IT-Verantwortliche auch bei dynamischem Wachstum immer über den aktuellen Sicherheitsstatus informiert. Jeder neue Cloud-Service wird automatisch erkannt und überprüft. Dabei stellt das CSMP auch sicher, dass Compliance-Anforderungen eingehalten werden. Mit entsprechenden Reports erleichtert es interne und externe Audits.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
